Вирус-вымогатель WannaCry 2.0 в пятницу всего за пару часов заразил десятки тысяч компьютеров в различных странах по всему миру. В России жертвами вредоносного ПО стали региональные управления МВД, Следственного комитета и оператор «Мегафон». Вирус шифрует данные на компьютере жертве и требует выкуп в размере $300. Если за три дня пользователь не переведет деньги в криптовалюте — сумма вырастает до $600. Через неделю вернуть файлы уже нельзя. Публикуем статью из блога директора АНО «Инфокультура» Ивана Бегтина, в которой он анализирует вредоносную программу.
Новый вирус/червь/программа-вымогатель (ransomware) под названием WannaCry заразил уже десятки тысяч компьютеров.
Компания Malware Hunter Team специализирующаяся на ransomware и регулярно публикует текущий статус заражений у себя в твиттере. Например, 6 часов назад число зараженных компьютеров перевалило за 83 тысячи.
В NYTimes на основе их данных сделали анимированную карту , на которой можно увидеть что в основном пострадали страны постсоветского пространства.
Об атаке пишут:
- Лента.ру: «Это самая массовая атака в истории»
- Cnews: «Полицейские ПК по всей России атакованы: Троян шифрует данные и требует выкуп. Видео»
- BBC Russia: «WannaCry: как работает крупнейшее компьютерное вымогательство»
а
Есть еще десятки других сообщений в СМИ. Многие пишут, что это крупнейшая атака на компьютерные сети за всю историю интернета, кто-то уже акцентирует внимание на то что используется эксплойт, ассоциированный с недавними разоблачениями АНБ.
Я попробую разобрать историю подробнее. WannaCry использует эксплойт EthernalBlue, который несколькими экспертами идентифицируется как эксплойт, разработанный АНБ. Об этом пишут Forbes и CNN.
Forbes ссылается на пост независимого эксперта по Malware:
Использование EthernalBlue подтверждается также в публикации испанского Cert. Malware bytes опубликовали детальный анализ устройства WannaCry. Тоже с подтверждением что тот использует эксплойт EthernalBlue. Особенность этого эксплойта в том, что он работает против уязвимости MS17–010, обновление для которой Microsoft подготовило еще 14 марта.
Это обновление давно уже должно было автообновиться по всему миру и мало какой компьютер был бы ему уязвим. И тем не менее десятки тысяч компьютеров по всему миру и особенно в России оказались заражены вирусом.
Как же так получилось и почему, особенно, упоминаются государственные органы, банки и другие организации?
- Проблема/особенность в том что во всех организациях, где есть большой закрытый контур, у ИТ специалистов есть большой соблазн вместо легального ПО или открытого ПО устанавливать пиратские версии операционных систем с отключенными обновлениями.
- Вторая по значимости проблема в том что во многих организациях работающих с разного рода «тайнами», банковской, служебной или какой-либо еще, отключают автоматическое обновление ПО на всех ОС Windows. Часто это происходит по причинам, связанным с безопасностью обновлений, неуправляемыми перезагрузками ПО и так далее.
- Огромное число организаций во внутренних контурах до сих пор используют Windows XP более не поддерживаемую Microsoft.
а
Как следствие, каковы будут последствия в России для WannaCry?
- Резкий рост расходов государства на кибербезопасность в самое ближайшее время
- Сохранение ограничений и запретов на использование BitCoin’ов
Но, к сожалению, не произойдет главного. Массового перехода на свободное ПО включая свободные операционные системы.