Що відомо і як врятуватися від нового вірусу американських спецслужб, який атакує комп'ютери

Світ накрила одна з найбільших за всю історію хакерських атак. Вірус блокує комп'ютер і вимагає викуп у біткоіни в обмін на дешифрування файлів. "Країна" спробувала розібратися, що це за вірус, звідки з'явився і яким чином він атакує комп'ютери по всьому світу.

Як пише співробітник компанії Avast (розробляє однойменний антивірус) Якуб Кроустек, новим вірусом заражені вже як мінімум 36 тисяч комп'ютерів.

Який вірус атакує комп'ютери по всьому світу?

Як стало відомо, хакери скористалися шпигунським програмним забезпеченням, яке застосовує Агентство національної безпеки США . ПО, яке раніше поширила група хакерів, яка виступає під псевдонімом Shadow Brokers.

Програмне забезпечення, згідно зі свідченнями Shadow Brokers, націлене на злом комп'ютерів, що працюють під управлінням операційної системи (ОС) Windows виробництва Microsoft. За допомогою них будь-який користувач, що володіє достатніми технічними знаннями, може завдати шкоди мільйонам користувачів цієї ОС.

Вірус отримав назву WannaCrypt (WCry). Він зашифровує всі файли на комп'ютері.

Що саме атакує вірус і як діє?

Російська "Лабораторія Касперського" зафіксувала близько 45 тис. Атак програмою-шифрувальником "WannaCry" в 74 країнах по всьому світу; найбільшою мірою зараження піддалася Росія, Україн і Тайвань.

За словами представника лабораторії, за розшифровку даних зловмисники вимагають заплатити викуп у розмірі $ 600 в криптовалюта Bitcoin (спочатку було 300 доларів). Якщо оплата не надійшла протягом 3 днів, то сума подвоюється. Якщо протягом 7 днів оплата не зробить, то файли стають недоступними назавжди - загрожують хакери.

Спеціаліст лабораторії пояснив, що атака відбувалася через відому мережеву вразливість Microsoft Security Bulletin MS17-010, після чого на заражену систему встановлювався набір скриптів, використовуючи який зловмисники запускали програму-шифрувальник.

"Всі рішення" Лабораторії Касперського "детектируют даний руткит як MEM: Trojan.Win64.EquationDrug.gen. Рішення Лабораторії Касперського також детектируют програми-шифрувальники, які використовувалися в цій атаці наступними вердиктами: Trojan-Ransom.Win32.Scatter.uf; Trojan- Ransom.Win32.Fury.fr; PDM: Trojan.Win32.Generic (для детектування даного зловреда компонент "Моніторинг Системи" повинен бути включений) ", - зазначив він.

Географія атак нового вірусу

El Mundo повідомила, що кібератака торкнулася безліч держав. За її інформацією, ряд об'єктів Національної системи охорони здоров'я (NHS) Великобританії піддалися хакерській атаці, яка також на різних рівнях торкнулася Росію, США, Канаду, Китай, Італію.

Повідомляється також, що вірус нібито вже паралізував роботу комп'ютерних мереж Слідчого комітету Росії і МВС РФ. Однак пізніше в Следкоме спростували інформацію про зараження, а в МВС РФ заявили, що хакерських атак зазнали не більше 1% робочих станцій і в даний час вірус локалізований.

У соціальних мережах співробітники російського "Мегафона" почали скаржитися, що їх комп'ютери не працюють, і вони не можуть обслуговувати клієнтів. У компанії спочатку говорили, що у них все в порядку, але потім підтвердили факт атаки. Пізніше в соціальних мережах з'являлися повідомлення про атаки на інші російські оператори зв'язку - "Зв'язковий" і "Білайн".

Звідки почалася атака і як поширюється?

За непідтвердженими даними, атака виходить з Китаю. Як заражаються комп'ютери, в прямому ефірі можна подивитися на цій карті . По всьому світу заражені вже тисячі комп'ютерів.

У всіх випадках з'являється однакове червоне вікно.

Фото: twitter.com/fendifille

Колишній співробітник Агентства національної безпеки (АНБ) США Едвард Сноуден підтвердив, що даний вірус походить від АНБ. "Рішення АНБ створювати інструменти атаки проти американського програмного забезпечення тепер загрожує життю пацієнтів лікарень", - написав він, коментуючи хакерську атаку на сервери лікарень в Великобританії .

Кого вибирає вірус?

Про ранньої версії вірусу WannaCrypt стало відомо ще в лютому 2017 року. Він працює тільки на операційній системі Windows.

Microsoft закрила уразливість, яку використовує вірус, ще в березні. На сайті виробника Windows опубліковано повідомлення із закликом оновитися. Всі, хто виявився заражений, по всій видимості, не оновилися.

В даний час подібна атака для професіоналів не представляє ніякої загрози, так як кожен працюючий в сфері інформаційних технологій знає про необхідність мати резервну копію всіх даних. Якщо ж її немає, то це породжує масу запитань до кваліфікації тих, хто працює в подібних компаніях.

"Якщо ви в 2017 році не робите резервну копію своїх інформаційних систем, то вам, напевно, не потрібно працювати з інформаційними технологіями. Якщо у вас є резервна копія, небезпека вірусу дорівнює нулю. Якщо ні, то ви або втратите дані, тому що там застосовується ідеальна криптографія: розшифрувавши один комп'ютер, ви не розшифруєте другий, тому що там різні ключі на кожному, або вам доведеться платити зловмисникові ", - вважає генеральний директор Group-IB Ілля Сачков

Як врятуватися від вірусу?

Для зниження ризиків зараження програмісти рекомендують компаніям встановити патч від Microsoft, переконатися в тому, що включені захисні рішення на всіх вузлах мережі, а також запустити сканування критичних областей в захисному рішенні.

Сам "шифрувальник" вірусом в класичному його розумінні не є. Він не розмножується, що не маскується, що не модифікує системні файли - просто шифрує (вельми швидко) текстові файли і документи на локальному диску і підключеним до нього мережевих дисків. Розмножується найчастіше за допомогою електронної пошти - приходить лист з вкладенням, а там щось на зразок "Податкова заборгованість, квитанція для оплати в доданому файлі (або за посиланням).

"Користувач відкриває файл або вантажить його по посиланню і все - шифрування пішло. Єдиний спосіб врятувати залишилися дані, якщо у вас немає резервної копії, - негайно вимкнути комп'ютер", стверджує технічний директор KP.ru.

"Після детектування MEM: Trojan.Win64.EquationDrug.gen необхідно зробити перезавантаження системи; в подальших для попередження подібних інцидентів використовувати сервіси інформування про загрози, щоб своєчасно отримувати дані про найбільш небезпечних атаках і можливих заражених", -заявив представник "Лабораторії Касперського".

Газета.ру також нагадує про найелементарніших правил комп'ютерної безпеки.

1. Обновляйте встановлені антивірусні програми в строго встановлені терміни.

2. Звертайте увагу на те, які файли з пошти ви завантажуєте на свій робочий і домашній комп'ютер.

3. Найкраще якщо вашим комп'ютером, що на роботі, що вдома, користуєтеся тільки ви.

4. Обновляйте всі програми і програми. Програмісти працюють над усуненням проломів в безпеці свого софта. Не нехтуйте їхньою працею.

5. Встановіть антивіруси на мобільні пристрої.

6. Будьте обережні навіть з тими джерелами, яким ви довіряєте. Їх теж можуть зламати.

7. Поєднуйте різні антивірусні технології. Не тільки загальне сканування, але і сканери на окремі, наприклад, браузери.

8. Майте запасну антивірусну програму, софт якої записаний на окремий - «чистий» і перевірений носій.

9. Від гріха подалі, робіть резервні копії важливих документів на окремому носії.

10. І головне, якщо вас раптом «зламали», не панікуйте. Головне, пам'ятайте, що будь-яку проблему можна виправити.