Вирус бродит по планете

Что случилось

В пятницу по всему миру начал распространяться новый компьютерный вирус, получивший название WannaCrypt (от wanna cry — «хочу плакать» и (en)crypt — «шифровать»). Жертвами вредоносной программы стали десятки тысяч пользоватей пользователей в 150 странах, большинство из которых — компании. Это обусловлено особенностями самого вируса — он передается, в основном, через локальные сети. Одними из первых пострадали испанские предприятия: телекоммуникационный гигант Telefonica, газовый холдинг Gas Natural, банк Santander и местный филиал аудиторской компании KPMG.

Известно, что французский автопроизводитель Renault вынужден был остановить работы на нескольких заводах во Франции и Великобритании. Прокуратура Парижа проводит расследование по этому поводу.

В России жертвами киберпреступников стали «Мегафон», МВД и Следственный комитет. Причем если в операторе мобильной связи, пусть и не сразу, но признали проблему, в двух ведомствах сделать это до сих пор отказываются. О заражении госорганов стало известно от блогеров и специалистов по компьютерной безопасности.

«Есть сбои в доступе к данным, но офисы сейчас уже закрыты, поэтому больших проблем нет. Наша связь работает нормально, на абонентах это никак не сказывается», — рассказали в «Мегафоне», заверив, что устраняют неполадки. Также были слухи о заражении «Билайна» и сети салонов сотовой связи «Связной», но в самих компаниях эту информацию опровергли. В «Билайне» заявили, что отразили атаку.

Как действует вирус

Попав на компьютер, работающий на операционной системе Windows, вредоносная программа блокирует пользователю доступ и выводит на экран сообщение, в котором требует выкуп за восстановление контроля над файлами (до этого момента все хранящиеся на устройстве данные шифруются). Размер выкупа одинаковый и не зависит от страны — 300 долларов, причем перечислить эту сумму вымогателям можно только в биткойнах по текущему курсу. На это дается три дня, в случае просрочки заплатить придется в два раза больше. Через неделю создатели вируса обещают безвозвратно уничтожить зашифрованные данные. Для тех, кто не разбирается в биткойнах, мошенники подготовили инструкцию и пообещали некие «бесплатные мероприятия».

Преступники используют даже некоторое подобие маркетинговых ходов: пострадавшим предлагается расшифровать часть утраченных данных бесплатно, однако вернуть все файлы можно только после перечисления 300 долларов на указанный счет.

Впрочем, пользоваться этими деньгами злоумышленники не спешат. Правоохранители из разных стран пока не зафиксировали ни одной попытки снять выкуп со счетов, которые находятся под постоянным наблюдением спецслужб. Обналичивание позволило бы вычислить создателей вируса.

Платят ли выкуп

Платят. По данным The Guardian, к утру понедельника жертвы суммарно перечислили 42 тысячи долларов. Причем поток платежей резко возрос к концу выходных: к вечеру пятницы их было всего 32. На пострадавших, очевидно, подействовали угрозы удвоения «расценок» и полного уничтожения файлов через неделю.

У преступников возникли проблемы

Уже в субботу распространение WannaCrypt удалось остановить, причем случайно. Анонимный специалист по компьютерной безопасности, ведущий в твиттере аккаунт @MalwareTechBlog (зарегистрирован в Великобритании), рассказал, что выявил во вредоносной программе серьезную уязвимость. Он заметил, что вирус постоянно обращается к домену со сложным адресом iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Самого домена программисту обнаружить не удалось, поэтому он решил зарегистрировать его и наблюдать за тем, что будет происходить. В итоге выяснилось, что в коде вируса было заложено губительное для него самого условие: при удачном обращении к домену заражение автоматически прекращается.

На следующий день создатели WannaCrypt выпустили обновленную версию: они изменили строчки кода с упоминанием домена так, чтобы распространению программы ничего не мешало.

Что известно о природе вируса

Он распространяется вслепую и только на те компьютеры, где не установлено специальное обновление от Microsoft. Еще в в марте корпорация выявила уязвимость в своей операционной системе Windows и решила защитить пользователей. Однако бесплатное приложение не у всех устанавливается автоматически: система позволяет отказаться от обновлений вовсе или загружать их только с согласия владельца компьютера. Такой опцией пользуются многие компании. Именно они и оказались заражены.

Между тем, многие специалисты говорят о том, что создание и распространение WannaCrypt было бы невозможным без действий американских спецслужб. Глава Microsoft Брэд Смит прямо возложил ответственность за сложившуюся ситуацию на ЦРУ и АНБ. По его словам, именно они много лет собирали данные об уязвимостях программного обеспечения (о чем стало известно из публикаций WikiLeaks), которые теперь были украдены.

«Эквивалентный сценарий с обычным оружием можно представить, если бы у армии США украли несколько ракет Tomahawk», — заявил Смит. Он также призвал власти разных стран не использовать подобную информацию в собственных интересах, а передавать ее напрямую разработчикам, в том числе и Microsoft: «Правительства по всему миру должны воспринять эту угрозу как призыв к пробуждению».

С топ-менеджером согласен и Эдвард Сноуден, когда-то работавший на АНБ. «Несмотря на предупреждения, АНБ создало опасные инструменты для хакерских атак, которые могли быть нацелены на западное программное обеспечение. Сегодня мы видим цену этому», — написал он в твиттере, предложив Конгрессу США спросить у руководства спецслужбы об остальных известных ей уязвимостях. «Должно ли АНБ теперь создать патч, [который поможет побороть вирус]?» — задается вопросом Сноуден.

Какие еще версии

Председатель некоммерческого партнерства «Союз защитников информации» Александр Бражников считает, что нынешняя атака может быть подготовкой к более масштабной и хорошо организованной акции. «Я не знаю ни одной жалобы от обычных людей. Пострадали государственные органы и компании в разных странах. В этих организациях, скорее всего, были "дыры" в информационной безопасности, через которые злоумышленники и проникли, после чего пошли уже заражать другие компьютеры сети. Это похоже на революцию, когда захватывают телеграф. Так же и тут — атакуют банки, транспортные системы, связь».

«Причем это не самый крупный вирус. В рейтинге Лаборатории Касперского он только на десятом месте на данный момент. То есть это далеко не самый крупный вирус, просто очень медийный, — продолжает Бражников. — Если бы он действовал в полную мощность, заражены были бы уже миллионы компьютеров, а не сотни тысяч. Очень похоже на то, что это некая репетиция перед более глобальными атаками, своеобразная проверка».

Последствия

Ситуация пока не повлияла на котировки акций Microsoft. В пятницу о вирусе было известно слишком мало, а в выходные биржи, в том числе и NASDAQ, на которой торгуются бумаги корпорации, не работали.

«Я думаю, понедельник покажет. Надо посмотреть, как будут работать системы, в первую очередь госорганов. Система ГИБДД, судебных приставов. Я думаю, наши среагировали вовремя. Проблема была бы, если бы вирус попал в государственную базу данных и зашифровал все, что там находится. Но, я думаю, такого не произошло, и скоро все заработает нормально», — говорит Бражников.