Эту кибератаку уже назвали самой масштабной в истории. Более 70 стран, десятки тысяч зараженных компьютеров. Вирус-вымогатель по имени Wanna Cry («Хочу плакать») не щадит никого. Под ударом - больницы, железные дороги, правительственные учреждения.
В России атака была самой массированной. Сообщения, которые сейчас приходят, напоминают сводки с компьютерных фронтов. Из последнего: в РЖД заявили, что вирус пытался проникнуть в их IT-систему, он уже локализован и его пытаются уничтожить. Также о попытках взлома говорили в Центробанке, МВД, МЧС, компаниях связи.
Более чем через день после первого удара компании по всему миру все еще боролись с последствиями, в то время как эксперты по кибербезопасности пытались найти способ остановить распространение. Более 30 жертв заплатили, но эксперты по безопасности задаются вопросом, была ли цель вымогательства, учитывая относительно небольшую требуемую сумму или же хакеры были вызваны деструктивными мотивами, а не финансовой выгодой.
Что такое вирус-вымогатель?
«Никто не может эффективно бороться с кибер-угрозами сам по себе, и, к сожалению, необоснованные общие обвинения не решают эту проблему», - сказал пресс-секретарь Кремля Дмитрий Песков. Однако некоторые эксперты предположили, что, как только новый вирус заразил один компьютер, он может распространяться на другие компьютеры в одной сети, даже если эти устройства получили обновление для системы безопасности.
Так выглядит вирус, парализовавший десятки тысяч компьютеров по всему миру. Понятный интерфейс и текст, переведенный на десятки языков - «у вас есть только три дня, чтобы заплатить». Вредоносная программа, которая шифрует файлы, требует за их разблокировку, по разным данным, от 300 до 600 долларов. Только в кибервалюте. Шантаж в прямом смысле на грани жизни и смерти.
Видео новый вирус шифровальщик меры борьбы
Поддержанная в Австрии команда по реагированию на чрезвычайные ситуации в компьютере заявила, что «небольшое число» международных фирм оказалось затронуто, и десятки тысяч компьютеров были сняты. Российская охранная фирма «Касперский» сообщила, что украинский новостной сайт для города Бахумут был также взломан и использовался для распространения вымогательства на посетителей, шифрования данных на их машинах.
Ряд международных фирм попали в Украину, и вирус, как полагают, распространился в глобальных корпоративных сетях после получения тяги внутри страны. Международная кибератака попала в нашу небанковскую дочернюю компанию «Недвижимость». Были приняты необходимые меры для быстрого сдерживания нападения, - сказал банк в среду.
«Я был полностью готов к операции, даже капельницу уже поставили, и тут приходит хирург и говорит, что у них проблемы с оборудованием из-за кибератаки», - рассказывает Патрик Уорд.
Вакцины от компьютерного вируса ни нашлось ни в сорока британских клиниках, которых атаковали первыми, ни в крупнейшей испанской телекоммуникационной компании «Телефоника». Следы, как говорят эксперты, одной из самых масштабных хакерских атак в мировой истории даже на табло вокзалов в Германии. В одном из семи диспетчерских центров немецкого железнодорожного перевозчика «Дойче Бан» вышла из строя система управления. Последствия могли быть катастрофическими.
Российский «Роснефть», один из крупнейших мировых производителей сырой нефти, заявил во вторник, что ее системы пострадали от «серьезных последствий», но производство нефти не пострадало, поскольку оно переключилось на резервные системы. Дополнительная отчетность Хелен Рид в Лондоне, Тейс Дженсен в Копенгагене, Майя Николаева в Париже, Шадиа Наллалла в Вене, Марцин Геттиг в Варшаве, Байрон Кай в Сиднее, Джон О Доннелл во Франкфурте, Ари Рабинович в Тель-Авиве и Нур Зайнаб Хуссейн в Бангалор, письмо Эрика Аучара и Дэвида Кларка, редактирование Дэвидом Кларком.
Всего жертвами кибератаки уже стали 74 страны. Не тронуты разве что Африка и несколько государств в Азии и Латинской Америке. Неужели только пока?
«Это все сделано для получения денег организованной преступностью. Нет никакой политической подоплеки или скрытых мотивов. Чистый шантаж», - говорит эксперт по антивирусам IT-компании Бен Рапп.
Будет ли платить выкуп действительно разблокировать файлы?
В соответствии с почти всем остальным в мире кибервойны, атрибуция сложна. Что касается самих теневых брокеров, никто не знает, но пальцы указывают на российских актеров, как на виновных. Иногда оплата выкупа будет работать, но иногда этого не будет. Что касается выкупа, которое несколько лет назад появилось, некоторые пользователи сообщили, что они действительно вернули свои данные после выплаты выкупа, что обычно было около £. Но нет никакой гарантии, что оплата будет работать, потому что киберпреступники не являются самой надежной группой люди.
Британские СМИ, впрочем, политическую подоплеку тут же нашли. И обвинили во всем русских хакеров, правда, без всяких доказательств, связав кибератаку с авиаударом американцев по Сирии. Якобы вирус-вымогатель стал местью Москвы. При этом, по данным тех же британских СМИ, Россия в этой атаке пострадала больше всего. И с этим, абсолютно точно, поспорить сложно. Только в МВД были атакованы больше тысячи компьютеров. Впрочем, безуспешно.
Кроме того, существует этическая проблема: выплата выкупа заставляет больше преступлений. Если у вас есть резервная копия файлов, вы сможете восстановить их после очистки компьютера, но если ваши файлы не исчезнут навсегда. Однако некоторые плохо разработанные вымогательства были взломаны исследователями безопасности, что позволило восстановить данные.
Как долго длится эта атака?
Поскольку производители антивирусов используют новые версии вредоносного ПО, они могут предотвращать появление и распространение инфекций, что приводит к тому, что разработчики пытаются внедрить «большой взрыв», как в настоящее время. Биткойн, платежный носитель, с помощью которого хакеры требуют оплаты, трудно отследить, но не невозможно, а масштабность атаки означает, что правоохранительные органы в нескольких странах будут смотреть, смогут ли они следить за деньгами виновники.
Отразили атаки в МЧС и Минздраве, в Сбербанке и в Мегафоне». Сотовый оператор даже на какое-то время приостановил работу колл-центра.
«Указ президента о создания российского сегмента Сети - это закрытый интернет вокруг госчиновников. Оборонка давно за этим щитом стоит. Скорее всего, я думаю, пострадали простые компьютеры обычных сотрудников. Вряд ли пострадал именно доступ к базам данных - они, как правило, на других операционных системах и находятся, как правило, у провайдеров», - сообщил советник президента России по развитию интернета Герман Клименко.
Для атаки, которая опирается на использование отверстия, зафиксированного менее трех месяцев назад, просто небольшой надзор может быть катастрофическим. Нападения на поставщиков медицинских услуг во всем мире находятся на рекордно высоком уровне, поскольку они содержат ценную личную информацию, включая записи о здравоохранении.
Исследователи наблюдали, как некоторые жертвы платили через биткойн с цифровой валютой, хотя никто не знает, сколько могло быть передано вымогателям из-за во многом анонимного характера таких транзакций. Европейский центр киберпреступности Европола заявил, что он тесно сотрудничает со страновыми исследователями и частными охранными фирмами для борьбы с угрозой и оказания помощи жертвам. «Недавняя атака находится на беспрецедентном уровне и потребует сложного международного расследования для выявления преступников», - говорится в заявлении.
Программа, как утверждают разработчики антивирусов, заражает компьютер, если пользователь открыл подозрительное письмо, да еще и не обновил Windows. Это хорошо заметно на примере серьезно пострадавшего Китая - жители Поднебесной, как известно, питают особую любовь к пиратским операционкам. Но стоит ли платить, необдуманно кликнув мышкой, задаются вопросом по всему миру
Некоторые эксперты заявили, что угроза отступила на данный момент, отчасти потому, что британский исследователь, который отказался назвать свое имя, зарегистрировал домен, в котором он заметил, что вредоносное ПО пытается подключиться, и поэтому ограничивает распространение червя.
«Цифры крайне низки и быстро падают». Но злоумышленники могут все же настроить код и перезапустить цикл. Исследователь в Британии, широко приписываемый тем, что разразился распространением вымогательства, сказал Рейтер, что он еще не видел таких настроек, «но они это сделают».
«Если у компании нет резервной копии, они могут потерять доступ к данным. То есть, например, если хранится база данных пациентов больницы вместе с историями болезней в единой копии на этом сервере, куда попал вирус, то больница эти данные больше уже никаким образом не восстановит», - говорит эксперт по кибербезопасности Илья Скачков.
Вирус-вымогатель, что это?
Руководители финансов из семи стран с богатыми странами должны были в субботу принять участие в объединении сил для борьбы с растущей угрозой международных кибератак, согласно проекту заявления о встрече, которую они проводят в Италии. В Азии были затронуты некоторые больницы, школы, университеты и другие учреждения, хотя полная степень ущерба пока не известна, потому что это выходные.
Я считаю, что многие компании еще не заметили, - сказал Уильям Сайто, советник правительства кибербезопасности правительства Японии. «Вещи, вероятно, появятся в понедельник», когда персонал вернется на работу. Государственное информационное агентство Синьхуа сообщило, что некоторые средние школы и университеты пострадали. 
Самые разрушительные атаки были зарегистрированы в Великобритании, где больницы и клиники были вынуждены отвратить пациентов после потери доступа к компьютерам в пятницу.
Пока, как выяснили блогеры, в электронном кошельке мошенников не больше четырех тысяч долларов. Мелочь, учитывая список жертв - затраты на взлом их винчестеров явно не сопоставимы. Британское издание Financial Times предположило, что вирус-вымогатель - это не что иное, как модифицированная злоумышленниками вредоносная программа Агентства национальной безопасности США. Когда-то ее создали для того, чтобы проникать в закрытые американские же системы. Это же подтвердил и бывший его сотрудник Эдвард Сноуден.
Как можно защититься от вредителя
К тому времени, когда они обратили свое внимание на Соединенные Штаты, фильтры спама выявили новую угрозу и отметили, что почтовые рассылки, написанные с помощью вымогательства, были злонамеренными, добавил он. Распространение выкупа ограничило неделю кибер-потрясений в Европе, которое началось, когда хакеры разместили трофей кампаний, привязанных к французскому кандидату Эммануэлю Макрону незадолго до голосования, в котором он был избран президентом Франции.
Взлом произошел за четыре недели до всеобщих выборов в Великобритании, в которых важны вопросы национальной безопасности и управления государственной службой здравоохранения. Власти в Великобритании были подготовлены к кибератакам в преддверии выборов, как это произошло во время прошлогодних выборов в США и накануне французского голосования в мае.
Из «Твиттера» Сноудена: «Ого, решение АНБ создавать инструменты атаки на американское программное обеспечение теперь ставит под угрозу жизни пациентов больниц».
WikiLeaks, впрочем, также неоднократно предупреждал, что из-за маниакального желания следить за всем миром американские спецслужбы распространяют вредоносные программы. Но даже если это не так, возникает вопрос о том, как программы АНБ попадают в руки злоумышленников. Интересно и другое. Спасти мир от вируса предлагает другая американская спецслужба - Министерство национальной безопасности.
В пятницу российские министерства внутренних дел и чрезвычайных ситуаций, а также крупнейший банк Сбербанка заявили, что они нацелены на выкуп. Это вредоносное ПО блокирует вас из ваших компьютерных файлов, пока вы не заплатите - и это невероятно сложно уничтожить. Не так быстро, говорят эксперты по безопасности. Но без возможности общения с сетью криптолокеров жертвы не смогли получить ключи, чтобы разблокировать их файлы. И теперь подражатели появляются почти везде.
Среди повреждений: компьютерные файлы в полицейском участке небольшого городка в Нью-Гемпшире. «Плохие парни признают, что Украина или Таиланд - страны без эффективных правительств на данный момент - являются прекрасными местами для этого», - сказал он. «Решение проблемы становится геополитической».
Как бы то ни было, истинные масштабы этой атаки еще предстоит оценить. Заражение компьютеров по всему миру продолжается. «Вакцина» тут одна - осторожность и предусмотрительность. Важно не открывать подозрительные вложенные файлы. При этом эксперты предупреждают: дальше будет больше. Частота и масштабы кибератак будут только нарастать.
Последний разворот в примечании о выкупе состоит не из писем, вырезанных из газеты. Это раздражает достаточно, когда ваш компьютер вялый из-за вирусом, но что, если вирус устанавливает неловкую порнографию на экране или шифрует данные, так что вы можете не читать? Вымогатели атака часто использует эту тактику, чтобы потребовать у вас платить выкуп, чтобы удалить порнографию или получить доступ к файлам.
Он начинается там и получает больше импульса. Когда происходит атака с вымогательством, она может легко повышаться от потенциальной потери данных до потенциального кражи идентификационной информации в результате нарушения данных в форме вымогательства.
Скриншот с сообщением WCry
Компании по меньшей мере из 12 стран мира подверглись атаке вируса-вымогателя WannaCrypt, также называемого WCry. Как пишет Meduza со ссылкой на директора по связям с общественностью «Мегафона» Петра Лидова, часть компьютеров компании оказалась заражена. В России от вируса также уже пострадали компьютеры Министерства внутренних дел. В «Билайне» утверждают, что специалистам удалось отбить атаку.
Однако вместо того, чтобы просто пытаться обмануть вас в покупке поддельного антивирусного программного обеспечения, плохие парни держат ваш компьютер в заложниках и пытаются вымогать платежи. Объявления охватывают часть страницы, которую вы пытаетесь просмотреть. Представьте, что вы сидите на работе, и это случается с вами, - говорит Эйзен. Одна атака на вымогательство оказывает временное давление на жертву, заявляя, что часть ваших данных будет уничтожена каждые 30 минут, если вы не заплатите. Другая атака пытается заставить вас приобрести программу для дешифрования ваших данных.
К настоящему времени WCry поразил более 123 тысяч компьютеров по всему миру. При этом специалисты отметили резкий спад темпов распространения вируса. Дело в том, при заражении вирус проверял наличие в сети некоего домена, не найдя который, включал шифрование. Специалисты по безопасности зарегистрировали в сети домен, который ищет вирус, что и стало причиной замедления темпов заражения.
Преступники часто просят номинальную оплату, полагая, что вы с большей вероятностью заплатите, чтобы избежать хлопот и душевной боли в борьбе с вирусом. Защитите себя от вымогательства Как и в случае других атак, вы можете работать, чтобы избежать вымогательства. Эксперты советуют предпринять следующие шаги, чтобы избежать атак или защитить себя после атаки.
Важное значение имеет поддержание сильного брандмауэра и обновление вашего программного обеспечения безопасности. Но имейте в виду, что плохие парни достаточно хитры, чтобы создавать поддельные сайты, возможно, рекламируя собственное поддельное антивирусное программное обеспечение или их программу дешифрования. Если вы получаете уведомление о выкупе, отключите от Интернета, чтобы ваши личные данные не были переданы обратно преступникам, говорит Эйзен. Он рекомендует просто выключить компьютер. Если вы создали резервную копию данных, вы можете переустановить программное обеспечение.
- Используйте авторитетное антивирусное программное обеспечение и брандмауэр.
- Отключиться от Интернета.
WannaCrypt представляет собой программное обеспечение, блокирующее компьютер пользователя и шифрующее все данные, находящиеся на нем. После поражения на экран выводится сообщение с требованием денег для разблокировки, причем заставка имеет функцию выбора языка, на котором отображается сообщение. Размер требуемого выкупа составляет 300 долларов в биткоинах.
Вирус-вымогатель отводит пользователю три дня на перечисление средств на счета злоумышленников. Если пропустить этот срок, сумма требуемого выкупа удвоится.
Распространение вируса WCry, первая версия которого появилась еще в феврале текущего года, началось взрывными темпами 12 мая 2017 года. Новая версия вируса, предположительно, использует SMB -эксплоит, разработанный Агентством национальной безопасности США, похищенный и опубликованный в апреле текущего года хакерской группой The Shadow Brokers.
Для заражения вирус использует сетевой протокол SMB, реализующий удаленный доступ к файлам и устройствам в одной сети. Сегодня этот протокол используется системами семейства Windows, которые стали уязвимыми для WCry. Как сообщает Engadget, американская компания Microsoft уже выложила патч для операционной системы Windows XP и рекомендации по защите компьютера от вируса-вымогателя.
В качестве первых шагов защиты от нового вируса Microsoft предлагает отключить протокол SMBv1 , а также заблокировать на роутере (если оборудование это позволяет) порт 445 для входящего SMB-трафика. Если операционная система Windows (кроме XP, 8 и Windows Server 2003) получила обновление (выпущено еще в марте текущего года), то она не уязвима для WCry.
В ноябре прошлого года в сети распространение получил вирус-вымогатель HDDCrypto. В частности, он автоматы по продаже билетов трамвайной системы Muni Metro в Сан-Франциско. В результате автоматы по продаже билетов не работали почти сутки, и все это время трамваями Сан-Франциско можно было пользоваться бесплатно. За снятие блокировки вирус требовал сто биткойнов.
Василий Сычёв
