Доступность ссылок

Вирус-вымогатель WannaCry остановлен, но риски остались


Пользователь компьютера делает скриншот сообщения вируса WannaCry.

Вирус-вымогатель WannaCry, атаковавший компьютеры в 150 странах мира, был «случайно» остановлен двумя энтузиастами всего за 11 долларов. Деньги были потрачены на регистрацию доменного имени, «зашитого» в коде вредителя.

Как сообщает сайт Meduza, разработчики вируса-вымогателя на днях выпустили обновление, которое позволяет вредоносной программе действовать в обход специально созданного домена.

Напомним, что 12 мая произошло массовое заражение компьютеров и серверов. По словам главы полицейской службы Евросоюза Роба Уэйнрайта, случаи заражения компьютеров вирусом-вымогателем WannaCry зафиксированы в 150 странах мира. Жертвами кибератаки стали более 200 тысяч человек. Известно как минимум об одной атаке на крупную нефтяную компанию в Казахстане.

РИСКИ ГЛОБАЛЬНЫХ ВТОРЖЕНИЙ

Специалисты по информационной безопасности — Дэриен Хасс и автор блога MalwareTechBlog, чье имя неизвестно, рассказали в Twitter’е, что, исследуя код вируса, заметили: он обращается к незарегистрированному доменному имени. По их словам, они не были уверены, что после регистрации домена атаки прекратятся, но решили попробовать. И это сработало.

По мнению директора распространения технологий компании «Яндекс» Григория Бакунова, домен в коде вредителя выполнял роль «выключателя». Возможно, злоумышленники не ставили задачу мировой компьютерной эпидемии и на всякий случай предусмотрели пути к отступлению. Но, как говорит Григорий Бакунов, многие СМИ неверно истолковывают случившееся — сам вирус продолжает распространяться, но ему уже не удается зашифровывать данные на компьютерах пользователей. Регистрация домена привела к сбою шифровальщика.

В России взлому подверглись компьютерные системы министерства внутренних дел, Следственного комитета, мобильных операторов и национальной железнодорожной компании РЖД. В Британии от вируса-вымогателя пострадали государственные больницы и другие медицинские учреждения. Как сообщает атырауская газета «Ак Жайык», кибератаке подверглись серверы оператора нефтегазового месторождения на шельфе Каспия.

«В качестве превентивной меры пришлось отключить всю почту, сеть и корпоративные компьютеры. На работу Кашагана и завода „Болашак“ на Карабатане это не повлияло, все работают в штатном режиме», — цитирует газета «Ак Жайык» пресс-службу компании NCOC.

В агентстве Южной Кореи по Интернету и безопасности. Сеул, 15 мая 2017 года.
В агентстве Южной Кореи по Интернету и безопасности. Сеул, 15 мая 2017 года.

В хакерском нападении много загадок и много теорий заговора. По данным западной прессы, эксперты не исключают вмешательства спецслужб, но их «гражданство» остается под вопросом. Как сообщает британская газета Guardian, эксперт южнокорейской компании Hauri Labs и по совместительству советник полиции и Национального агентства разведки Южной Кореи Саймон Чой утверждает, что код вируса-вымогателя WannaCry совпадает с северокорейскими вредоносными кодами, использующими программные уязвимости.

Специалист компании Google Нил Мех обратил внимание, что сигнатуры кода WannaCry идентичны тем, которые использовала хакерская группировка Lazarus Group, подозреваемая в связях с правительством Северной Кореи. Как сообщает Guardian, группировка подозревается в хакерских атаках на международную банковскую систему платежей SWIFT, взломе серверов компании Sony Pictures в 2014 году и ограблении бангладешского банка на 81 миллион долларов в 2016 году. Стоит отметить, что Нил Мех на своей странице в Twitter’е не исключает возможности умышленного повторения кода злоумышленниками, чтобы навести на ложный след.

ЧТО ДЕЛАТЬ, ЧТОБЫ НЕ ДОПУСТИТЬ ЗАРАЖЕНИЯ

Как рассказал Азаттыку управляющий директор «Лаборатории Касперского» в Центральной Азии и Монголии Евгений Питолин, группа хакеров Shadowbrokers 14 апреля этого года опубликовала в Интернете уязвимости через коды протокола операционной системы Microsoft Windows. Специалисты Microsoft’а еще за месяц до этого, 14 марта, выпустили так называемый патч, или «заплатку», — автоматизированное отдельно поставляемое программное средство, используемое для устранения проблем в программном обеспечении, — для закрытия данных уязвимостей. Казалось бы, проблемы можно было избежать, но, по словам Евгения Питолина, системные администраторы порой сознательно отказываются от автоматического обновления операционных систем.

— Сам по себе WannaCryp — достаточно заурядный троянец, наши защитные продукты детектируют его по нескольким вердиктам. Однако основная причина столь масштабной эпидемии — не сам троянец, а метод распространения при помощи недавно закрытой уязвимости в системах Windows. Многие системные администраторы в компаниях имеют привычку не ставить обновления на Windows сразу же после их появления, опасаясь негативного влияния на важные бизнес-процессы и существующие системы. Этим и воспользовались злоумышленники, — говорит Евгений Питолин.

Скриншот компьютера, зараженного вирусом WannaCry.
Скриншот компьютера, зараженного вирусом WannaCry.

Также представитель «Лаборатории Касперского» утверждает, что антивирусный софт вполне может обезвредить вирус-вымогатель, но для этого все настройки, рекомендуемые создателями антивирусника, должны быть сохранены. Например, в продукте «Лаборатории Касперского» для детектирования данного зловреда компонент «Мониторинг Системы» должен быть включен, говорит Евгений Питолин.

Несмотря на то что злоумышленники приняли меры, чтобы обойти зарегистрированный домен, по мнению Евгения Питолина, «вторая эпидемия маловероятна, а вот точечные атаки с использованием тех же уязвимостей, что и в WannaCryp, идут уже сейчас».

— Все киберзлодеи мира увидели, что инструменты, которые были опубликованы shadowbrokers, очень эффективны, и, естественно, воспользуются моментом, чтобы получить доступ и закрепиться в уязвимых системах. Поэтому, если вы еще не обновили систему и не установили защиту, следует это сделать как можно быстрее, — говорит он.

В последние годы массовых вирусных атак практически не было. Киберпреступники сменили фокус на более сложные и длительные атаки с помощью высококлассного шпионского ПО — тут можно привести в пример кампанию BlackEnergy, поразившую в 2014 году энергетическую систему Украины, киберограбление Carbanak, где преступники похитили около 300 миллионов долларов по всему миру.

Поэтому WannaCryp называют достаточно серьезной эпидемией. Как отмечают эксперты, в последний раз подобный объем распространения угрозы наблюдался около десяти лет назад.

  • 16x9 Image

    Роман АХМЕДОВ

    Роман Ахмедов - корреспондент Азаттыка с сентября 2016 года. Окончил Казахский государственный университет имени Аль Фараби. Имеет опыты работы в республиканских и международных СМИ. 

Ваше мнение

Показать комментарии

В других СМИ

Loading...

XS
SM
MD
LG