Россиян подвел пиратский софт

Пользователи Windows в конце прошлой недели подверглись беспрецедентной атаке. Появился вирус, который самостоятельно проникает в компьютер — для заражения обычным зловредом пользователю нужно было скачать из сети файл. По данным «Лаборатории Касперского», пострадали в основном пользователи из России. Сообщалось об атаках на многие госорганизации, в том числе МВД, Банк России и Минздрав. Кибератаку отражали в РЖД, Сбербанке, «МегаФоне», «ВымпелКоме» и многих других компаниях. Остановить атаку удалось случайно.

Россиян подвел пиратский софт при атаке WannaCry
© ИЗВЕСТИЯ/Алексей Майшев

Судьба пропавших файлов неизвестна

12 мая началось массовое распространение вируса WannaCry. «Лаборатория Касперского» зафиксировала более 45 тыс. атак в 74 странах. При попадании в компьютер вирус начинает шифровать многие разновидности файлов — фотографии, музыку, фильмы, текстовые документы, презентации, архиваторы и так далее. После этого пользователю выводится сообщение: если он хочет расшифровать свои файлы, нужно отправить злоумышленникам $300. Если это не сделать за определенное время, цена вырастет вдвое. Специалисты из антивирусных компаний призывают пользователей не платить злоумышленникам. — Вымогатели — преступники и законам не подчиняются, — подчеркнул генеральный директор компании Attack Killer (входит в ГК InfoWatch) Рустэм Хайретдинов. — Может быть, придет ключ, а может, и нет. Платить — значит, в любом случае провоцировать новые преступления. Руководитель отдела динамического анализа вредоносного кода компании Group-IB Рустам Миркасымов рассказал, что даже если пользователь заплатит и получит код для расшифровки, то спасти можно будет только один компьютер. — Для каждого устройства формируется свой уникальный ключ, — пояснил Рустам Миркасымов. — Платить в любом случае нельзя. Таким образом стимулируется нелегальный бизнес. Можно ли расшифровать файлы, не посылая деньги, — пока неизвестно. По словам специалистов, ключ очень сложный. Но если пользователи применяли сервисы резервного копирования данных, тогда можно откатить систему к предыдущей точке восстановления.

Нужен только включенный компьютер

Быстрому распространению вируса способствовала новая уникальная технология, которая ранее не применялась для кибератак. — Быстрое распространение вируса связано как раз с технологией его распространения — оно не требовало никаких действий от пользователя — ни открытия каких-то файлов, ни чтения почты, ни нажатия ссылок. Нужен только включенный компьютер с непропатченной Windows, подключенный к интернету, — отметил Рустэм Хайретдинов. По словам Рустама Миркасымова, вирус атаковал компьютеры через 445 порт. Уязвимыми к атаке оказались пользователи локальных сетей: корпоративных или частных, например, если местный провайдер создал для своих абонентов внутреннюю сеть. Именно у таких компьютеров порты доступны из интернета для данной атаки. Если хотя бы одно устройство в сети было заражено вирусом, то под ударом оказываются все. Пользователи, которые выходят в интернет со своего домашнего роутера, такой опасности не подвержены. Для подключения к своим командным серверам программа устанавливает на устройство жертвы браузер Tor (используется для обеспечения анонимности в интернете). При попадании на компьютер червь моментально начинает шифровать файлы. — На шифровку нужно время. Пока это происходит, очень интенсивно работает процессор, — рассказывает Миркасымов. — Если пользователь заметит, что на его устройстве сильно загружен процессор или файлы получают неизвестное расширение или вовсе исчезают, то устройство нужно немедленно обесточить и отнести к специалистам. Тогда часть файлов можно будет спасти.

Разработка АНБ

Основная часть пользователей, пострадавших от атаки вируса, находится в России. — Атака шла на все уязвимые компьютеры, и российские пользователи оказались наименее подготовленными к ней. Почему — предстоит еще выяснить. Возможно, это сочетание нескольких факторов. В том числе большое распространение пиратских копий софта среди персональных пользователей, — объяснил Рустэм Хайретдинов. — Пользователи таких копий намеренно отключают обновления, поэтому с большой вероятностью через два месяца после выхода патча они себе его не установили. По его словам, корпоративные пользователи в большинстве случаев имеют легальные копии операционных систем, однако они и обновляются по-другому — через корпоративные центры. — Принятие решения об установке обновления и его техническая реализация в каждой компании — это отдельный процесс, который вполне мог затянуться на пару месяцев из-за бюрократии или технических проблем, — добавил Рустэм Хайретдинов. По информации СМИ, атаке подверглись многие госорганизации, среди которых МВД, Банк России, Сбербанк, Минздрав, под удар попали и крупные компании — РЖД, «МегаФон», «ВымпелКом» и многие другие. Для атаки злоумышленники использовали шпионское ПО Агентства национальной безопасности (АНБ) США, которое в сети распространила группа хакеров, выступающая под псевдонимом Shadow Brokers. «Несмотря на предупреждения, АНБ создало опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило», — написал у себя в Twitter бывший агент АНБ Эдвард Сноуден. К борьбе с критической уязвимостью подключилась корпорация Microsoft. Она выпустила обновления для операционной системы, которые должны устранить угрозу заражения. Патчи были выпущены в том числе и для тех версий Windows, поддержка которых завершена. — Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы также выпустили обновления для Windows XP, Windows 8 и Windows Server 2003, — заявила официальный представитель московского офиса Microsoft Кристина Давыдова.

Вирус имел «стоп-кран»

Массовая атака была остановлена случайно. Программист, выступающий в Twitter под ником @MalvareTechBlog, и его коллега Дариан Хасс изучали новый вирус и нашли в его программном коде адрес домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Оказалось, что червь проверял работоспособность этого адреса, и если он оказывался зарегистрирован, то атака прекращалась. Исследователи зарегистрировали такой домен. «Так что я могу добавить в свое резюме, что случайно остановил международную кибератаку», — написал @MalvareTechBlog в своем Twitter. В программном коде нового вируса нашли адрес домена. Червь проверял работоспособность этого адреса, и если он оказывался зарегистрирован, атака прекращалась. Исследователи зарегистрировали такой домен. — К особенностям данной вредоносной программы можно отнести то, что в ней изначально был заложен механизм принудительной остановки — «стоп-кран», — прокомментировал Рустам Миркасымов. — Вероятно, ее создатели предполагали возможные последствия и хотели иметь возможность остановить атаку, если это понадобится. По мнению Миркасымова, новый вирус такого типа создать несложно, но он уже не будет так эффективен, как нынешний, ведь пользователи начали активно устанавливать обновления. Однако если вторая версия появится — она уже может быть без «стоп-крана». И какие могут быть последствия, трудно предсказать.