WannaCry. Червь, который смог

В пятницу, 12 мая, без объявления войны, началась одна из крупнейших кибератак на пользовательские компьютеры в истории. По состоянию на 15 мая было заражено около 250 тысяч компьютеров. Легли многие: Британская система здравоохранения, Deutsche Bank, МВД России, FeDex, банкоматы в Индии, диспетчерские системы в Хитроу и многие другие, которые не афишируют этого.

А всему виной вирус-шифровальщик WannaCry (он же WannaCrypt и WannaDecrypt0r). Опасен только для Windows. Если попадает на компьютер — шифрует все файлы и предлагает дать ключ за 300 вечнозелёных (в биткоинах).

Чтобы защититься, достаточно скачать обновление ОС Microsoft за март 2017 года.

А вот история появления этого вируса заслуживает отдельного разговора.

Все мы знаем, что американское NSA (оно же Агентство национальной безопасности) обладает огромными возможностями в плане кибератак, кибершпионажа и других киберштук. Но где-то между 2015-м и летом 2016 года произошла огромная утечка информации с грифом Top Secret.

Как впоследствии стало ясно, от NSA утекло огромное количество документов, где детально описывались уязвимости огромного количества всевозможных систем (начиная от Windows и Linux и заканчивая телевизорами Panasonic) и перечень инструментов-эксплойтов, которые могли использовать эти уязвимости.

Настоящий клондайк артефактов для хакеров.

В августе 2016-го группа, называющая себя Shadow Brokers, взяла на себя ответственность за эту утечку. Достоверно известно, что они начали этими документами торговать. Но торгуют они настолько глубоко в подполье, что до конца неизвестно, кому же они их продают. Возможно, что продают другим хакерским группам, возможно — государствам, готовым покупать подобное, либо компаниям, чьи уязвимости были раскрыты. Что примечательно, они регулярно выбрасывают в открытый доступ части этих документов для всеобщего бесплатного пользования. Это, в свою очередь, они делают либо для демонстрации наличия этих документов, либо просто потому, что не смогли продать.

Именно здесь на сцену выходит вирус-криптор WannaCry.

14 апреля 2017 года Shadow Brokers публикуют эксплойт EternalBlue [https://en.wikipedia.org/wiki/EternalBlue]. Вдаваться в подробности не буду, но этот эксплойт позволяет удалённо подключаться к машине без ведома пользователя и делать на ней свои тёмные дела.

В начале мая кто-то написал несложный вирус-криптор, который использовал эту уязвимость протокола Windows, чтобы пробраться внутрь и зашифровать все файлы. Но чего точно никто не ожидал — так это подобного масштаба заражения. Вирус случайным образом перебирал всевозможные порты для подключения и в случае успешного обмана машины подключался к ней и закидывал сам криптор, который, в свою очередь, шифровал всё содержимое на диске.

Очень интересная деталь — Микрософты уверяют, что пофиксили эту дыру ещё в марте, за несколько недель до публикации уязвимости, что наводит на подозрение, что данные об этой уязвимости продали/передали им сами Shadow Brokers. Но тогда вопрос — зачем публиковать эксплойт, который уже, по идее, исправлен? Это наводит на подозрение, что Shadow Brokers многие решения принимает не только из корыстных побуждений, но и ради лицезрения сокрушения крупнейших систем в мире. Или просто ради лулзов, что тоже очень ценится в хакерской субкультуре.

Если компьютер таки поймал этот вирус — уже ничего не спасет. Только платить выкуп биткоинами либо сносить Винду со всеми вашими личными файлами.

Тайна самой группы Shadow Brokers тоже покрыта мраком. Сноуден и некоторые другие видные деятели говорят о том, что они могут быть связаны с Кремлём, так как их следы похожи на те, что были замечены после взлома почтовых ящиков членов демпартии США и почты штаба Макрона. Но с другой стороны, это также может быть группа независимых друг от друга хакеров, которые иногда объединяются ради совместных операций. В общем, ясно, что ничего не ясно.

Поэтому ребята, если вам нужен был знак свыше, что пора заняться своей кибербезопасностью — самое время начать это делать. Эта ситуация наглядно демонстрирует, насколько несерьёзно пользователи относятся к самым базовым правилам безопасности. 250 тысяч пользователей машин забыли (или забили) обновить свои машины, и нате вам — проблемы по всему миру, начиная от потери файлов обычных пользователей и заканчивая параличом объектов инфраструктуры.

Помните, вирус может найти вас не только, если вы ходите по левым сайтам и скачиваете левые программы. Поэтому держите хвост пистолетом, антивирус активированным, бэкапы регулярными — и всё будет хорошо.

Алексей Дубилет

One thought on “WannaCry. Червь, который смог

  1. Нормальные люди, винду держат на диске С,а свои личные файлы на др.диске.Хотя.. «нормальные» люди «держат» линукс

Comments are closed.