WannaCry: как работает крупнейшее компьютерное вымогательство

Программа-вымогатель 12 мая заблокировала десятки тысяч компьютеров по всему миру, в том числе в государственных учреждениях и крупных компаниях.

Что это за вирус?

Программа-вымогатель WannaCry (она же WCry и WannaCryptor) шифрует файлы пользователя, в результате чего их больше нельзя использовать. Для расшифровки файлов программа требует оплату в биткойнах, эквивалентную 300, по другим данным - 600 долларам.

Злоумышленники обещают удвоить стоимость выкупа 15 мая и сделать изменения на компьютере безвозвратными 19 мая. Также они обещают “бесплатные мероприятия“ для бедных пользователей. Связаться со злоумышленниками можно прямо через программу.

Кто уже пострадал?

Лаборатория Касперского зафиксировала порядка 45 тысяч попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России. Сотрудник компании Avast Якуб Кроустек отмечает в Твиттере, что заражены как минимум 36 тысяч компьютеров в мире, большинство из них - в России, Украине и Тайване.

Больше всего от вируса страдают страны бывшего СССР

Читай также: Опасный вирус WannaCrypt: как обезопаситься и вылечить компьютер


В России жертвами вируса уже стали Сбербанк, Мегафон и министерство внутренних дел (ранее ведомство отрицало заражения). В Британии жертвами стали государственные больницы, в Испании - телекоммуникационная компания Telefonica.

“Новый вирус распространяется с адской скоростью“, - сообщают исследователи MalwareHunterTeam.

В субботу о вирусных атаках на российские банки сообщили российский Центробанк и “Российские железные дороги“. В обоих случаях вирус удалось локализовать.

Причем здесь Агентство национальной безопасности США?

Для атаки хакеры использовали модифицированную программу EternalBlue, изначально разработанную Агентством национальной безопасности США. Она была украдена хакерами The Shadow Brokers у хакеров Equation Group в августе 2016 года и опубликована в апреле 2017-го.

О связи Equation Group c Агенством национальной безопасности США писали в WikiLeaks. В Лаборатории Касперского отмечали схожесть инструментов Equation Group со Stuxnet - компьютерным червем, который, по данным New York Times, американские и израильские власти использовали для атаки на иранскую ядерную программу.

Бывший сотрудник американских спецслужб Эдвард Сноуден заявил, что АНБ может быть косвенно причастна к атаке. “Решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц“, - написал он в Твиттере.

АНБ пока никак не прокомментировало эти утверждения, в то время как министерство внутренней безопасности США заявило, что осведомлено о ситуации с вирусом WannaCry и работает над предотвращением его последствий на гражданские и государственные сети.

Сколько уже “заработали“ вымогатели?

Для сбора средств злоумышленники используют по меньшей мере четыре кошелька для биткойнов (1234). Меньше чем за сутки пострадавшие перевели на них более 7 биткойнов, что равно 12 тыс. долларов. Учитывая, что пользователи обычно откладывают выкуп на последний день, “прибыль“ может вырасти многократно.

Читай также: Всемирную кибератаку случайно приостановил программист

Это, а также география заражений, позволяет говорить о самой масштабной атаке с использованием программы-вымогателя в истории.

Почему это работает?

Вирус использует уязвимость в операционной системе Windows, которую Microsoft закрыла еще в марте 2017 года. Всем, у кого система обновилась, вирус не угрожает. Однако многие пользователи и организации отключают автоматические обновления на своих компьютерах.

“Противоядие“ для зараженных WannaCry пока не выпущено.

Как защититься?

Читай также: США помогут побороть вирус, атаковавший компьютеры по всему миру

Программы-вымогатели обычно устанавливаются через документы, распространяемые по электронной почте. Как называется файл-переносчик в случае с WannaCry, пока также не ясно.

Полностью исключает возможность заражения установка соответствующего обновления для Windows.