«Это мог бы сделать увлекающийся школьник»: кто стоит за поразившим мир вирусом WannaCry и как от него защититься
Вирус WannaCry заразил с 12 мая свыше двухсот тысяч компьютеров по всему миру, в том числе в России, где пострадали системы МВД, МЧС и РЖД. 15 мая вирусную атаку прокомментировал даже президент Владимир Путин. Он заявил, что Россия не имеет к хакерской атаке никакого отношения, а виновники случившегося — спецслужбы США. Насколько российский президент прав, и как защититься от вируса, рассказала Лилия Яппарова.
Те, у кого вовремя обновился Windows, этой атаки даже не заметили. Для всего остального мира она шла так быстро, что единственным способом защиты было выключить компьютер. Онкологическая клиника в Индонезии, автозаправки в Китае, сеть кинотеатров в Южной Корее, МВД, МЧС, Минздрав, РЖД — 200 тысяч заражений в более 150 странах. И это утренние цифры Европола.
Больше всего и, по статистике «Лаборатории Касперского», с большим отрывом пострадала Россия. Вирус-вымогатель WannaCrypt — при желании название можно перевести «Ну что, поплачем?» — блокировал компьютеры по всей Азии и Европе. Единственное, что можно было увидеть на экране зараженной машины, — это письмо с угрозами: «Упс, все ваши файлы зашифрованы. Хотите их вернуть — платите 300 долларов в биткоинах. Протяните три дня — платить придется в двое больше. Протяните неделю — потеряете все файлы».
Кто стоит за атакой — неизвестно. Эксперты уже предположили, что источником может оказаться Китай. Записки с угрозами были написаны больше чем на 20 языках, но на мандаринском гораздо грамотнее, чем по-английски. Вообще организовать атаку мог кто угодно. Хакерский инструмент, с помощью которого его устроили, был украден у Агентства национальной безопасности США и выложен в открытый доступ. У АНБ тогда утекли программы для эксплуатации уязвимости в операционной системе Windows. Кибероружие настолько мощное и дружелюбное к пользователю, что, как рассказывает сотрудник Group-IB Сергей Никитин, использовать его смог бы и увлекающийся школьник, и средней руки сисадмин.
Украденная у американских спецслужб программа обеспечивала доступ к компьютеру. А вот вирус, который зашифровывал данные, дописали отдельно и как будто на коленке. При работе он распаковывает целую кучу файлов, то есть оставляет целую кучу следов. Более того, в изученных Group-IB образцах кода можно найти именно файлы и пути к ним — это осколки той рабочей среды, в которой разрабатывалась атака.
Сергей Никитин, замруководителя лаборатории по компьютерной криминалистике: Учитывая, насколько безобразным образом написан сам вирус-шифровальщик, то есть он прям такой, очень низкого качества, я думаю, что они не ожидали, что их банальный криптоблокер просто с небанальным путем распространения получит такую невероятную огласку. Возможно, это вообще была какая-то тестовая сборка. Но она просто лавинообразно как раз из-за своей архитектуры захлестнула и заразила все подряд.
Вирус написан так слабо, что уже ничего не расшифрует обратно. Как считают в Group-IB, все пораженные файлы уже потеряны, можно хотя бы не переживать, что куда-то утечет переписка сотрудников МВД.
Сергей Никитин, замруководителя лаборатории по компьютерной криминалистике: Очевидно, что когда вирус шифрует всю информацию, переживать за утечку не стоит, потому что он не держит никаких механизмов по выкачиванию информации, по удаленному управлению, по еще чему-то. Теперь информация отлично защищена, в том числе от самих владельцев информации.
За тремя счетами, на которые хакеры требуют перечислить выкуп, установлено наблюдение. Британская спецслужба с Европолом пытается поймать этих людей, что называется, за руку при выводе средств. Сооснователь блокчейн-ассоциации в России Александр Углов считает, что деньги на этих счетах останутся еще надолго.
Александр Углов, основатель TheFerma.media: Сейчас каждая транзакция с этими счетами будет изучаться вообще под микроскопом. Не только АНБ, ФБР, но и тысячи любителей будут смотреть за этими кошельками.
В этих трех биткоин-кошельках уже почти 50 тысяч долларов. Но для хакеров сейчас любая транзакция может оказаться последней.
Александр Углов, основатель TheFerma.media: Заходите на Blockchain.info и смотрите, из какого кошелька куда, кто, кому переводит. После этого вы смотрите, с какого IP этот кошелек осуществлял транзакцию, на какой бирже либо напрямую, через какой кошелек он это делал. Так или иначе, это все на ладони.
Этот вирус заражает все, до чего может добраться. Если ваш компьютер смотрит в интернет напрямую, не через прокси-сервер, не через сложный роутер, то вы под угрозой, и все IP-адреса вокруг вас.
США не пали жертвой атаки только потому, что она была приостановлена до американского рассвета. Когда в России уже заразили МВД, в Штатах еще, в основном, не включили компьютеры.
Но вирус продолжает мутировать. Как рассказали РБК в аудиторской компании PricewaterhouseCoopers, новых штаммов уже три сотни. Некоторые файлы не просто зашифровывают, но и крадут. Эксперты советуют: обновите Windows и перезагрузитесь. Антивирусы не помогут.
На превью: Владимир Астапкович / РИА Новости