В минувшие выходные сложно было пройти мимо новостей о всемирной атаке приложения-вымогателя под названием WannaCry. Эта вредоносная программа блокирует доступ к компьютерам по всему миру и требует выплатить выкуп в биткоинах, чтобы вернуть доступ к своим файлам.
Хотя приложения-вымогатели давно не являются сюрпризом, в данном случае пугает уровень распространения атаки. Пострадали многочисленные крупные учреждения, вроде Британской государственной службы здравоохранения и испанских телекоммуникационных компаний.
WannaCry представляет собой приложение-вымогатель, который заражает компьютеры с целью получения выкупа за возврат доступа к файлам на них. Содержимое компьютера шифруется, после чего сообщается, что после оплаты пользователь получит ключ для расшифровки файлов.
Пока известно только о компьютерах на различных редакциях операционной системы Windows, в том числе пострадали организации, которые до сих пор работают на устаревшей Windows XP. WannaCry использует уязвимость Windows. Эксплоит является одним из инструментов, которые были украдены из Национального Агентства Безопасности США. Поддерживаемые версии Windows после этого получили обновление, которое закрывает эту уязвимость, но Windows XP не обновляется.
Согласно информации от европейских властей, почти 10000 организаций и 200000 частных лиц в 150 странах стали жертвами вымогателя. Подобный уровень является беспрецедентным.
$300 в биткоинах.
Предположительно, используются программа под названием EternalBlue. Вымогатель задействует известный эксплоит в протоколе SMBv1 (Server Message Block Version 1). Это протокол прикладного уровня, который используется для обмена файлами и принтерами в сетевом окружении.
Как обычно, не рекомендуется переходить по сомнительным ссылкам и открывать файлы от незнакомых отправителей. В данном случае этого не требуется, но существует множество других вымогателей, для инфицирования которыми нужна помощь со стороны самих пользователей.
Ни в коем случае. Поскольку речь идёт о преступлении, велика вероятность, что даже после выплаты пользователи не получат свои файлы обратно. В некоторых вымогателях в исходном коде не предусмотрена возможность расшифровки файлов. Что касается данного конкретного случая, к нему приковано внимание всего мира и неизвестно, как поведут себя преступники. Они не хотят, чтобы их нашли, и вряд ли будут делать что-то, что могло бы навести на их след, в том числе вступать в переписку с жертвами.
К сожалению, в интернете никто не может чувствовать себя в полной безопасности. Microsoft уже заявила, что пользователи Windows 10 с автоматическим обновлением и защитником Windows не пострадают от этого вымогателя.
Пользователям рекомендуется включить автоматическое обновление операционной системы.
В данный момент нет никаких свидетельств того, что это возможно. Если у вас нет резервной копии этих файлов, они могут быть утеряны навсегда. По этой причине рекомендуется всегда выполнять резервное копирование.
Компания Bleeping Computer выпустила подробное руководство, хотя процесс не из лёгких.
Хотя это не вина Microsoft, особенно что касается пользователей Windows XP в 2017 году, разработчики не остались в стороне. Официальная поддержка Windows XP была предрешена больше трёх лет назад, но впервые с тех пор для этой системы был выпущен патч, который закрывает данную уязвимость. Естественно, установить его нужно до того, как компьютер был инфицирован вымогателем.
Исследователь в сфере кибербезопасности из Великобритании случайно нашёл способ замедлить распространение атаки, наткнувшись на так называемый аварийный выключатель. В коде приложения был обнаружен адрес домена, к которому вымогатель обращается. Если получен ответ на запрос, это означает, что домен активен, в таком случае в действие вступает аварийный переключатель и вымогатель прекращает распространяться. Исследователь зарегистрировал домен, в результате чего распространение вымогателя было остановлено. Регистрация обошлась в $10,69, после чего каждую секунду к домену выполнялись тысячи подключений.
В выходные были опасения, что когда в понедельник будут включены компьютеры на рабочих местах, число жертв значительно вырастет. На самом деле этот рост оказался незначительным. Несмотря на это, эксперты предупреждают о возможности новой волны атак видоизменённым приложением.