WannaCry взял в заложники весь мир: вирус-вымогатель заразил десятки тысяч компьютеров в 74 странах, включая Россию

Вечером 12 мая компьютеры в Европе и Азии стали жертвой невиданной доселе глобальной атаки хакеров. Как сообщает BBC, орудием кибератаки стал ранее неизвестный "вирус-вымогатель".

По данным "Лаборатории Касперского", в общей сложности было проведено 45 тыс. атак в 74 странах мира, при этом, основная их часть пришлась на Россию. Под действие вредоносной программы попали, в том числе, серверы МВД России (включая ГИБДД), а также российских телекоммуникационных компаний "МегаФон" и "ВымпелКом". Как сообщает "Дождь", вирус заразил более 70 тыс. компьютеров по всему миру, а началось все с сотового оператора Telefonica в Испании и больниц в Великобритании.

Примечательно, что не подвергались заражению серверные ресурсы МВД России благодаря использованию иных операционных систем и отечественных компьютеров с российским процессором "Эльбрус".

В настоящий момент вирус локализован, проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты", —

сообщила официальный представитель МВД России Ирина Волк.

Как отмечают пострадавшие, вирус блокирует экран компьютера, требуя за восстановление работы оплату в биткойнах, эквивалентную определенным суммам в долларах США.

Скриншот зараженного компьютера /ФОТО: открытые источники

Программа WannaCry, (Wanna Crypt, Wanna Decryptor)  — это так называемый Ransomware — софт, предназначенный для вымогания. После установки на компьютер жертвы программа либо зашифровывает часть важных файлов, требуя деньги за инструкцию и пароль для расшифровки, либо блокирует работу систему, выводя на экран окно с угрозами. WannaCry делает и то, и другое: шифрует базы данных, блокирует компьютер и выводит сообщение с требованием внести сумму выкупа на биткоин-кошелек злоумышленника.

В "Лаборатории Касперского" пояснили, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик. Суммы выкупа разнятся: хакеры требуют от $200 до $600. Если в течение двух дней жертва не оплатит выкуп, его сумма будет увеличена. Если пользователь откажется платить в течение недели, зашифрованные файлы удалятся.

Зараженный вирусом WCry компьютер /ФОТО: соцсети

Судя по тому, что на одном из таких кошельков (сообщается, что их несколько) уже лежит 4 биткоина (более $6700), кто-то испугался угроз: 22 транзакции датируются 13 мая. Атаку 12 мая специалисты уже называют крупнейшим Ransomware-взломом с самой высокой эффективностью в первые 8 часов работы.

В Сети появилась появился инфографик, демонстрирующий в динамике распространение вируса по миру. Итоговая картина выглядит так, как показано ниже на статичной картине, а динамическое распространение вируса по земному шару можно увидеть по ссылке.

Check out this NYT post, they made a really cool time based map with my data https://t.co/K7lVjagq29

— MalwareTech (@MalwareTechBlog) 13 мая 2017 г.

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы. Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать.

Сразу после регистрации домена к нему пришли десятки тысяч запросов, пишет "Медуза".

#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2

— Darien Huss (@darienhuss) 12 мая 2017 г.

Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.

— MalwareTech (@MalwareTechBlog) 13 мая 2017 г.

Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

По мнению специалистов по компьютерной безопасности из ряда пострадавших стран, серверы и компьютеры атакованы вирусом WannaCry. По данным Financial Times, он представляет собой модифицированную вредоносную программу Агентства национальной безопасности США Eternal Blue. Она позволяет вирусу распространиться через протоколы обмена файлами, которые установлены на компьютерах многих организаций.

Как утверждают эксперты по кибербезопасности из MalwareHunterTeam, помимо России и Тайваня, под ударом оказались и Великобритания, Испания, Италия, Германия, Португалия, Турция, Украина, Казахстан, Индонезия, Вьетнам, Япония и Филиппины.

Вирус использует уязвимость в ОС Windows. Однако компания Microsoft закрыла ее еще в марте. Если на вашем компьютере включена автоматическая установка обновлений, "вымогатель" вам не грозит, но если вы обновляете систему вручную, вам нужно следовать инструкции.