Что такое WannaCry

Программа WannaCry — это так называемый Ransomware — софт, предназначенный для вымогания. После установки на компьютер жертвы программа либо зашифровывает часть важных файлов, требуя деньги за инструкцию и пароль для расшифровки, либо блокирует работу систему, выводя на экран окно с угрозами. WannaCry делает и то, и другое: шифрует базы данных, блокирует компьютер и выводит сообщение с требованием внести сумму выкупа на биткоин-кошелек злоумышленника.

В "Лаборатории Касперского" пояснили, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.

Суммы выкупа разнятся: хакеры требуют от $200 до $600. Если в течение двух дней жертва не оплатит выкуп, его сумма будет увеличена. Если пользователь откажется платить в течение недели, зашифрованные файлы удалятся. Судя по тому, что на одном из таких кошельков (сообщается, что их несколько) уже лежит 4 биткоина (более $6700), кто-то испугался угроз: 22 транзакции датируются 13 мая.

Атаку 12 мая специалисты уже называют крупнейшим Ransomware-взломом с самой высокой эффективностью в первые 8 часов работы.

I think we should wait some days before saying this.
But, for sure: there was no RW campaign w/ success like this within the first 8 hours. https://t.co/G4RuOPlVU3

— MalwareHunterTeam (@malwrhunterteam) 12 мая 2017 г.

Кто пострадал

Первым громким случаем появления WannaCry стала атака на часть компьютерной сети компании Telefonica, парализовавшая ее. Тех ее сотрудников, кто не пострадал от атаки, предупредили о необходимости выключить компьютеры, в том числе компьютеры внешних работников, подключенных через VPN.

Затем WannaCry появился компьютерах Национальной службы здравоохранения Великобритании (NHS). Атака коснулась медицинских учреждений в Лондоне, а также английских городах Блэкберн, Ноттингем и графствах Камбрия и Хартфордшир. Из-за атаки некоторые медучреждения предупредили, что будут принимать только экстренных пациентов.

Позже премьер-министр Великобритании Тереза Мэй отдельно отметила, что никакие данные пациентов больниц не попали в руки злоумышленников.

Всего, по данным российской "Лаборатории Касперского", было совершено около 45 тысяч атак программы-шифровальщика WannaCry в 74 странах по всему миру. Посмотреть, как распространялся вирус, можно на инфографике газеты The New York Times.

Check out this NYT post, they made a really cool time based map with my data https://t.co/K7lVjagq29

— MalwareTech (@MalwareTechBlog) 13 мая 2017 г.

WannaCry в России

Одновременно с новостями в Великобритании о WannaCry сообщили в России: в СМИ появилась информация об атаке на сотовых операторов, МВД и СК.

Представитель компании "Мегафон" сообщил, что никакого влияния на качество связи это не оказало. "IT-специалисты "Мегафона" продолжают работу над устранением последствий атаки. К 21:00 была восстановлена работоспособность центров поддержки абонентов, в работе которой в течение нескольких часов были сбои из-за проблем с компьютерами сотрудников. Ситуация под контролем, правоохранительные органы были проинформированы в установленном порядке", - заявили в компании.

Официальный представитель СК Светлана Петренко заявила, что сообщения о хакерской атаке не соответствуют действительности, а все ресурсы ведомства работают в штатном режиме. В МВД факт появления WannaCry признали - заразились около тысячи компьютеров, — но отчитались об успешной локализации вируса. Зараженные машины отключили от сети, на остальных обновили антивирусную защиту. Источник "Интерфакса", а затем и официальный представитель ведомства Ирина Волк отметили, что во время атаки удалось избежать утечки информации.

Российский Минздрав после новостей о британских коллегах оперативно отразил начавшиеся атаки и закрыл уязвимости. Об этом в твиттере сообщил помощник министра здравоохранения Никита Одинцов.

Пресс-служба Сбербанка России привела службы, отвечающие за кибербезопасность в повышенную готовность и также выдержала атаку. "Сеть банка предусматривает защиту от подобных атак. Проникновений вирусов в систему не произошло", - отметил представитель "Сбербанка".

WannaCry и американские спецслужбы

Эдвард Сноуден, бывший сотрудник Агентства национальной безопасности обвинил спецслужбы в том, что они не предотвратили глобальную кибератаку. По его словам, АНБ, чьи разработки были украдены и использованы хакерами, знало об опасности данных программ.

Despite warnings, @NSAGov built dangerous attack tools that could target Western software. Today we see the cost: https://t.co/u6J3bcHnXE

— Edward Snowden (@Snowden) 12 мая 2017 г.

Он также призвал АНБ рассказать о вероятности уязвимости американского ПО, чтобы не повторился британский сценарий.

In light of todays attack, Congress needs to be asking @NSAgov if it knows of any other vulnerabilities in software used in our hospitals.

— Edward Snowden (@Snowden) 12 мая 2017 г.

О связи программы-вымогателя и спецслужб США заявили также в твиттере Wikileaks.

NOTE: The current hospital ransom ware directly relates to computer viruses produced by the NSA. Not to WikiLeaks CIA #Vault7 series.

— WikiLeaks (@wikileaks) 12 мая 2017 г.

В свою очередь, в министерстве внутренней безопасности США предложили помощь в борьбе с WannaCry как внутри страны, так и за рубежом.

"Мы активно обмениваемся информацией, связанной с этим событием, и готовы оказывать техническую поддержку и помощь, если это необходимо, нашим партнерам, как в Соединенных Штатах, так и на международном уровне. В министерстве работают профессионалы в области кибербезопасности, которые могут предоставить экспертные знания и поддержку критически важным объектам инфраструктуры", — говорится в официальном заявлении ведомства.

Как уберечься от WannaCry

Вирус использует уязвимость в ОС Windows. Однако компания Microsoft закрыла ее еще в марте. Если на вашем компьютере включена автоматическая установка обновлений, "вымогатель" вам не грозит. Если вы обновляете систему вручную, вам нужно выполнить эту инструкцию.

Вирус-вымогатель Wanna Cry, поразивший десятки тысяч компьютеров по всему миру, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, пишет The Guardian.

Программист @MalvareTechBlog вместе с коллегой Дарианом Хассом выснили, что вирус обращается по такому адресу и решил зарегистрировать домен, чтобы проследить его активность. Как выяснилось, адрес был зашит в коде вируса на тот случай, если его потребуется остановить.

"Так что я могу добавить в свое резюме, что случайно остановил международную кибератаку", — написал он.

Таким образом, атаку удалось остановить, но только временно. Как только хакеры изменят адрес в вирусе, кибератака продолжится.

Вечером 12 мая со всего мира начали поступать сообщения о массовом заражении компьютеров программой-шифровальщиком. За снятие блокировки злоумышленники требовали выкуп в биткоинах.

Наибольшее число кибератак наблюдалось в России, где целью преступников стали компьютеры МВД, Сбербанка, Минздрава, "Мегафона" и ряда других крупных организаций и ведомств. В Великобритании из-за массового заражения персональных компьютеров была нарушена работа 40 больничных учреждений.

Гендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков рассказал, как минимизировать риски заражения от вирусов-шифровальщиков, один из которых в пятницу распространился во многих странах мира.

"Лаборатория Касперского" 12 мая зафиксировала около 45 тысяч попыток заражения программой-шифровальщиком в 74 странах по всему миру, при этом наибольшее число попыток заражений наблюдается в России.

Ранее в СМИ сообщалось, что хакеры использовали модифицированную вредоносную программу Агентства национальной безопасности (АНБ) США. Издание Financial Times со ссылкой на аналитиков в области кибербезопасности сообщило, что инструмент американских разведслужб, известный как eternal blue ("неисчерпаемая синева"), был совмещен с "программой-вымогателем" WannaCry.

По словам Сачкова, главное – делать резервные копии. Также он советует своевременно обновлять операционную систему. "Не используйте ОС, которые не поддерживаются обновлениями компании-производителя. Для конкретного случая с WannaCry MicrosoftMSFT сделала исключение и выпустила обновление, закрывающее уязвимость, которую эксплуатирует этот вирус. Использовать версии ОС более чем 10-летней давности, давно выведенные из-под защиты, - прямой путь к заражению", - сказал эксперт.

Кроме того, не стоит открывать вложения в сообщениях электронной почты от незнакомых лиц. В сети компании желательно установить решение класса "песочница", которое проверяют все файлы, приходящие на почту или скачиваемые сотрудниками из интернета, запуская их в специальной, изолированной среде. "В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение", - пояснил он.

Для обнаружения потенциально вредоносных файлов нужно включить опцию "Показывать расширения файлов" в настройках Windows. "Держитесь подальше от расширений файлов, таких как .exe, .vbs и .scr. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ (например, avi.exe или doc.scr)", - отметил Сачков.

При обнаружении подозрительного процесса на устройстве нужно немедленно отключить его от интернета или домашнего Wi-Fi - это позволит предотвратить распространение вируса, советуют в Group-IB. Сачков рекомендует никогда не платить выкуп, поскольку нет никакой гарантии, что злоумышленники отправят ключ дешифрования.