Как WannaCry «реализовала» сценарий «Терминатора-2»

Как WannaCry чуть не повторил сценарий из «Терминатора»

Пятничная атака криптовымогателя WannaCry началась почти по сценарию из фильма «Терминатор-2», когда вирус «Скайнета» заражает компьютеры по всему миру и в итоге запускает ядерные ракеты. Как минимум такие мысли возникли у пользователей соцсетей, когда они увидели опубликованную карту пораженных вирусом стран.

«Троян» сумел поразить на тот момент более 200 тысяч компьютеров в 150 странах. Среди стран наиболее пострадали Великобритания и Россия. Так, вечером 12 мая из сообщений в СМИ стало известно, что компьютеры из внутренней сети Следственного комитета, а также компьютеры МВД России подверглись хакерской атаке. Силовики эту информацию опровергли. В «Мегафоне» изданию «Медуза» подтвердили, что компьютеры компании подверглись кибератаке. В этот же день больницы, расположенные в различных частях Великобритании, были атакованы компьютеры: пользователи получили сообщения с требованиями выкупа. Атаковали и компьютеры телекоммуникационной компании Telefonica в Испании.

Секретарь Совета безопасности России Николай Патрушев на совещании по проблеме терроризма и миграции причислил Татарстан к регионам, наиболее пострадавшим от кибератаки. При этом ранее в Министерстве информатизации и связи РТ заявили, что государственные учреждения Татарстана не пострадали от кибератаки вируса WannaCry.

Кстати, в The Times посчитали, сколько пользователей повелось на уловку мошенников. Издание сообщило, что создатели вируса WannaCry заработали больше $42 тыс.

Пострадали от вируса и обычные пользователи по всему миру. Владельцы компьютеров выкладывали в соцсети фотографии своих мониторов, на которых запечатлены сообщения с требованиями о выкупе (чаще остальных фигурировала сумма $300).

Кто ты, Джон Конор нашего времени

Но, согласно жанру, на каждый «Скайнет» должен прилагаться свой Джон Коннор. И действительно, в мире нашелся такой человек. На роль спасателя, сумевшего остановить атаку, может претендовать обычный пользователь из Британии Дариен Хусс. Он писал под Twitter-аккаунтом MalwareTech.

Уже после начала кибератаки Дариен Хусс обнаружил зашитое в коде вредоносной программы незарегистрированное доменное имя, на которое направлялись запросы, сообщает The Guardian. Он приобрел меньше чем за $11 этот домен под именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. После этого он зафиксировал тысячи направляемых к нему в секунду обращений. Таким образом, регистрация домена приостановила работу WannaCry.

Тем временем программист из Таиланда Чанвит Каукаси совместно с коллегами из Технологического университета Суранари провинции Накхон Ратчасима создали программу Block Wannacry, способную блокировать вирус. Специалисты выложили приложение в интернет для бесплатного скачивания, передает The Nation.

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) 13 мая 2017 г.

Что за зверь такой

WannaCry является вирусом-шифровальщиком, а также эксплойтом. Вирусы-шифровальщики, оказываясь на компьютере, шифруют ваши данные. В результате владелец компьютера сначала не может открыть файлы, а затем получает сообщение с требованием выкупа в обмен за возврат доступа. Шифровальщик обычно попадает в компьютер из-за ошибок и невнимательности пользователей — клик «не туда», скачивание сомнительного файла, установка расширений.

Эксплойтом можно заразиться, даже никаких ошибок не делая, ведь этот подвид вредоносных программ эксплуатирует уязвимости в программном обеспечении. Он может пасть на компьютер при заходе пользователя на сайт, который содержит вредоносный код, через рассылку спама или фишингового письма, сообщает Kaspersky Daily. Фокус в том, что между открытием хакерами уязвимости, выходом обновления с исправлениями проходит время, за которое недобросовестные лица и могут проводить атаки.

Заражение через локальную сеть

В «Лаборатории Касперского» заявляют, что создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта 2017 года. Через этот эксплойт злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик. При этом отмечается, что если обновление было установлено на компьютер, то его систему удаленно взломать не получится. Но если шифровальщик каким-либо образом все же оказался на вашем компьютере, то обновления вас не спасут.

После того, как WannaCry взламывал компьютер, он по «локалке» попадал на другие компьютеры сети и начинал сканировать их на предмет наличия уязвимостей. По этой причине больше других от данной атаки пострадали крупные компании, чьи компьютеры объединены одной локальной сетью.

Ранее «Реальное время» сообщало о главных принципах безопасного поведения компьютерных пользователей.

А кто это сделал?

Секретарь Совета безопасности России Николай Патрушев заявил, что бездоказательно считать, что за кибератакой WannaCry стоят чьи-либо спецслужбы, передают «РИА Новости». По его мнению, если бы это были спецслужбы, нанесенный ущерб был бы более серьезным. В свою очередь президент Владимир Путин выразил мнение, что источник подобных действий — спецслужбы США, сообщает «Интерфакс».

До этого президент Microsoft Брэд Смит заявил, что за WannaCry стоят ЦРУ и АНБ (Агентство национальной безопасности). В сообщении на сайте корпорации говорится, что США в собственных интересах собирают информацию об уязвимости ПО. Смит сказал, что об уязвимостях в программном обеспечении Microsoft должны знать только разработчики, а не спецслужбы. Он также назвал произошедшее тревожным звонком и сигналом для правительств к пробуждению.

The Telegraph в своей публикации заявила, что отношение к WannaCry имеет кибергруппа Shadow Brokers. По мнению издания, связанные с Россией хакеры мстят США за авиаудары по Сирии.

Среди других версий о том, кто может стоить за глобальной кибератакой, называют северокорейских хакеров из группировки Lazarus. К такому выводу пришли аналитики американской компании Symantec и эксперты российской «Лаборатории Касперского».