Эпидемия компьютерного вируса, которая уже поразила машины в 150 странах, может распространиться дальше, когда после выходных люди придут на работу и включат компьютеры, на которых не было установлено обновление системы безопасности.
Европол сообщил в воскресенье, что кибератака затронула не менее 100 тысяч организаций в 150 странах, чьи компьютерные сети были поражены вирусом-вымогателем, шифрующим пользовательские файлы.
«Меня беспокоит, что эти числа могут вырасти, когда люди придут на работу в понедельник и включат свои компьютеры», – заявил директор Европола Роб Уэйнрайт в интервью британскому телеканалу ITV.
Сообщений о прогрессе в деле установления организаторов атаки пока не поступало.
Эксперты утверждают, что владельцы компьютеров, которые обновляют свои операционные системы, находятся в относительной безопасности, но призывают компании и правительственные органы убедиться в том, что они устанавливают обновления безопасности и обновляют программное обеспечение.
Что касается организаций, чьи системы фактически прекратили работу из-за атаки вируса-вымогателя, им рекомендуют не платить требуемый «выкуп», составляющий около 300 долларов, который должен быть выплачен в цифровой валюте биткоинах и уйти к неотслеживаемому получателю, который обозначен лишь строкой из цифр и букв.
Однако создатели вируса WannaCry заявляют своим жертвам, что размер выкупа будет удвоен, если они не выплатят изначальную сумму в течение трех дней с момента заражения, то есть в большинстве случаев к понедельнику. Если же пользователь откажется платить, то электронные вымогатели грозят удалить все файлы из пораженной системы через семь дней.
Разработчик антивирусного программного обеспечения компания Avast, у которой 400 миллионов пользователей, заявила, что количество атак с требованием выкупа за предоставление доступа к файлам, в субботу резко выросло и достигло пика в 57 тысяч заражений. Компания Avast, основанная в 1988 году двумя чешскими учеными, сообщила, что наибольшее число атак, судя по всему, произошло в России, Украине и на Тайване, однако также пострадали крупные организации в других странах.
«Кнопка аварийного отключения»
Эксперты допускают, что последствия кибератаки могли быть гораздо хуже, если бы не меры, предпринятые молодым британским ученым, который обнаружил уязвимость в самом вирусе WanaCryptor 2.0.
Исследователь, которого идентифицировали лишь как MalwareTech, обнаружил «кнопку аварийного отключения» в самом вирусном коде, когда изучал его структуру.
Эта «кнопка» лишала вирус способности распространяться по всем терминалам в зараженной системе, что усиливало ущерб, наносимый крупным сетям. Для этого нужно было, чтобы вирус связался с секретным интернет-доменом, имя которого состояло из длинной строки буквенно-цифровых символов.
Создатели вируса не активировали эту функцию, и ученый обнаружил, что секретный адрес не был зарегистрирован ни одним из международных администраторов Интернета. Он немедленно зарегистрировал этот адрес сам, потратив на это 11 долларов, и это значительно сократило темпы заражения компьютеров в Великобритании.
Эксперты предупреждают, однако, что преступники, выпустившие вирус-вымогатель в мир, могут деактивировать эту «кнопку» в будущих версиях вредоносного кода и новые версии уже появляются.
Главный инструмент хакеров
WanaCryptor 2.0 – это лишь часть проблемы. Он смог так быстро заразить огромное количество компьютеров благодаря вредоносному программному средству, способному проникать незамеченным на машины, работающие под операционной системой Windows.
Этот вредоносный код, известный как EternalBlue или MS17-010, использует уязвимость в программном обеспечении Microsoft и якобы был разработан Агентством национальной безопасности США, которое якобы пользовалось им для электронной слежки.
АНБ не обсуждает имеющиеся у него инструменты, и некоторые эксперты в области компьютерной безопасности полагают, что MS17-010 был создан неизвестной группировкой, известной под именем Equation Group, которая, впрочем, может быть связана с АНБ. Каково бы ни было происхождение кода, он был опубликован в Интернете в апреле хакерской группировкой ShadowBrokers.
Компания Microsoft выпустила «патч» для этой уязвимости два месяца назад, но не все пользователи компьютеров и сетей установили это обновление и поэтому оказались крайне уязвимыми. Добавим к этому, что многие компьютерные сети, особенно в менее развитых регионах мира, по-прежнему используют старую версию Windows – Windows XP. Компания выпустила «патч» и для этой версии операционной системы, хотя в целом уже не выпускает обновления для нее.
Финская компания F-Secure, работающая в сфере компьютерной безопасности, назвала возникшую проблему «крупнейшей атакой вируса-вымогателя в истории». Компания заявила, что ранее предупреждала об экспоненциальном росте программ-вымогателей или программ-преступников, а также об опасности применения сложных инструментов для ведения слежки правительственными органами.
Урок на будущее: обновляйте программы
В ситуации, когда WanaCryptor и MS17-010 были выпущены в мир, компания F-Secure утверждает, что возникшая проблема объединила и усилила самые опасные аспекты этих программ.
Российская компания «Лаборатория Касперского» отметила, что компания Microsoft устранила лазейку в своей операционной системе за несколько недель до того, как хакеры опубликовали код, якобы связанный с АНБ. Однако в «Лаборатории» с сожалением отметили, что многие пользователи не установили это обновление.
Национальная служба здравоохранения Великобритании в пятницу одной из первых забила тревогу по поводу вируса-вымогателя.
В субботу было созвано экстренное заседание правительственного антикризисного комитета COBRA, который должен был оценить масштаб ущерба. В тот же день министр внутренних дел Эмбер Рудд заявил, что Национальная служба здравоохранения вернулась к работе в обычном режиме, после того как 97 процентов компонентов ее компьютерной системы были полностью восстановлены.
В числе других жертв атаки оказались испанская фирма Telefonica, французский автопроизводитель Renault, американская курьерская служба FedEx и германская железнодорожная компания Deutsche Bahn.
Ни одна из пострадавших компаний не сообщила, что она выплатила или собирается выплатить «выкуп», который требуют хакеры.
