Вирус-вымогатель WanaCrypt0r 2.0 или WCry атаковал уже более 70 тысяч компьютеров по всему миру, начав с сотового оператора Telefonica в Испании и больниц в Великобритании. Больше всего атак было зафиксировано в России, им подверглись в том числе МВД и сотрудники компании «Мегафон». Дождь разобрался, для кого он опасен и как от него обезопасить ваш компьютер.
Что это за вирус
WanaCrypt0r 2.0 или WCry заражает только компьютеры Windows. Он шифрует файлы пользователя, изменяет их расширение на .WNCRY и требует купить специальный ключ за биткоины (по последним данным, это 600 долларов, ранее сообщалось о 300), угрожая удалить файлы. В названии всех зараженных файлов появляется пометка WANACRY! («хочу плакать»). «У вас осталось всего 3 дня, чтобы сделать платеж, после чего цена будет удвоена, и если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы никогда», — цитирует появляющееся на зараженном компьютере сообщение сайт Motherboard.
Вот что появилось на экранах всех рабочих компьютеров Мегафон Ритейл @eldarmurtazin pic.twitter.com/pQsMRMe6zg
— Даниил Баздырев (@dabazdyrev) 12 мая 2017 г.
Вредоносная программа распространялась по электронной почте. Жертвам был отправлен зашифрованный сжатый файл, который при загрузке поражал компьютер. Разработчик антивирусов Avast предполагает, что за распространением стоит кибергруппировка The Equation Group, которая использует инструменты уязвимости, разработанные Агентством национальной безопасности США.
«Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит (программы-вирусы, которые позволяют удаленно контролировать компьютер — прим.), используя который злоумышленники запускали программу-шифровальщик», — сообщили «Медиазоне» в «Лаборатории Касперского».
Представители компании Avast сообщили, что первая версия вируса WanaCrypt0r появилась в интернете в феврале. Сейчас он действует на 28 разных языках, от болгарского до вьетнамского. Специалисты заявили, что атаки 12 мая начались с 10 часов утра.
Кого он заразил
Система здравоохранения в Великобритании была полностью парализована из-за того, что вирус заблокировал файлы с историями болезни пациентов. Заразить компьютеры как минимум в 25 больницах, как пишет The New York Times, удалось, потому что на них вовремя не установили обновления, хотя патч уязвимости Microsoft выпустила еще в марте. По данным Reuters, сотрудники британской Национальной службы здравоохранения были предупреждены об угрозе кибератаки в пятницу, однако было слишком поздно. Служба здравоохранения города Стивенидж в графстве Хартфордшир даже отложила все несрочные приемы пациентов и попросила людей не приходить в отделение скорой помощи в Lister Hospital.
Испанский оператор Telefónica заявил, что нападение было направлено на внутренние сети, а не на клиентов. В полиции Португалии сообщили, что стране грозят «компьютерные атаки в больших масштабах против различных португальских компаний, особенно операторов связи».
Информация об атаках поступала также из Испании (оператор Telefonica), Турции, Вьетнама, Филиппин, Японии, Тайваня и Украины. Однако большинство пострадавших компьютеров, по данным NYT, находятся в России. Этот факт подтвердили и в «Лаборатории Касперского».
36,000 detections of #WannaCry (aka #WanaCypt0r aka #WCry) #ransomware so far. Russia, Ukraine, and Taiwan leading. This is huge. pic.twitter.com/EaZcaxPta4
— Jakub Kroustek (@JakubKroustek) 12 мая 2017 г.
Что происходило в России
Официально факт атаки подтвердили в МВД. В ведомстве заявили, что заражено менее 1% всех компьютеров ведомства. Пользователи «Пикабу» пишут, что компьютеры МВД атаковали в Липецкой, Пензенской, Калужской областях. По данным блогера Ильи Варламова, речь также идет о Татарстане. А на сайте ведомства появился баннер с предупреждением: «Уважаемые посетители, приносим свои извинения за возможные неудобства при работе с сайтом, ведутся технические работы».
«Газета.ру» со ссылкой на источник в силовых структурах сообщила, что атаке подверглись внутренние сети Следственного комитета. Однако представители Следственного комитета РФ опровергли информацию об атаках хакеров.
О кибератаке заявили и в «Мегафоне». «Компьютеры шифровались и просили выкуп. Оформление такое же, [как и в Великобритании]», — сказал «Медузе» директор «Мегафона» по связям с общественностью Петр Лидов. В компании заявили, что атака затронула большую часть регионов страны.
Что делать?
Если у вас Windows, и ваш компьютер пока не заражен, вам нужно установить все доступные обновления. Другие операционные системы вирус не атакует.
В некоторых случаях выплата выкупа хакерам позволит разблокировать файлы, но это происходит не всегда, пишет The Guardian и советует не делать этого. По данным «Медузы», пользователи перевели создателям вируса уже более 6 тысяч долларов. Издание предполагает, что атака продлится недолго, так как срок хранения вредоносного Ransomware обычно короткий. Но если компьютер уже заразился, вы вряд ли можете что-то сделать. Если у вас есть резервная копия компьютера, вы сможете все восстановить после переустановки системы, но если нет — вы в любом случае потеряете файлы.
Фото: depositphotos.com