EUR 75.58 USD 66.33

Как вирус Wanna Cry захватил интернет

Как вирус Wanna Cry захватил интернет

Вымогатели начинают и выигрывают

12 мая примерно в 13:00 по московскому времени вирус WNCRY, пользуясь уязвимостью в службе SMB операционной системы Windows, стал проникать на тысячи компьютеров по всему миру. Вообще-то дыру в безопасности Microsoft прикрыла еще мартовским обновлением, которое оперативно установили в основном пользователи Windows 10, и то не все, а для более старых операционных систем его пришлось выпускать экстренно.

То, что Microsoft отреагировала менее чем за сутки, и обновила даже Windows XP 2001 года выпуска, говорит о всей серьезности проблемы – хакерская атака напугала даже крупнейших вендоров, обычно вяло реагирующих на угрозы безопасности.

После заражения компьютера вирус вымогатель оперативно переводил свой интерфейс на русский или любой другой знакомый ему язык из 28 предустановленных и начинал требовать $300 за возвращение доступа к вашему компьютеру. Такие блокираторы операционной системы широко известны в рунете уже много лет, однако Wanna Cry стал самым массовым вымогателем в истории киберпреступности.

Чтобы зашифровать на зараженном ПК как можно больше файлов вирусный скрипт скачивал TOR-браузер, используемый для связи с серверами управления вируса. После этого вредоносная программа получала удаленный доступ ко всем файлам на зараженном компьютере и начинала их кодировку.

Вирус запускал на инфицированном компьютере процессы mysqld.exe, sqlwriter.exe, sqlserver.exe, MSExchange и Microsoft.Exchange. Как только файлы зашифровывались, к их имени добавлялось расширение .WNCRY. Пользователь терял доступ к своему ПК, получая уведомление о необходимости заплатить хакерам. Киберпреступники готовы были принять эквивалент трехсот долларов даже биткоинами. Владельца зараженного ПК предупреждали, что если он не заплатит быстро, то вскоре разблокировка будет стоить $600, а потом его данным придет конец.

Вирус наказывает нерасторопных

Спустя менее часа после начала атаки зараженными оказались десятки тысяч компьютеров по всему миру. В Великобритании вирус заблокировал компьютеры больниц и врачам пришлось вернуться к бумажным картам пациентов. В Лондоне, Ноттингеме и ряде других городов медицинские учреждения посоветовали пациентам временно не обращаться за помощью за исключением экстренных случаев.

Вирус заблокировал компьютерные системы двух крупнейших больниц Лондона - Royal London Hospital и St.Bartholomew's. В Испании начались перебои в работе сотового оператора Telefonica, были заблокированы газораспределительные сети Gas Natural, компьютеры компании Iberdrola, произошла атака на банк Santander.

В Италии вирус поразил компьютеры нескольких университетов. Но больше всего компьютеров оказалось заражено в России. Следом по числу «жертв» вируса – Украина и Тайвань.

Первым в России атаку на свои компьютеры официально подтвердил «Мегафон», заверив, что на связь абонентов она не повлияла. По данным оператора вирусом было заражено множество компьютеров в компании, но инфраструктуру мобильной связи вредоносная программа не затронула.

По некоторым данным схожим образом были атакованы компьютеры в компании «Вымпелком» (бренд «Билайн»). О масштабах данной атаки пока не известно.

Следом легли компьютерные сети госорганов. Вирус заблокировал компьютеры МВД и Следственного комитета. Официально в МВД заявили, что «атака затронула не более 1% компьютеров» и что в ведомстве «проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты». Однако, как отмечают в Cybersecurity and Co, «сетевая работа ведомства если не парализована полностью, то серьезно ограничена».

Как рассказал «Медиазаводу» источник в компании, занимающейся кибербезопасностью, просивший не называть его имени, «Ведомственные сети оказались самыми уязвимыми, поскольку, похоже, обновлялись нерегулярно и не имели никаких серьезных средств защиты, даже их файервол оказался дохлым».

Вирус также атаковал ряд коммерческих банков в России, многие из которых факт атаки не подтверждают, другие отмечают, что «ущерба клиентам действия злоумышленников не нанесли».

По последним данным, атака затронула Сбербанк, хотя официального подтверждения этому нет. По словам ряда источников, вирус проник в сети МЧС, атаковал компьютеры в Министерстве здравоохранения, а также заблокировал компьютеры сотового оператора Yota.

Анонимный источник в одном из коммерческих банков рассказал, что «атака идет серьезная, техподдержка пока не может решить проблему». Следом стали поступать данные о заражении компьютеров в РЖД, где, по мнению специалистов по компьютерной безопасности, «сеть не была защищена должным образом».

К моменту написания этого материала точные данные по числу павших жертвами вируса ведомств и компаний не известны, официальные представители ряда организаций отказываются обсуждать данную тему, что и понятно – вирус показал, что, казалось бы, защищенные сети коммерческих структур собирались чуть ли не на коленке и обслуживались некомпетентными людьми (или не обслуживались вовсе). Иначе как можно объяснить, что на таком количестве рабочих компьютеров по всей России не стоял мартовский патч от Microsoft, который раз и навсегда закрыл бы уязвимость от вируса Wanna Cry.

Вирус блокируют программисты

Wanna Cry еще бы долго заставлял плакать нерасторопных системных администраторов, не обновивших Windows 10 14 марта 2017 и жадных менеджеров, не закупавших новые сборки операционной системы для корпоративных компьютеров, доживающих на XP, Vista, семерке и восьмерке свой век, однако программист Дариан Хасс с коллегами выяснил, что вирус обращается по адресу домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и не находит его.

Когда айтишники зарегистрировали данный адрес, чтобы проследить активность вируса, атаки удалось остановить. Оказалось, что данное доменное имя использовалось авторами вируса для его остановки. Атаку локализовали.

Зараженным же вирусом пользователям осталось лишь уповать на силу таких дешифровальщиков как ShadowExplorer и PhotoRec и сокрушаться о собственной беспечности, по которой они не установили бесплатное обновление безопасности, за отсутствие которого их и наказали неизвестные хакеры.

VK31226318