WannaCry — что это было и как не заразиться опасным вирусом шифровальщиком
Что произошло?
В течение прошлый выходных множество компьютеров под управлением Windows в самых разных уголках планеты оказались заблокированы вирусом, который требовал за разблокировку примерно 300 долларов биткоинами. Простая переустановка операционной системы не имела смысла — зловред не просто лишал пользователя возможности управления компьютером, но также шифровал на нём данные, чтобы вы не смогли получить к ним доступ без специального ключа.
Идти на уступки преступникам считается плохой практикой в любой ситуации, ведь так вы только провоцируете их на новые попытки обобрать вас. С другой стороны, порой информация стоит гораздо дороже 300 долларов. Однако несмотря на то, что сотни людей всё же поддались соблазну перевести злоумышленникам деньги, и те собрали уже несколько десятков тысяч долларов, нет ни одного зарегистрированного случая возвращения данных. Скорее всего, у преступников просто нет технической возможности отслеживать, владелец какого заблокированного компьютера совершил платёж.
Кто пострадал?
Как обычно, жертвами стали пользователи Windows. Но, конечно, не все. Если у вас Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 или Windows Server 2016 и, что самое важное, ваша ОС настроена на автоматические обновления, то ваш компьютер вне опасности. Другие версии, включая Windows XP, Windows 8, Server 20003, уже не поддерживаются Microsoft и не получают обновлений, в том числе закрывающих критические уязвимости. Однако еще целых 7 процентов Windows-пользователей «сидят» на XP. Не все из них паранойики и скряги. Часть — корпорации, которые используют софт, не работающий адекватно на более новых системах. Впрочем, в этот раз Microsoft пошла на уступки и выпустила патч для уже неподдерживаемых ОС, который закрывает ту самую уязвимость, через которую червь проникает в ваш ПК.
В общей сложности атаки WannaCry были зарегистрированы в 73 странах. В России с вирусом-шифровальщиком столкнулись «Сбербанк», «Мегафон» и МВД, в Британии — городские больницы, работа которых была серьёзно нарушена, в Испании — телекоммуникационная компания Telefonica. Также сообщения с требованием выкупа можно было увидеть на цифровых табло на станциях электричек в Германии, а Renault даже пришлось остановить несколько фабрик во Франции.
Кто виноват?
Конечно, в первую очередь нужно винить создателеь WannaCry. Но не только их усилия привели к подобной ситуации. В основе зловреда WannaCry используется эксплойт (код, использующий уязвимость; позже многие эксплойты становятся основой вирусов) под кодовым названием EternalBlue. Информация об этом эксплойте была в утечках из Агенства Национальной Безопасности США — спецслужба, вероятно, планировала использовать уязвимость в своих целях. А EternalBlue, в свою очередь, эксплуатировал уязвимость в SMB-протоколе (он отвечает за «Сетевое окружение») для того, чтобы распространяться среди компьютеров, которые еще не были вовремя обновлены необходимой «заплаткой» от Microsoft.
Мы все не раз слышали о страстном желании различных правительств получать доступ ко всей информации любыми способами, как с помощью требований к IT-компаниям сотрудничать и предоставлять возможность «взламывать» их устройства, так и без их участия. И тут, как с военными складами — если их ограбят террористы и унесут оружие в неизвестном направлении, никто не сможет чувствовать себя в безопасности.
Кто всех спас?
Не обошлось и без героя, усилиями которого удалось если не предотвратить, то заметно притормозить дальнейшее распространение WannaCry. Им стал 22-летний британский программист Маркус Хатчис, известный в твиттере под псевдонимом MalwareTech. Он выяснил, что вирус сначала обращается к несуществующему домену в интернете и только потом начинает процесс зашифровки данных и блокировки компьютера. В противном случае, если связь с сайтом установлена, вирус деактивируется.
Специалисты по кибербезопасности предполагают, что такое поведение — элемент маскировки. Дело в том, что исследовательские среды часто настроены так, чтобы изучаемые вирусы получали ответ при обращении к вообще любом домену. WannaCry, вероятно, проверял заведомо несуществующий домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, чтобы затаиться, если «поймёт», что он под наблюдением.
Татчис зарегистрировал домен, к которому пытается обратится зловред, и, как только он стал видимым для копий WannaCry по всему миру, вирус прекратил свою активность. Наверное, исследователю не стоило сразу хвастаться тем, что он остановил глобальную компьютерную эпидемию — его посты в Твиттере быстро подвхатили СМИ, и об этом узнали в том числе и создатели WannaCry.
Как избежать заражения в будущем?
К сожалению, злоумышленникам не составило труда исправить оставленный по недосмотру «рубильник», и заражение продолжилось —но только для тех, кто игнорирует обновления Windows. Однако есть способ обойтись и без обновления, и о нём рассказывается на форуме Microsoft. Там же есть и ссылка на инструмент, который просто выключает уязвимый протокол, через который WannaCry попадает в систему.