Світ зазнав безпрецедентної кібератаки: Що таке вірус WannaCry, як з ним боротися і хто винен 

Світ зазнав безпрецедентної кібератаки: Що таке вірус WannaCry, як з ним боротися і хто винен 

12 травня стало відомо, що масштабної кібератаки зазнали лікарні Великобританії, а ввечері того ж дня представник Avast Якуб Кроустек повідомив, що вірус заблокував 57 тисяч комп'ютерів.

Повідомлялося також, що російська Лабораторія Касперського зафіксувала близько 45 тисяч атак програмою-шифрувальником WannaCry у 74 країнах по всьому світу.

Серед країн, які зазнали кібератаки - Великобританія, Іспанія, Італія, Німеччина, Росія, Португалія, Туреччина, Казахстан, Індонезія, Тайвань, В'єтнам, Японія, Філіппіни, а також Україна.

Які об'єкти атакував вірус

Всі об'єкти, які атакував вірус, на даний момент невідомі. За даними Politico, хакерська атака, що відбулася 12 травня, почалася у Великобританії, Іспанії та решті Європи, перш ніж швидко поширитися на Японію, В'єтнам та Філіппіни.

Атаки вірусу WannaCry зазнали:

- лікарні Великобританії у Лондоні, Блекберні, Ноттінгемі, у графствах Камбрії і Хартфор. Причому багато лікарень залишилися повністю без засобів комунікації, а пацієнтів, які не потребують термінової допомоги, попросили не відвідувати медичні установи.

- основний залізничний оператор Німеччини - концерн Deutsche Bahn. Під ударом опинився щонайменше один із семи регіональних диспетчерських центрів компанії. У Ганновері з ладу було виведено всі диспетчерські системи управління, частину комп'ютерів було вирішено відключити. Зазначалося, що кібератака могла відбитися на режимі руху поїздів на північному напрямку. Крім того, на деяких вокзалах на табло відправлення поїздів відображалося сповіщення програми WannaDecrypt0r 2.0 (повна назва вірусу - ред.) про зашифрування файлів із вимогами про виплату викупу.

 

Табло відправлення поїздів на одному з вокзалів концерну Deutsche Bahn у Німеччині після кібератаки на диспетчерську

систему управління / Фото: Nick Lange / Twitter

- 12 травня відразу кілька російських ЗМІ із посиланням на інформовані джерела повідомили, що були атаковані комп'ютерні мережі Слідчого комітету та Міністерства внутрішніх справ РФ. Спочатку в СК та МВС РФ спростовували інформацію про хакерські атаки на свої мережі. Проте пізніше офіційний представник МВС РФ Ірина Волк підтвердила факт кібератаки.

- атаки також зазнали комп'ютери телекомунікаційної компанії Іспанії Telefonica та іспанські енергетичні компанії Iberdrola та Gas Natural.

- 15 травня офіційний представник Міністерства національної безпеки США повідомив, що під час кібератаки минулого тижня вірусом були заражені комп'ютери невеликої кількості операторів об'єктів критичної інфраструктури. За його словами, істотних збоїв у роботі об'єктів не було. Водночас, про які саме об'єкти йдеться, у міністерстві не розповіли. Чиновник також додав, що на даний момент комп'ютери у федеральному уряді США не постраждали.

13 травня у Європолі заявили, що серія кібератак за допомогою комп'ютерного вірусу WannaCry по всьому світу була проведена на "безпрецедентному рівні". Експерти поліцейської служби ЄС також заявили, що вважають за необхідне провести "комплексне міжнародне розслідування, щоб встановити винуватців".

15 травня радник президента США з національної безпеки Том Боссерт повідомив, що були зламані 300 тисяч комп'ютерів у 150 країнах.

Директор Європолу Роб Вейнрайт заявляв, що жертвами масової кібератаки 12 травня стали близько 200 тисяч фізичних і юридичних осіб у 150 країнах. За даними Європолу, найбільше від атак постраждали Великобританія і Росія.

Що робить WannaCry

Вірус Wana Decrypt0r 2.0 вразив, в основному, великі підприємства, але може потрапити і на комп'ютер користувача.

Він може прийти по електронній пошті або користувач ризикує випадково завантажити його сам — наприклад, завантаживши щось з торентів, відкривши вікно з підробленим оновленням і скачавши помилкові файли установки. Але основним варіантом є надіслані на електронну пошту листи.

 

Одними з перших постраждали від дій хакерів британські лікарні

 

 

Жертва вірусу отримує інфекцію, клікнувши на шкідливому вкладенні. Найчастіше мова йде про файли з розширеннями js та exe, а також документи зі шкідливими макросами (наприклад, файли Microsoft Word).

Проникнувши в систему, вірус сканує диски, шифрує файли і додає до них усіх розширення WNCRY: так дані перестають бути доступними без ключа розшифрування. Доступ блокується як до зображень, документів та музики, так і до системних файлів. Після цього вірус вимагає від користувача викуп у біткоїнах (у сумі еквівалентній $300) за відновлення доступу до інформації.

WannaCry загрожує лише користувачам комп'ютерів з операційною системою Windows, зокрема мова йде про Windows Vista, 7, 8, 8.1 і 10, а також Windows Server 2008/2012/2016.

WannaCry - захист

У березні 2017 року Microsoft відзвітувала про закриття вразливості, через яку 12 травня були заражені комп'ютери. Швидше за все, програма у випадковому порядку поширилася лише на тих, хто вчасно не оновився. Відповідне оновлення можна завантажити на сайті Microsoft і встановити, після чого слід перезавантажити комп'ютер.

У Microsoft заявили, що користувачі антивіруса Windows Defender автоматично захищені від вірусу. Якщо на вашому комп'ютері встановлено інший антивірус, необхідно завантажити його останню версію й увімкнути компонент Моніторинг системи.

Потім потрібно перевірити систему: у разі виявлення шкідливих атак (MEM: Trojan.Win64.EquationDrug.gen) - знову перезавантажити систему і переконатися, що патч MS17-010 встановлений.

Читайте також: Країни G7 домовилися про спільну боротьбу із глобальними кібератаками - Reuters

Якщо убезпечити комп'ютер заздалегідь не вдалося, слід виконати кілька дій щодо видалення Wana Decrypt0r 2.0.

Увімкніть безпечний режим із завантаженням мережних драйверів. У Windows 7 це можна зробити під час перезавантаження системи після натискання клавіші F8. Також є інструкції з виконання цього кроку для інших версій, у тому числі Windows 8 та Windows 10.

Можна самостійно видалити небажані програми через Видалення програм. Однак щоб уникнути ризику помилки і випадкової шкоди системі, варто скористатися антивірусними програмами на кшталт SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware або STOPZilla.

Після видалення вірусу потрібно відновити зашифровані файли (якщо зробити це до видалення вірусу, можна завдати шкоди системним файлам і реєстрам).

Для відновлення файлів можна використовувати декриптори, а також утиліту Shadow Explorer (поверне тіньові копії файлів і початковий стан зашифрованих файлів) або Stellar Phoenix Windows Data Recovery. Ці способи не гарантують повного відновлення файлів.

Вдалося призупинити

Фахівець з безпеки, який веде Twitter із назвою MalwareTechBlog випадково призупинив поширення вірусу WannaCry, зареєструвавши домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Увечері 12 травня, він повідомив на своїй сторінці у Twitter, що, виявивши, що вірус чомусь звертається до цього домену, він вирішив його зареєструвати, щоб стежити за активністю шкідливої програми.

У результаті з'ясувалося, що в коді вірусу сказано, що якщо звернення до цього домену було успішним, зараження слід призупинити, а якщо ні, то продовжити. Відразу ж після реєстрації домену, на нього прийшли десятки тисяч запитів.

Фахівець, який зареєстрував домен, зазначив, що не знав під час реєстрації, що це зупинить поширення вірусу. Він також порадив користувачам інтернету якомога швидше усунути вразливість, "тому що вони спробують знову".

15 травня фахівець, який зареєстрував домен, що призупинив поширення WannaCry, повідомив, що над цим доменом спробував захопити контроль "хтось із Китаю".

Коментуючи даний інцидент, фахівець компанії Лабораторія Касперського Костін Райю припустив, що зловмисник міг мати дві мети. Перша - бажання порахувати користувачів, які зазнали атаки. Другою метою могло бути заблокувати домен і тим самим знову активувати вірус.

За словами Райю, швидше за все зловмисник не має відношення до хакерів, які влаштували кібератаку, оскільки в даному випадку творцям вірусу WanaCrypt0r 2.0 найпростіше було б створити його нову версію без вразливості (kill switch), яка дозволяє власнику домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com зупинити поширення програми.

Читайте також: Компанії всього світу готуються до нової хвилі кібератак

Райю припускав, що 15 травня творці вірусу вже переписали його код, так щоб він міг функціонувати, не звертаючись до домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Пізніше він повідомив, що що код вірусу дійсно був оновлений за вихідні. Однак, судячи з усього, в новій версії вірусу не міститься можливості обходу тимчасового захисту, таким чином, нова версія вірусу, імовірно, "не становить такої ж загрози для суспільства".

Хто винен?

Колишній співробітник Агентства національної безпеки США Едвард Сноуден, коментуючи хакерські атаки на лікарні Великобританії заявив, що для них могла використовуватися програма АНБ.

На своїй сторінці у Twitter він заявив, що рішення АНБ про створення інструментів для атаки на програмне забезпечення у США тепер "загрожує життю пацієнтів".

“Всупереч попередженням, АНБ створила небезпечні інструменти для атак, яких може зазнати західне програмне забезпечення. Тепер ми бачимо ціну цього рішення", — написав Сноуден.

Про те, що нинішня хакерська атака на лікарні Великобританії безпосередньо пов'язана з вірусами, створеними АНБ, також вказує організація WikiLeaks на своїй сторінці у Twitter.

Сноуден опублікував посилання на статтю Politico, у якій йде мова про те, що за кібератакою за допомогою вірусу WannaCry стоїть витік інформації про методи злому, розроблені АНБ.

Як пише видання, імовірно вірус є версією програмного забезпечення АНБ, яке у квітні опублікувала у Мережі група, що називає себе Shadow Brokers.

Politico зазначає, що про групу Shadow Brokers стало відомо під час виборів президента США у минулому році. А те, що їм вдалося опублікувати засоби, розроблені АНБ для стеження, може говорити про те, що комп'ютери Агентства могли бути зламані, що призвело до витоку секретної інформації.

Видання зазначає, що хоча деякі припускають, що Shadow Brokers пов'язані із Москвою, жодних доказів цього не було оприлюднено.

Крім того Politico пише, що директор New America sOpen Technology Institute Кевін Бенкстон висловив думку, що Конгрес США повинен провести слухання з питання використання розвідувальними агентствами недоліків коду і того, у яких випадках вони повинні попереджати виробників про існування небезпеки.

"Якби АНБ розкрило, а не накопичило ці (вразливі місця - ред.), коли воно знайшло їх, більша кількість лікарень була б у більшій безпеці від цієї атаки", - вважає Бенкстон.

Аналогічну думку висловив юрист Патрік Тумі.

"Ці атаки наголошують на тому факті, що уразливості будуть експлуатуватися не лише нашими службами безпеки, але й хакерами та злочинцями по всьому світу", - передає його слова Bloomberg.

Сноуден також вважає, що тепер конгрес США повинен запитати в АНБ відомості про інші можливі вразливості в системах, які використовуються в лікарнях.

У свою чергу, The Telegraph повідомляє, що інструмент стеження Eternal Blue, вкрадений хакерами в АНБ був розроблений, щоб отримати доступ до комп'ютерів, використовуваних терористами і ворожими державами. Shadow Brokers опублікували його 14 квітня - через тиждень після наказу Трампа про ракетний удар по авіабазі у Сирії.

"Деякі експерти вважають, що ці терміни важливі і вказують на те, що Shadow Brokers мають зв'язки з російським урядом", - зазначає видання і нагадує, що рік тому про зв'язок цього угруповання із Кремлем заявляв Едвард Сноуден.

The Telegraph також пише, що, імовірно, оприлюднений Shadow Brokers інструмент доступу до комп'ютерів з вразливістю, використовувала інша група, яка вирішила його монетизувати.

15 травня президент Росії Володимир Путін заявив, що джерелом вірусу-здирника є США, а РФ тут абсолютно ні при чому.

"Що стосується джерела цих загроз, то, по-моєму, керівництво Microsoft про це прямо заявило, сказали про те, що первинним джерелом цього вірусу є спецслужби Сполучених Штатів, Росія тут абсолютно ні до чого. Мені дивно чути в цих умовах щось інше ", - сказав президент РФ.

Путін також зазначив, що російські установи не зазнали істотної шкоди від глобальної атаки.

16 травня фахівці з кібербезпеки заявили, що вірус WannaCry може бути пов'язаний з Північною Кореєю.

Зокрема, у компаніях Symantec і Kaspersky Lab зазначили, що частина цього вірусу має такий самий код, як і шкідливі програми, які у 2014 році використовувалися під час атаки на корпорацію Sony.

У тому нападі фахівці звинувачували зловмисників з КНДР.

"Це найкращий ключ, який ми бачили досі до джерел WannaCry. Але можливо, що код був просто скопійований без будь-якого іншого прямого зв'язку", - зазначили в компанії Kaspersky Lab.

У Symantec також зазначили, що продовжують вивчати вірус, щоб виявити більш очевидні зв'язки.

Скільки грошей отримали хакери, які запустили WannaCry

15 травня ЗМІ, посилаючись на дані платежів, писали, що творці вірусу WannaCry отримали 42 тис. доларів від своїх жертв через систему Bitcoin.

Цю інформацію повідомила організація Elliptic, що відслідковує біткоїн-платежі. За її даними, внаслідок 110 переведень на рахунку хакерів 23,5 біткоїна.

Зазначалося, що зловмисники не намагалися зняти гроші, які опинилися у їхньому розпорядженні.

Пізніше у той самий день радник президента США з національної безпеки Том Боссерт повідомив, що жертви кібератак за допомогою вірусу WannaCry виплатили хакерам менше 70 тисяч доларів. Він також зазначив, що жодного разу виплата грошей не привела до розблокування комп'ютера.

Заява президента Microsoft

14 травня президент Microsoft Бред Сміт у повідомленні на сайті компанії заявив, що масштабна хакерська атака, розпочата за допомогою вірусу-шифрувальника WannaCry, служить підтвердженням "необхідності невідкладних колективних дій" з метою забезпечення безпеки користувачів інтернету.

 

Президент Microsoft Бред Сміт

 

На його думку, значна частка відповідальності за кібератаки, подібні до кібератаки за допомогою віруса WannaCry, лежить на урядах, які збирають дані про вразливість у програмному забезпеченні заради своїх інтересів.

На думку Сміта, з цієї кібератаки потрібно винести уроки, щоб уникнути подібного у майбутньому.

Президент Microsoft вважає, що всі країни повинні "сформувати інший підхід і застосовувати у кіберпросторі такі ж суворі правила, як і до зброї у фізичному світі".

Він вважає, що для запобігання подібній загрозі потрібно розробити цифровий аналог Женевської конвенції з контролю над озброєннями. Сміт також зазначив, що дані про вразливості не повинні збиратися урядами для використання у власних інтересах. Такі дані повинні передаватися розробникам безпосередньо.

"Уряди всього світу повинні сприйняти цю загрозу як заклик до пробудження", - підсумував він.