- Які об'єкти атакував вірус
- Що робить WannaCry
- WannaCry - захист
- вдалося призупинити
- Хто винен?
- Скільки грошей отримали хакери, що запустили WannaCry
- Пік атаки пройдено
- Заява президента Microsoft
12 травня стало відомо, що масштабної кібератаки зазнали лікарні Великобританії, а ввечері того ж дня представник Avast Якуб Кроустек повідомив, що вірус заблокував 57 тисяч комп'ютерів
Повідомлялося також, що російська Лабораторія Касперського зафіксувала близько 45 тисяч атак програмою-шифрувальником WannaCry в 74 країнах по всьому світу.
Серед зазнали кібератаки країн - Великобританія, Іспанія, Італія, Німеччина, Росія, Португалія, Туреччина, Казахстан, Індонезія, Тайвань, В'єтнам, Японія, Філіппіни, а також Україна.
Які об'єкти атакував вірус
Всі об'єкти, які атакував вірус, на даний момент невідомі. За даними Politico, хакерська атака, яка сталася 12 травня, почалася у Великобританії, Іспанії та іншим країнам Європи, перш ніж швидко поширитися на Японію, В'єтнам і Філіппіни.
Атаці вірусу WannaCry піддалися:
- лікарні Великобританії в Лондоні, Блекберні, Ноттінгемі, в графствах Камбрії і Хартфор. При цьому м ногие лікарні залишилися повністю без засобів комунікації, а пацієнтів, які не потребують термінової допомоги, попросили не відвідувати медичні установи.
- основний залізничний оператор Німеччині - концерн Deutsche Bahn. Під ударом виявився як мінімум один з семи регіональних диспетчерських центрів компанії. У Ганновері з ладу були виведені всі диспетчерські системи управління, частина комп'ютерів було вирішено відключити. Зазначалося, що кібератака могла відбитися на режимі руху поїздів на північному напрямку. Крім того, на деяких вокзалах на табло відправлення поїздів відображалося сповіщення програми WannaDecrypt0r 2.0 (повна назва вірусу - ред.) Про зашифровки файлів з вимогами про виплату викупу.
Табло відправлення поїздів на одному з вокзалів концерну Deutsche Bahn в Німеччині після кібератаки на диспетчерську систему управління / Фото: Nick Lange / Twitter
- 12 травня відразу кілька російських ЗМІ з посиланням на інформовані джерела повідомили, що були атаковані комп'ютерні мережі Слідчого комітету і Міністерства внутрішніх справ РФ. Спочатку в СК і МВС РФ спростовували інформацію про хакерські атаки на свої мережі. Однак пізніше офіційний представник МВС РФ Ірина Вовк підтвердила факт кібератаки.
- атаці також піддалися комп'ютери телекомунікаційної компанії Іспанії Telefonica і іспанські енергетичні компанії Iberdrola і Gas Natural.
- 15 травня офіційний представник Міністерства національної безпеки США повідомив, що під час кібератаки на минулому тижні вірусом були заражені комп'ютери невеликого числа операторів об'єктів критичної інфраструктури. За його словами, істотних збоїв в роботі об'єктів не було. У той же час, про які саме об'єкти йдеться, в міністерстві не розповіли. Чиновник також додав, що н а даний момент комп'ютери в федеральному уряді США не постраждали.
13 травня в Європолі заявили, що серія кібератак за допомогою комп'ютерного вірусу WannaCry по всьому світу була проведена на "безпрецедентний рівень". Експерти поліцейської служби ЄС також заявили, що вважають за необхідне провести "комплексне міжнародне розслідування, щоб встановити винуватців".
15 травня з Радник президента США з національної безпеки Том Боссерт повідомив, що злому піддалися 300 тисяч комп'ютерів в 150 країнах.
Директор Європолу Роб Вейнрайт заявляв, що жертвами масової кібератаки 12 травня стали близько 200 тисяч фізичних і юридичних осіб в 150 країнах. За даними Європолу, найбільше від атак постраждали Великобританія і Росія.
Що робить WannaCry
Вірус Wana Decrypt0r 2.0 вразив, в основному, великі підприємства, але може потрапити і на комп'ютер звичайного користувача.
Він може прийти по електронній пошті або користувач ризикує випадково завантажити його сам - наприклад, завантаживши щось з торрентів, відкривши вікно з підробленим оновленням і скачавши помилкові файли установки. Але основним варіантом є відправлені на електронну пошту листи.
Одними з перших постраждали від дій хакерів британські лікарні
Жертва вірусу отримує інфекцію, клікнувши по шкідливому вкладенню. Найчастіше мова йде про файлах з розширеннями js і exe, а також документах з шкідливими макросами (наприклад, файлах Microsoft Word).
Проникнувши в систему, вірус сканує диски, шифрує файли і додає до них всім розширення WNCRY: так дані перестають бути доступні без ключа розшифровки. Доступ блокується як до зображень, документів і музиці, так і до системних файлів. Після етоговірус вимагає від користувача викуп в біткоіни (в сумі еквівалентній $ 300) за відновлення доступу до інформації.
WannaCry загрожує тільки користувачам комп'ютерів з операційною системою Windows, зокрема р ечь йде про Windows Vista, 7, 8, 8.1 і 10, а також Windows Server 2008/2012/2016.
WannaCry - захист
У березні 2017 року Microsoft відзвітувала про закриття уразливості, через яку 12 травня були заражені комп'ютери. Швидше за все, програма у випадковому порядку поширилася тільки на тих, хто вчасно не оновився. Відповідне оновлення можна завантажити на сайті Microsoft і встановити, після чого слід перезавантажити комп'ютер.
У Microsoft заявили, що користувачі антивіруса Windows Defender автоматично захищені від вірусу. Якщо на вашому комп'ютері встановлено інший антивірус, необхідно завантажити його останню версію і включити компонент Моніторинг системи.
Потім потрібно перевірити систему: в разі виявлення шкідливих атак (MEM: Trojan.Win64.EquationDrug.gen) - знову перезавантажити систему і переконатися, що патч MS17-010 встановлений.
Якщо убезпечити комп'ютер заздалегідь не вдалося, слід виконати кілька дій з видалення Wana Decrypt0r 2.0.
Увімкніть безпечний режим з підтримкою мережі. У Windows 7 це можна зробити при перезавантаженні системи після натискання клавіші F8. Також є інструкції з виконання цього кроку для інших версій, в тому числі Windows 8 і Windows 10.
Можна самостійно видалити небажані програми через Видалення програм. Однак щоб уникнути ризику помилки і випадкової шкоди системі, варто скористатися антивірусними програмами на кшталт SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware або STOPZilla.
Після видалення вірусу потрібно відновити зашифровані файли (якщо зробити це до видалення вірусу, можна завдати шкоди системних файлів і реєстрів).
Для відновлення файлів можна використовувати декріптор, а також утиліту Shadow Explorer (поверне тіньові копії файлів і початковий стан зашифрованих файлів) або Stellar Phoenix Windows Data Recovery. Ці способи не гарантують повного відновлення файлів.
вдалося призупинити
Спеціаліст з безпеки, який веде Twitter з назвою MalwareTechBlog випадково призупинив поширення вірусу WannaCry, зареєструвавши домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Увечері 12 травня він повідомив на своїй сторінці в Twitter, що, виявивши, що вірус чомусь звертається до цього домену, він вирішив його зареєструвати, щоб стежити за активністю шкідливої програми.
В результаті з'ясувалося, що в коді вірусу йдеться, що якщо звернення до цього домену було успішно, зараження слід призупинити, а якщо немає, то продовжити. Відразу ж після реєстрації домену, на нього прийшли десятки тисяч запитів.
Зареєстрував домен фахівець зазначив, що не знав під час реєстрації, що це призупинить поширення вірусу. Він також порадив користувачам інтернету якомога швидше усунути уразливість, "тому що вони спробують знову".
15 травня зареєстрував домен, який припинив поширення WannaCry, фахівець, повідомив, що над цим доменом спробував захопити контроль "хтось із Китаю".
Коментуючи даний інцидент, фахівець компанії Лабораторія Касперського Костін Райю припустив, що зловмисник мав одну з двох цілей. Перша - бажання порахувати користувачів, піддалися атаці. Другою метою могло бути заблокувати домен і тим самим знову активувати вірус.
За словами Райю, швидше за все зловмисник не має відношення до хакерів, що влаштували кібератаку, оскільки в даному випадку творцям вірусу WanaCrypt0r 2.0 найпростіше було б створити його нову версію без уразливості (kill switch), яка дозволяє власнику домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com зупинити поширення програми.
Райю припускав, що 15 травня творці вірусу вже переписали його код, так щоб він міг функціонувати, не звертаючись до домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Пізніше він повідомив, що що код вірусу дійсно був оновлений за вихідні. Однак, судячи з усього, в новій версії вірусу не міститься можливості обходу тимчасового захисту, таким чином, нова версія вірусу, ймовірно, "не представляє таку ж загрозу для суспільства".
Хто винен?
Колишній співробітник Агентства національної безпеки США Едвард Сноуден, коментуючи хакерські атаки на лікарні Великобританії заявив, що для них могла використовуватися програма АНБ.
На своїй сторінці в Twitter він заявив, що рішення АНБ про створення інструментів для атаки на програмне забезпечення в США тепер "загрожує життю пацієнтів".
"Всупереч попередженням, АНБ створила небезпечні інструменти для атак, яким може піддатися західне програмне забезпечення. Тепер ми бачимо ціну цього рішення ", - написав Сноуден.
Про те, що нинішня хакерська атака на лікарні Великобританії безпосередньо пов'язана з вірусами, створеними АНБ, також вказує організація WikiLeaks на своїй сторінці в Twitter.
Сноуден опублікував посилання на статтю Politico, в якій йдеться про те, що за кібератакою за допомогою вірусу WannaCry варто витік інформації про методи злому, розроблених АНБ.
Як пише видання, імовірно вірус є версією програмного забезпечення АНБ, яке в квітні опублікувала в Мережі група, що називає себе Shadow Brokers.
Politico відзначає, що про групу Shadow Brokers стало відомо під час виборів президента США в минулому році. А то, що їм вдалося опублікувати кошти, розроблені АНБ для стеження, може говорити про те, що комп'ютери Агентства могли бути зламані, що призвело до витоку секретної інформації.
Видання зазначає, що хоча деякі припускають, що Shadow Brokers пов'язані з Москвою, ніяких доказів цього не було оприлюднено.
Крім того Politico пише, що директор New America'sOpen Technology Institute Кевін Бенкстон висловив думку, що Конгрес США повинен провести слухання з питання використання розвідувальними агентствами недоліків коду і того, в яких випадках вони повинні попереджати виробників про існуючу небезпеку.
"Якби АНБ розкрило, а не накопичило ці (вразливі місця - ред.), Коли воно знайшло їх, більше кількості лікарень було б в більшій безпеці від цієї атаки", - вважає Бенкстон.
Аналогічну думку висловив юрист Патрік Тумі.
"Ці атаки підкреслюють той факт, що уразливості будуть експлуатуватися не тільки нашими службами безпеки, а й хакерами і злочинцями по всьому світу", - передає його слова Bloomberg.
Сноуден також вважає, що тепер конгрес США повинен запросити у АНБ відомості про інших можливих вразливості в системах, які використовуються в лікарнях.
У свою чергу, The Telegraph повідомляє, що інструмент стеження Eternal Blue, вкрадений хакерами у АНБ був розроблений, щоб отримати доступ до комп'ютерів, що використовуються терористами і ворожими державами. Shadow Brokers опублікували його 14 квітня - через тиждень після наказу Трампа про ракетний удар по авіабазі в Сирії.
"Деякі експерти вважають, що ці терміни важливі і вказують на те, що Shadow Brokers мають зв'язки з російським урядом", - зазначає видання і нагадує, що рік тому про зв'язок цього угруповання з Кремлем заявляв Едвард Сноуден.
The Telegraph також пише, що, ймовірно, оприлюднений Shadow Brokers інструмент доступу до комп'ютерів з уразливістю, використовувала інша група, яка вирішила його монетизувати.
15 травня президент Росії Володимир Путін заявив, що джерелом вірусу-здирника є США, а РФ тут абсолютно ні при чому.
"Що стосується джерела цих загроз, то, по-моєму, керівництво Microsoft про це прямо заявило, сказали про те, що первинним джерелом цього вірусу є спецслужби Сполучених Штатів, Росія тут абсолютно ні при чому. Мені дивно чути в цих умовах щось інше ", - сказав президент РФ.
Путін також відзначив, що російські установи не понесли істотного збитку від глобальної атаки.
16 травня з пеціалісти з кібербезпеки заявили, що вірус WannaCry може бути пов'язаний з Північною Кореєю.
Зокрема, в компаніях Symantec і Kaspersky Lab відзначили, що частина цього вірусу має такий же код, як і шкідливі програми, які в 2014 році використовувалися під час атаки на корпорацію Sony.
У тому нападі фахівці звинувачували зловмисників з КНДР.
"Це найкращий ключ, який ми бачили до сих пір до джерел WannaCry. Але можливо, що код був просто скопійований без будь-якої іншої прямого зв'язку", - відзначили в компанії Kaspersky Lab.
У Symantec також відзначили, що продовжують вивчати вірус, щоб виявити більш очевидні зв'язки.
Скільки грошей отримали хакери, що запустили WannaCry
15 травня ЗМІ, посилаючись на дані платежів, писали, що з оздателі вірусу WannaCry отримали 42 тис. Доларів від своїх жертв через систему Bitcoin.
Цю інформацію повідомила про рганізація Elliptic, що відслідковує біткоіни-платежі. За її даними, в результаті 110 перекладів на рахунку хакерів 23,5 біткоіни.
Зазначалося, що зловмисники не намагалися зняти гроші, які опинилися в їх розпорядженні.
Пізніше в той же день з Радник президента США з національної безпеки Том Боссерт повідомив, що жертви кібератак за допомогою вірусу WannaCry виплатили хакерам менше 70 тисяч доларів. Він також зазначив, що жодного разу виплата грошей не привела до розблокування комп'ютера.
Пік атаки пройдено
15 травня в Європолі заявили, що зростання числа жертв глобальної хакерської атаки вірусом WannaCry в Європі призупинився.
"Очевидно, що кількість постраждалих не збільшується. Ситуація в Європі, як здається, стабілізувалася. Це - успіх", - заявив представник цієї організації.
Він пов'язав цю тенденцію з тим, що власники комп'ютерів і системні адміністратори встановили програмні оновлення, що дозволяють захиститися від шкідливої програми WannaCry.
Представник Європолу зазначив, що відомство працює над тим, щоб створити інструмент, який дозволить обчислити злочинців, що використовують шкідливу програму.
Заява президента Microsoft
14 травня президент Microsoft Бред Сміт в повідомленні на сайті компанії заявив, що м асштабная хакерська атака, розпочата за допомогою вірусу-шифрувальника WannaCry, служить підтвердженням "необхідності невідкладних колективних дій" з метою забезпечення безпеки користувачів інтернету.
Президент Microsoft Бред Сміт
На його думку, значна частка відповідальності за кібератаки, подібні атаки вірусу WannaCry, лежить на урядах, які збирають дані про уразливість в програмному забезпеченні заради своїх інтересів.
На думку Сміта, з цієї кібератаки потрібно винести уроки, щоб уникнути подібного в майбутньому.
Президент Microsoft вважає, що всі країни повинні "сформувати інший підхід і застосовувати в кіберпросторі такі ж суворі правила, як і до зброї в фізичному світі".
Він вважає, що для запобігання подібної загрози потрібно розробити цифровий аналог Женевської конвенції з контролю над озброєннями. Сміт також зазначив, що дані про уразливість не повинні збиратися урядами для використання у власних інтересах. Такі дані повинні передаватися розробникам безпосередньо.
"Уряду усього світу повинні сприйняти цю загрозу як заклик до пробудження", - уклав він.
НВ
Хто винен?