Технологии
Бесплатный
Елизавета Серьгина|Павел Кантышев
Статья опубликована в № 4320 от 15.05.2017 под заголовком: Вирус-вымогатель атаковал 74 страны

Создатели компьютерного вируса WannaCry уже заработали около $30 000

Заблокированные устройства не подлежат восстановлению без выкупа

Вирус WannaCry, распространение которого началось в пятницу, парализовал работу компьютеров, на которых установлена операционная система Windows, в 74 странах, включая Великобританию, США, Китай, Россию, Испанию, Италию и Тайвань. Программа блокирует работу компьютеров и требует с пользователей от $300 до $600 в биткоинах за разблокировку. Вечером пятницы «Лаборатория Касперского» зафиксировала около 45 000 попыток атак. Проблема до сих пор не решена. Гендиректор Digital Security Илья Медведовский рассказал, что, если блокировка компьютера уже произошла, разблокировать его можно, только заплатив деньги хакерам: вирус использует уникальный ключ или ключи, которые есть только у его авторов. Уже после разблокировки можно поставить обновление Windows, и вирус окажется изгнан из системы. Это первый настолько масштабный случай распространения вируса-вымогателя по всему миру, констатирует эксперт.

По оценке Медведовского, создателям вируса уже удалось заработать на нем около $30 000. Консультант по информационной безопасности Cisco Алексей Лукацкий говорит, что известно о номерах четырех биткоин-кошельков, на которые пользователи перечисляли выкуп: владельцам поступило около 15 биткоинов – это примерно $26 000. Потери бизнеса, пострадавшего от действий хакеров, оценить пока трудно, говорит он: надо оценивать урон в каждом конкретном случае.

По данным BBC, от взлома пострадали Национальная служба здравоохранения Великобритании (NHS), несколько испанских компаний (телекоммуникационный гигант Telefonica, энергетическая фирма Iberdrola, поставщик коммунальных услуг Gas Natural), компания экспресс-доставки FedEx. «Лаборатория Касперского» отметила, что наибольшее число заражений наблюдается в России. В частности, о заражении компьютеров МВД сообщила пресс-служба ведомства. Вирус блокировал тысячу зараженных компьютеров, что составляет менее 1%, отметили в МВД. Серверные ресурсы ведомства не подвергались заражению благодаря тому, что на них не установлена Windows. «Утечка служебной информации с информационных ресурсов МВД России полностью исключена», – сообщила официальный представитель МВД России Ирина Волк.

Заражены оказались компьютеры «Мегафона», причем заражение распространилось на компьютеры колл-центра оператора и розничную сеть, рассказал PR-директор оператора Петр Лидов. Еще в воскресенье многие салоны связи «Мегафона» не работали из-за вируса, к понедельнику компания обещала устранить последствия.

Вирус предпринимал попытку атаковать некоторые российские банки, сообщил «Интерфакс» со ссылкой на Центробанк, но в итоге все они отразили эти атаки.

Заразная история

Одним из самых известных вирусов в новейшей истории стал шпионский Stuxnet, который был обнаружен в 2010 г. и предназначался для выведения оборудования из строя и ранее значительно затормозил работу над ядерной программой Ирана. В 2014 г. производитель антивирусных программ Symantec объявила об обнаружении шпионского вируса Regin, который, вероятно, использовался как минимум с 2008 г. для слежения за правительствами, компаниями и отдельными лицами.

По данным «Лаборатории Касперского», атака происходила через известную сетевую уязвимость. Ошибка, используемая создателями WannaCry, позволила им заражать вирусом компьютеры без всяких действий со стороны пользователя – компьютеру достаточно было просто быть включенным в сеть, отмечает Лукацкий. «Лаборатория Касперского» это подтверждает. Причем если заражается компьютер в локальной сети, то от него по цепочке заражаются остальные машины, говорит директор по продуктовому и технологическому позиционированию компании Acronis Александра Иванюк. На зараженную систему устанавливался руткит (программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. – «Ведомости»), используя который злоумышленники запускали программу-шифровальщик. Эта программа, как объясняет Лукацкий, шифрует файлы определенного формата. То есть компьютер не полностью заблокирован, но критически неработоспособен. У WannaCry отсутствовал дополнительный функционал – в частности, вирус не наделен функцией сохранения и пересылки файлов и документов с компьютеров жертв, рассказывают Медведовский и Лукацкий.

Microsoft обнаружила уязвимость еще два месяца назад, тогда же выпустила обновления, которые исключают возможность заражения. На выходных компания напомнила об этом, а также выпустила обновления, исключающие возможность для старых версий Windows, включая XP.

Медведовский рассказывает, что совсем недавно специалисты обнаружили еще одну уязвимость, которая позволяет заражать персональные компьютеры без каких-либо видимых действий со стороны их пользователей. По мнению эксперта, атаки будут продолжаться и в будущем. Вирус явно написан профессионалами, уверен директор по маркетингу компании Solar Security Валентин Крохин. Он отмечает беспрецедентно высокую скорость его распространения. Лукацкий считает, что вирус обладает всеми признаками кибероружия, но, скорее всего, таковым не является. Вполне возможно, что это просто проверка обнародованных инструментов Агентства национальной безопасности (АНБ) США, которую затеяла группа сторонних хакеров, полагает он: если работает один – значит, работает и остальное. При создании вируса были использованы данные хакерской группы The Shadow Brokers, которая недавно обнародовала данные об инструментах, украденные у АНБ.