Мир накрыла одна из крупнейших за всю историю хакерских атак. Вирус блокирует компьютер и требует выкуп в биткоинах в обмен на дешифровку файлов. "Страна" попыталась разобраться, что это за вирус, откуда появился и каким образом он атакует компьютеры по всему миру.
Как пишет сотрудник компании Avast (разрабатывает одноименный антивирус) Якуб Кроустек, новым вирусом заражены уже как минимум 36 тысяч компьютеров.
Какой вирус атакует компьютеры по всему миру?
Как стало известно, хакеры воспользовались шпионским программным обеспечением, которое применяет Агентство национальной безопасности США. ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers.
Программное обеспечение, согласно заверениям Shadow Brokers, нацелено на взлом компьютеров, работающих под управлением операционной системы (ОС) Windows производства Microsoft. С помощью них любой пользователь, обладающий достаточными техническими знаниями, может нанести ущерб миллионам пользователей этой ОС.
Вирус получил название WannaCrypt (WCry). Он зашифровывает все файлы на компьютере.
Что именно атакует вирус и как действует?
Российская "Лаборатория Касперского" зафиксировала около 45 тыс. атак программой-шифровальщиком "WannaCry" в 74 странах по всему миру; в наибольшей степени заражению подверглась Россия, Украин и Тайвань.
По словам представителя лаборатории, за расшифровку данных злоумышленники требуют заплатить выкуп в размере $600 в криптовалюте Bitcoin (первоначально было 300 долларов). Если оплата не поступит в течение 3 дней, то сумма удваивается. Если в течение 7 дней оплата не поступит, то файлы становятся недоступными навсегда - угрожают хакеры.
Специалист лаборатории пояснил, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.
"Все решения "Лаборатории Касперского" детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Решения Лаборатории Касперского также детектируют программы-шифровальщики, которые использовались в этой атаке следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (для детектирования данного зловреда компонент "Мониторинг Системы" должен быть включен)", - отметил он.
География атак нового вируса
El Mundo сообщила, что кибератака затронула множество государств. По ее информации, ряд объектов Национальной системы здравоохранения (NHS) Великобритании подверглись хакерской атаке, которая также на разных уровнях затронула Россию, США, Канаду, Китай, Италию.
Сообщается также, что вирус якобы уже парализовал работу компьютерных сетей Следственного комитета России и МВД РФ. Однако позже в Следкоме опровергли информацию о заражении, а в МВД РФ заявили, что хакерским атакам подверглись не более 1% рабочих станций и в настоящее время вирус локализован.
В социальных сетях сотрудники российского "Мегафона" начали жаловаться, что их компьютеры не работают, и они не могут обслуживать клиентов. В компании сначала говорили, что у них все в порядке, но затем подтвердили факт атаки. Позже в социальных сетях появлялись сообщения об атаках на другие российские операторы связи - "Связной" и "Билайн".
Откуда началась атака и как распространяется?
По неподтвержденным данным, атака исходит из Китая. Как заражаются компьютеры, в прямом эфире можно посмотреть на этой карте. По всему миру заражены уже тысячи компьютеров.
Во всех случаях появляется одинаковое красное окно.
Фото: twitter.com/fendifille
Бывший сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден подтвердил, что данный вирус исходит от АНБ. "Решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц", - написал он, комментируя хакерскую атаку на серверы больниц в Великобритании.
Кого выбирает вирус?
О ранней версии вируса WannaCrypt стало известно еще в феврале 2017 года. Он работает только на операционной системе Windows.
Microsoft закрыла уязвимость, которую использует вирус, еще в марте. На сайте производителя Windows опубликовано сообщение с призывом обновиться. Все, кто оказался заражен, по всей видимости, не обновились.
В настоящее время подобная атака для профессионалов не представляет никакой угрозы, так как любой работающий в сфере информационных технологий знает о необходимости иметь резервную копию всех данных. Если же её нет, то это порождает массу вопросов к квалификации тех, кто работает в подобных компаниях.
"Если вы в 2017 году не делаете резервную копию своих информационных систем, то вам, наверное, не нужно работать с информационными технологиями. Если у вас есть резервная копия, опасность вируса равна нулю. Если нет, то вы либо потеряете данные, потому что там применяется идеальная криптография: расшифровав один компьютер, вы не расшифруете второй, потому что там разные ключи на каждом, либо вам придётся платить злоумышленнику", - считает генеральный директор Group-IB Илья Сачков
Как спастись от вируса?
Для снижения рисков заражения программисты рекомендуют компаниям установить патч от Microsoft, убедиться в том, что включены защитные решения на всех узлах сети, а также запустить сканирование критических областей в защитном решении.
Сам "шифровальщик" вирусом в классическом его понимании не является. Он не размножается, не маскируется, не модифицирует системные файлы - просто шифрует (весьма быстро) текстовые файлы и документы на локальном диске и подключенным к нему сетевым дискам. Размножается чаще всего посредством электронной почты - приходит письмо с вложением, а там что-то вроде "Налоговая задолженность, квитанция для оплаты в приложенном файле (или по ссылке).
"Пользователь открывает файл или грузит его по ссылке и все - шифрование пошло. Единственный способ спасти оставшиеся данные, если у вас нет бэкапа, - немедленно выключить компьютер", утверждает технический директор KP.ru.
"После детектирования MEM:Trojan.Win64.EquationDrug.gen необходимо произвести перезагрузку системы; в дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных атаках и возможных заражениях", -заявил представитель "Лаборатории Касперского".
Газета.ру также напоминает о самых элементарных правилах компьютерной безопасности.
1. Обновляйте установленные антивирусные программы в строго установленные сроки.
2. Обращайте внимания на то, какие файлы из почты вы скачиваете на свой рабочий и домашний компьютер.
3. Лучше всего если вашим компьютером, что на работе, что дома, пользуетесь только вы.
4. Обновляйте все приложения и программы. Программисты работают над устранением брешей в безопасности своего софта. Не пренебрегайте их трудом.
5. Установите антивирусы на мобильные устройства.
6. Будьте осторожны даже с теми источниками, которым вы доверяете. Их тоже могут взломать.
7. Сочетайте разные антивирусные технологии. Не только общее сканирование, но и сканеры на отдельные, например, браузеры.
8. Имейте запасную антивирусную программу, софт которой записан на отдельный — «чистый» и проверенный носитель.
9. От греха подальше, делайте резервные копии важных документов на отдельном носителе.
10. И главное, если вас вдруг «взломали», не паникуйте. Главное, помните, что любую проблему можно исправить.