«Никакого политического конфликта — это легкий способ монетизации»

Что известно о хакерской атаке, поразившей больницы Англии, компании Испании, сеть «Мегафона» и МВД.

С чего всё началось

Масштабная атака началась с Великобритании — днём 12 мая вирус под названием WanaCrypt0r 2.0 (также известный как WCry и WannaCry) заразил компьютеры британских больниц и других учреждений здравоохранения. Также появились сообщения о взломе нескольких компаний в Испании: оператора Telefónica, газовой компании Gas Natural, банка Santander и других организаций.

К вечеру 12 мая заражение достигло России, где поразило сети «Мегафона», МВД и, возможно, других организаций.

На момент написания заметки «Лаборатория Касперского» сообщила о 45 тысячах попыток атак в 74 странах. По данным компании, большая часть нападений приходится на Россию.

Что делает вирус

WannaCry блокирует работу Windows-компьютеров и показывает окно с сообщением о том, что все важные файлы на устройстве зашифрованы. Вирус требует выкуп ($300 в биткоинах) и угрожает увеличить требуемую сумму, если в течение трёх суток выкуп не будет внесён. Спустя неделю после заражения WannaCry обещает удалить заблокированные данные.

«Никакого политического конфликта — это легкий способ монетизации»

Компания Group-IB, которая специализируется на информационной безопасности, утверждает, что заражение обычно происходит по электронной почте, причём антивирусные приложения не замечают письма с вирусами. При этом требования о выкупе отображаются на разных языках, в том числе и на русском.

Кто подвергся атаке

WannaCry заразил часть компьютеров «Мегафона», из-за чего компания отключила несколько внутренних сетей, в том числе в точках продаж. По словам директора по связям с общественностью «Мегафона» Петра Лидова, заражение «выглядит, как в Англии, оформление такое же». «Есть проблемы с обслуживанием в точках продаж и есть проблемы в контакт-центрах из-за отключения компьютеров по соображениям безопасности. На работу сети "Мегафона" инцидент не повлиял», — добавил он.

К 21:30 по московскому времени «Мегафон» отчитался о восстановлении работы колл-центра. По словам Лидова, остальная работа по устранению проблем займёт несколько часов.

По данным Group-IB, вирус заразил сеть МВД. В группе «Подслушано у полиции» пользователи делятся сообщениями о проблемах и скриншотами окон-вымогателей, отмечает TJ.

«Никакого политического конфликта — это легкий способ монетизации»

Представители МВД подтвердили РИА Новости, что их компьютерная сеть подверглась кибератаке. «В настоящее время вирус локализован, проводятся работы по его уничтожению», — сообщили в ведомстве.

Ранее в пресс-службе МВД заявляли, что атак не было, но идут «плановые работы на внутреннем контуре». На сайте МВД вечером 12 мая появилось сообщение о «возможных неудобствах из-за плановых работ».

Источник «Газеты.ру» добавил, что WannaCry также заразил сети СК, но представитель ведомства Светлана Петренко в разговоре с ТАСС опровергла эту информацию. Издание 47news также сообщало о взломе баз данных об автомобилистах МРЭО Санкт-Петербурга и Ленинградской области.

Кроме того, пользователи сообщают о проблемах в сети городских электричек в Германии.

Только приехал во Франкфурт и увидел это. S-bahn, ты подцепил вымогателя!

Источники BBC говорят, что аналогичные атаки происходят по всему миру. На сайте Malwaretech опубликована интерактивная карта кибератак.

Откуда взялся WannaCry

По словам пользователей на форуме «Лаборатории Касперского», впервые WannaCry появился в феврале 2017 года, однако с тех пор он «был обновлён и теперь выглядит иначе» — теперь его труднее удалить.

Издание Motherboard отмечает «невероятную скорость распространения» вируса. По мнению журналистов, он может быть создан на основе одного из инструментов Агентства национальной безопасности США, который тоже мог шифровать данные на компьютере жертвы.

Экс-сотрудник АНБ Эдвард Сноуден: «Вау. Решение АНБ создать оружие для взлома американских приложений теперь угрожает жизням пациентов».

Были ли атаки целенаправленными

Вероятнее всего, нет. Запущенный на компьютере вирус заражает все остальные Windows-компьютеры, которые находятся в одной локальной, Wi-Fi или другой сети с устройством жертвы. Microsoft исправила уязвимость, которую использует вирус ещё 14 марта 2017 года, указывает Motherboard.

Таким образом, под угрозой оказались те устройства, на которых в последний раз устанавливались обновления системы до середины марта — вне зависимости от того, к чьей сети они принадлежат. Чтобы не попасть под заражение, некоторые компании (например, «Связной»), просят сотрудников не открывать подозрительные вложения в почте.

По мнению главы Group-IB Илья Сачкова, политической подоплёки в атаках нет. «Это легкий способ монетизации, и он часто используется злоумышленниками в целях обогащения. Никакого политического и другого внешнего конфликта этот тип атаки не подразумевает», — сказал он.

По данным TechCrunch, к вечеру 12 мая на указанный в окнах-вымогателях кошелёк поступило до $500 в биткоинах. «Медуза» проанализировала несколько связанных с вирусом кошельков и обнаружила, что на них было перечислено более $6 тысяч.

Как защитить себя от вируса

Microsoft выпустила специальный патч для систем Windows Vista и старше (7, 8.1 и 10, а также Server 2008/2012/2016) — он повторно закрывает уязвимость, которую использует WannaCry. Для систем Windows XP, Windows 8 и Windows Server 2003, поддержка который официально прекращена, компания выпустила отдельные патчи.

В Microsoft заверили, что пользователи антивируса Windows Defender защищены от взлома.

Для удаления вируса можно попробовать включить безопасный режим с загрузкой сетевых драйверов и провести сканирование системы с помощью антивируса, рекомендует TJ. Для восстановления файлов можно использовать программы- декрипторы, а также приложения вроде Shadow Explorer (для возвращения теневых копий файлов и исходного состояния зашифрованных файлов) или Stellar Phoenix Windows Data Recovery, но они не гарантируют полное восстановление данных.

99
27 комментариев

Стартап месяца

11

Комментарий недоступен

8

Смотреть сколько перевели им можно здесь:

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

2

Нужно было еще добавить скидку в данное предложение и оно было бы идеальным. Интересно, какая у ребят конверсия в перевод.

12

Старая тема, на самом деле. Больше похоже на раскрутку битков. Китайский след прослеживается в переводе.

2

Ну вы там в безопасном режиме винду антивирусом проверьте, мож пропадет и файлы сами дешифруются - рекомендует TJ.

12