В пятницу вечером 12 мая стало известно о вирусной атаке WannaCry на ряд крупных государственных учреждений и частных компаний. По последним данным заражению подверглись более 230 тысяч компьютеров в более чем 100 странах мира. И так что же известно на данный момент об этом опасном вирусе?
Что представляет из себя вирус?
По характеру распространения WannaCry (он же Wana Decrypt0r 2.0) является червём, то есть используя уязвимость в защите проникает на компьютер, делает своё грязное дело, и затем рассылает свои копии на другие ПК. Попадая на компьютер вирус WannaCry шифрует важные файлы и выводит уведомление, сообщающее, что файлы зашифрованы и для их расшифровки необходимо заплатить от 300 до 600 долларов в криптовалюте Bitcoin. Данный вирус использует уязвимость в операционной системе Windows известную как ETERNALBLUE. Компания Microsoft закрыла эту уязвимость ещё в марте, выпустив патч MS17-010, но как показала атака, далеко не все успели установить это обновление или просто не захотели этого делать. Широко заговорили об этой уязвимости после того как хакерская группа ShadowBrokers опубликовала исходные коды программ для слежки Агенства Национальной Безопасности США. Эти программы использовали именно ETERNALBLUE для проникновения на компьютеры граждан США и других стран, за которыми следило АНБ.
Кто создал вирус и с какой целью?
К сожалению, дать точный ответ на этот вопрос пока не может никто. Есть только версии и предположения.
Версия 1. Спустя несколько часов после начала атаки в западных СМИ сразу же поспешили обвинить во всем мифических «русских хакеров», под которыми они имеют в виду хакеров, работающих на правительство России и российские спецслужбы. Сейчас же когда известно, что большая часть заражённых компьютеров находится именно в России и от действия вируса пострадали в частности МВД, РЖД, операторы связи и другие важные компании и учреждения всем ясно, что эта версия абсолютна несостоятельна. К тому же само существование этих «русских хакеров» пока никому доказать не удалось. Единственным российским следом в этом деле является то, что сообщение выводимое вирусом на разных языках наиболее грамотно составлено именно на русском языке. Так что вероятность того что авторами вируса являются русскоговорящие люди очень высока.
Версия 2. Наиболее очевидной версией является то, что авторами вируса являются обычные киберпреступники желающие заработать легких денег. Они использовали исходники шпионских инструментов АНБ, которые можно найти в сети и добавили к своему вирусу-шифровальщику, а целью выбрали крупные компании и учреждения только потому, что именно у таких компаний есть очень важная информация, которую те не захотят потерять, и вынуждены будут заплатить злоумышленникам.
Версия 3. По этой версии авторы вируса также просто киберпреступники но интересовали их вовсе не деньги, которые они могут получить с жертв, а базы данных, которые они похищают с заражённых компьютеров. Эту информацию они потом смогут очень выгодно продать. Именно поэтому под удар попали многие государственные структуры и бюджетные учреждения.
Версия 4. Кто-то при помощи вируса просто прощупывает обстановку и хочет узнать насколько защищены различные важные компьютерные системы, как быстро отреагируют системные администраторы и службы безопасности компаний, как далеко вирус сможет проникнуть и какую важную информацию сможет похитить. Кто может быть заинтересован в этом? Возможно террористы или спецслужбы какого-нибудь государства или даже крупные международные корпорации?
Уже после выхода этой статьи стало известно, что эксперты антивирусной компании Symantec изучив код WannaCry нашли сходство с инструментами для взлома, которые до этого использовали хакеры из группы Lazarus. Эта хакерская группа получила известность после того как взломала в 2014 году Sony Pictures. Многие эксперты связывают эту группу с руководством Северной Кореи. Однако доказать что именно Lazarus являются создателями WannaCry пока не удалось.
Что делать, чтобы не подцепить вирус?
Случаи заражения WannaCry происходят в основном в сетях крупных организаций и учреждений, но учитывая хаотичность распространения вируса, под удар могут попасть и мелкие офисы и обычные домашние пользователи. Для того чтобы обезопасить себя необходимо:
- Обновить операционную систему:
- Если у Вас установлена ОС: Windows 7, Windows 8.1, Windows 10 просто обновите систему в штатном режиме через автоматическое обновление (если это невозможно сделать по какой-либо причине прейдите по ссылке и скачайте патч для вашей версии ОС вручную).
- Если Вы используете более старую версию (например: Windows XP) пройдите по этой ссылке и скачайте патч для Вашей версии операционной системы.
- Обязательно установите свежую версию антивируса (можно и бесплатный, например: Avast Free) или если он уже установлен обновите его до последней версии и не отключайте автоматическое обновление, так как производители антивирусов тоже следят за ситуацией и стараются своевременно реагировать на новые угрозы.
- Соблюдайте простые меры предосторожности:
- Не скачивайте файлы с подозрительных сайтов и сайтов, на которых Вы впервые.
- Не открывайте ссылки и файлы в электронных письмах если вы не знаете отправителя или если сообщение покажется Вам подозрительным. Часто такие письма содержат какую-либо пугающую информацию, например о том что вы что-то натворили и теперь Вас за это ждет наказание. Не поддавайтесь и не спешите щелкать куда попало, это стандартный психологический приём различных мошенников.
- Не вставляйте в компьютер чужие флешки и диски, а тем более найденные где-то на улице.
Что делать если Ваш компьютер заражен WannaCry?
Во многом от того что Вы сделаете сразу после заражения и как быстро Вы это сделаете, будет зависеть удастся ли Вам спасти ваши файлы. Мы не советуем Вам платить злоумышленникам, никто не даст гарантий того что ваши файлы действительно будут расшифрованы, да и просто не стоит поощрять киберпреступников. Если же Вы решите заплатить и файлы действительно будут расшифрованы, мы всё равно советуем вам почистить компьютер от вирусов вплоть до полной переустановки операционной системы, потому что неизвестно какие бэкдоры («чёрные ходы») оставит после себя вирус. Вероятность того что заражение может повториться очень высока.
Внимание! На момент написания этой статьи не существовало способов расшифровки файлов зашифрованнных WannaCry, но сейчас появился способ как получить ключ для расшифровки на 32-х разрядных версиях операционной системы Windows (подробности в конце статьи). Особенностью этого способа является то что нельзя выключать компьютер и запускать какие либо программы чтобы не затереть этот ключ. Поэтому инструкция ниже устарела и будет актуальна только в том случае если Вам нужно срочно восстановить нормальную работу компьютера, а зашифрованные данные не нужны.
И так что же нужно сделать:
- Как можно скорее отключить интернет и выключить компьютер. Вирус не может зашифровать все файлы мгновенно, чем раньше Вы отреагируете, тем больше файлов удастся спасти.
- Загрузить ПК с Live CD/DVD/USB (если Вы не знаете что это Вам лучше обратиться к знакомому мастеру или в сервис-центр) и просканировать все диски различными антивирусными утилитами (например Dr.Web CureIT или Kaspersky Virus Removal Tool)
- Если вирус обнаружен и удалён скопируйте куда-нибудь те файлы что останутся незашифрованными.
- Можете включить компьютер в обычном режиме. Если система работает нормально и вирус никак себя не проявляет, установите патч для вашей версии Windows, чтобы закрыть уязвимость (или же полностью переустановите операционную систему). Установите свежий антивирус. Ещё раз просканируйте ПК на вирусы.
- Если вирус не успел удалить теневую копию файловой системы можно попытаться восстановить файлы при помощи программы ShadowExplorer.
13 мая в прессе появилось сообщение что британский специалист по компьютерной безопасности известный в сети как MalwareTech сумел остановить распространение вируса зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. В вирусе по его сведениям содержался своеобразный «выключатель», обнаружив этот домен в сети Интернет вирус прекращал своё распространение. Это дало небольшую передышку, но по сообщениям многих специалистов по компьютерной безопасности уже появилась версия вируса, в которой этот «выключатель» отсутствует. Так что расслабляться ещё рано.
Update от 19.05.17: Специалист французской компании Quarkslab Адриен Гинье сообщает, что он нашел способ как расшифровать данные, зашифрованные WannaCry. К сожалению, этот метод работает только для операционной системы Windows XP и только в том случае если Вы не перезагружали компьютер. Он написал программу WannaKey, которая используя баг в Windows XP может найти ключ для расшифровки хранящийся в оперативной памяти компьютера. Подробнее можно почитать здесь. Скачать программу и исходные коды можно на сайте GitHub по ссылке.
Update от 20.05.17: На базе WannaKey разработанного Адриеном Гинье был создан инструмент WanaKiwi, который работает не только с Windows XP, но и 32-разрядными версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. Разработал это решение французский исследователь Бенджамин Делпи, при поддержке сооснователя компании Comae Technologies и эксперта Microsoft Мэтью Сюиша. подробнее