«Это не заговор против нас, а банальное ************* (халатность)»

Программы-вымогатели, шифрующие данные на компьютере и требующие от пользователя деньги за дешифровку, появились давно. Первым принято считать троян AIDS, или PCCyborg, – в 1986 году его придумал антрополог Джозеф Попп. Программа шифровала имена файлов и требовала отправить 189 долларов на почтовый ящик в Панаме. Через три года Поппа арестовали и отправили в психиатрическую лечебницу. Эксперты тогда писали, что трояны такого рода крайне слабы и уязвимы. Но сегодня все изменилось. Современные алгоритмы шифрования, хранение ключей не на компьютере жертвы, а на специально арендованных серверах, ограниченное время на выкуп, после которого данные удаляются, – все это не позволяет пользователям получить свою информацию обратно. Кроме того, хакеры часто ошибаются в коде, и это приводит к тому, что расшифровать данные не удается, даже заплатив «выкуп» .

Первое сообщение о распространении WanaCrypt0r появилось в 4 часа утра 12 мая. Его опубликовали в твиттере специалисты компании MalwareHunterTeam. Через 30 минут от них же стало известно, что менее чем за три часа жертвами трояна стали 11 стран, среди которых и Россия. Практически сразу от WannaCry пострадало несколько европейских телефонных операторов, а уже днем в паблике «Подслушано полиция» появились первые сообщения о заражении компьютеров в региональных управлениях российского МВД и СК (некоторое время эту информацию отрицали, однако потом правоохранители были вынуждены признать проблему). На момент выхода статьи по данным Intel от трояна пострадало уже более 160 тысяч машин по всему миру.

WanaCrypt0r шифрует не все данные, а только важные для пользователя – документы Office, почту, архивы, файлы с ключами шифрования. За дешифровку взломщики требуют перевести на один из биткоин-адресов от 300 до 600 долларов (причем, требование о выкупе можно перевести на один из 27 языков – от болгарского и польского до английского, китайского и русского).

Но внимание специалистов привлекло необычайно быстрое распространение и абсолютная уязвимость перед ним локальных сетей множества компаний и государственных учреждений. Пострадали не только простые пользователи (традиционные жертвы криптолокеров), но и сети железнодорожных вокзалов Германии, английского министерства здравоохранения, концерна Nissan и многих других. Такая массовость стала возможна из-за использования уязвимости в Windows, доступ к которой киберпреступникам обеспечила база данных, опубликованная группой ShadowBrocker пять недель назад. Эта база эксплойтов (программных способов использования уязвимостей) принадлежала Equation Group – хакерской организации, которую многие эксперты связывают с ЦРУ. Один из методов, EternalBlue, позволяет вирусу заражать все машины в локальной сети после инфицирования одной, и именно этот метод использовался во вчерашней атаке.

Как сообщил Правила жизни источник в МВД России на условиях анонимности, основной причиной заражения полицейских компьютеров стало халатное отношение к безопасности: «На самом деле это не какой-то заговор против нас, а банальное ************* (халатность)». В регионах на очень многих компьютерах установлены старые версии Windows, которые уже не поддерживаются и не получают обновлений. Новые же часто тоже не обновляются. Внутренние «защищенные» сети имеют какие-то закрытые каналы, но по сути это обычная локалка, в которой люди играют в игры и смотрят фильмы. Дальше – просто человеческий фактор, в бухгалтерию присылают письмо со ссылкой, например, там его открывают, после этого все компьютеры сети заражены. На мой взгляд, тут, скорее всего была обычная рассылка фишинговых писем с ссылками или файлами».

Версия фишинга является одной из основных, однако на данный момент нет точных данных ни о первой зараженной машине, ни о том, как именно вирус доставляется получателю. Hаспространение удалось приостановить специалисту из MalwareTechBlog. Он обнаружил, что троян обращается к несуществующему адресу uqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и решил зарегистрировать этот домен, чтобы отследить скорость распространения. После регистрации выяснилось, что домен был «аварийным выключателем». Если он доступен, то WannaCry получает положительный ответ на запрос и не заражает устройство.

По мнению основателя проекта информационной безопасности Group-IB Ильи Сачкова, вымогатели действительно рассчитывали на массовость заражения – только это позволило бы им получить достаточное количество денег. Планировали ли злоумышленники, что алгоритм распространения окажется настолько эффективным, говорить пока рано, так как их личность еще не известна.

Из-за скандала Microsoft занялась срочным устранением уязвимости, однако, по мнению Ильи Сачкова, повторение атаки с использованием другой уязвимости из архива ShadowBrockers вполне возможно. «Сейчас Microsoft пошла на особые меры, выпустив обновления для уже не поддерживающихся систем, которые закрывают конкретно данную уязвимость. Однако ShadowBrockers выложили в свободный доступ еще десятки инструментов, поэтому надо помнить, что использование версий ОС более, чем 10-летней давности – прямой путь к заражению».

Вернут ли пользователи свои данные и будет ли разработано «лекарство» от WannaCry, тоже пока неизвестно. «Современные алгоритмы шифрования, доступные даже не сильно подкованным злоумышленникам, настолько сложны, что на расшифровку кода могут уйти годы», – считает Сачков.

Затею вымогателей сложно назвать действительно успешной: несмотря на то, что WanaCryptor привлекла массовое внимание, вымогатели получили только 15,08 BTC (около 26 тысяч $). Выкуп, на момент выхода статьи заплатили 88 человек.

Международный проект No More Ransome, борющийся с вирусами-вымогателями, рекомендует пострадавшим от WannaCry или любого другого криптолокера не платить выкуп, так как нет гарантии, что в ответ вы получите действующий ключ, а полученные преступниками деньги будут мотивировать их выпускать все новые и новые трояны.