Массовое заражение компьютеров вирусом, вымогающим деньги, зафиксировано почти в 100 странах и сильнее всего затронуло Россию, свидетельствуют выводы экспертов. Вирусную атаку, которая вызвала перебои в работе Министерства внутренних дел РФ, сотового оператора «МегаФон», также заметили в банковском секторе и в ОАО РЖД. Сегодня распространение вредоносного программного обеспечения (ПО) WannaCry было остановлено, о чем “Ъ” заявил британский программист-самоучка. Пострадавшие могли бы избежать проблем с этим вирусом, если бы вовремя обновляли ПО, констатируют участники рынка.
Первая информация о распространении вируса-шифровальщика под названием WannaCry в России появились вчера днем. К тому моменту уже было известно об атаках на компьютеры испанского оператора Telefonica и структуры Минздрава Великобритании, помешавшей их работе, а поздно вечером факт атаки подтвердили в американской логистической компании FedEx. «Лаборатория Касперского» зафиксировала 45 тыс. попыток заражения компьютеров этим вирусом в 74 странах мира, а больше всего — в РФ. Компания Avast обнаружила 75 тыс. зараженных компьютеров в 99 странах. Атаки в основном были нацелены на РФ, Украину и Тайвань, сообщили в Avast.
Одним из первых о заражении компьютеров в органах МВД РФ в ряде регионов сообщил блогер Илья Варламов. Согласно публикации, на экране устройства появлялась плашка со словами, что все файлы зашифрованы и его пользователю предлагалось выплатить за расшифровку $300 биткойнами. В МВД сначала опровергали эту информацию, но позже официально подтвердили факт вирусной атаки на ПК под управлением ОС Windows. По словам официального представителя МВД РФ Ирины Волк, специалисты МВД блокировали порядка тысячи заражённых компьютеров (менее 1% от общего количества), и активность вируса была локализована. Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных ОС, сообщила она, исключив утечку служебной информации.
Вчера вечером атаку на рабочие компьютеры признал сотовый оператор «МегаФон». Как рассказал представитель компании Петр Лидов, на экранах ПК также появилась информация с требованием заплатить $300 за расшифровку файлов. Компьютерный вирус WannaCry вызвал сбой в работе колл-центра, об устранении которого компания сообщила в пятницу около 21.30 мск. На телекоммуникационные сервисы «МегаФона» эта атака не повлияла, и не было отключений внутрикорпоративной сети, сообщил оператор. Однако работа розничной сети была фактически парализована. «Наши точки продаж пострадали больше всего, так как в рознице обширнее всего используется Windows, уязвимости которого были использованы»,— сообщили в компании сегодня. Продажи в трех филиалах «МегаФон» были возобновлены в 13.00 мск, а остальных пяти филиалах компания планировала восстановить работу розницы в течение следующего часа.
О вирусной атаке в субботу также заявили в Минздраве, РЖД и Сбербанке. По сообщению этих ведомств, серьезных последствий она не имела. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) фиксировал массовые рассылки банкам вредоносного ПО, случаев компрометации ресурсов кредитных организаций РФ в результате атаки вируса пока не было, передает ТАСС. «Проникновений вирусов в систему не произошло,— сообщили ‘Ъ” в Сбербанке.— В связи с сообщениями о вирусных атаках, службы Банка, отвечающие за кибербезопасность, переведены в режим повышенной готовности».
Еще в целом ряде структур сообщили, что не действия хакеров их не коснулись. «Атака нас не затронула, все стабильно. Мы защищаем свою сеть»,— сообщили во ФГУП «Почта России». В «Ростелекоме» сообщили, что провели профилактические работы, обновив ПО на компьютерах, в том числе не подключенных к интернету. Не заметили атаку в Национальной системе платежных карт, Федеральной таможенной службе и в военном ведомстве. «Никакой подозрительной активности зафиксировано не было, и все системы работают без сбоев»,— сообщили “Ъ” в Минобороны. Пункты доступа в интернет в Минобороны РФ функционируют отдельно от информационных систем управления, а проблем при передаче информации по транспортным сетям связи нет, отметил источник в силовой структуре.
Утром в субботу сайт газеты The Guardian сообщил, что распространение самовоспроизводящейся программы-вымогателя WannaCry остановлено силами компьютерного специалиста, пишущего в твиттер @malwaretechblog, а также сотрудника компании Proofpoint Дариена Хасса. Автор @malwaretechblog, представившись “Ъ” как 22-летний программист-самоучка из Соединенного Королевства, подтвердил, что он остановил распространение вируса WannaCry путем регистрации на себя доменного имени, которое использовалось для воспроизводства этого вредоносного софта.
Заражение WannaCry 75 тыс. компьютеров стало одним из самых масштабных в истории, но не рекордным: в 2001 году червь Code-Red поразил 350 тыс. компьютеров за 14 часов. Как сообщила arstechnica.com, WannaCry копирует эксплойт Eternalblue, который использовался Агентством Национальной Безопасности США (АНБ) для удаленного управления компьютерами на Miсrosoft Windows. Eternalblue, посредством которой также можно контролировать ПК на Windows XP через Windows Server 2012, был обнародован в середине апреля группой Shadow Brokers в пакете с другими файлами, якобы принадлежавшими АНБ США. Как отмечается в материале на arstechnica.com, данная программа вымогатель распространялась вирусно от компьютера к компьютеру, для чего не требовалось открывать письма электронной почты, ссылки и тп.
Программа-вымогатель WannaCry(WanaCrypt0r) использует одну из уязвимостей, выложенных группой Shadow Brokers, так называемый эксплойт EternalBlue MS17-010, помимо этого она устанавливает бэкдор DOUBLEPULSAR, сообщил технический директор платежной системы Qiwi Кирилл Ермаков. Патч, который закрывал уязвимость, вышел еще в середине марта, напомнил он. «Мы заметили попытки этой атаки на нас, но за счет вовремя установленного обновления для нас это прошло практически незамечено»,— рассказал Кирилл Ермаков.
Как пояснил “Ъ” собеседник в правоохранительных органах, существует десятки тысяч программ-вымогателей, и WannaCry «использовал уязвимость в Windows, которая оказалась не закрыта». «Этот троян, помимо того, что шифровал компьютеры пользователей, еще сканировал сеть на предмет старых ОС, чтобы их заразить. Поэтому так распространилось»,— рассказал собеседник “Ъ”. В действиях хакеров против органов МВД и компании «МегаФон» просматривается состав преступления по ст. 273 УК РФ, уверен он. Если уголовное дело будет возбуждено, то его оперативным сопровождением будут заниматься, либо Управление «К» МВД РФ, либо Центр информбезопаности ФСБ, считает собеседник “Ъ”. Представитель «МегаФона» Петр Лидов, говорит, что оператор пока не заявил о случившемся в правоохранительные органы. «Формально не писали обращений, потому что выходные. Но, конечно, надо обращаться»,— сообщил господин Лидов.
«Учитывая трансграничный характер распространения вируса за его создателями будут гоняться как и правоохранители из разных стран, так и над государственные правоохранительные структуры, в частности Интерпол»,— считает исполнительный директор юридической компании HEADS Consulting Никита Куликов. По его мнению, в российском правом поле такие действия злоумышленников подпадают под статьи УК РФ о мошенничестве (ст. 159), и вымогательстве (ст. 163 ), и целиком под главу 28 о «Преступления в сфере компьютерной информации» — ст. 272, 273, 274.
«Программы шифровальщики-блокираторы были больше пяти лет назад, когда блокировался экран монитора, и просили деньги по номерам СМС. Когда это победили, они ушли, потому что способов получения денег не было. Сейчас с появлением криптовалют выяснилось, что это можно повторить»,— констатирует советник президента РФ Герман Клименко. В то же время заражение вирусом ПК госорганов не является атакой на власть, это обычная «обычная бизнес история для хакеров», уверен он. «Я готов поставить 300 долларов, что хакеры вообще не думали, кого атакуют,— говорит Герман Клименко.— Вот у метро наперсточники. Мы же не делаем из этого вывода, что наперсточники хотят развалить экономику России. Это обычные наперсточники, которых надо сажать, вот здесь примерно такая же история». По его словам, данная атака станет «дополнительным доводом» для рекомендации по импортозамещению софта. «Коллеги из Microsoft может быть неаккуратно обновляются. Потому что пострадала их операционная система. Я не слышал, чтобы пострадали "Гослинукс", ALT Linux, "Базальт СПО" или Astra Linux»,— заключил Герман Клименко. Сама Microsoft оперативно отреагировала на инцидент с вирусом, указывает Кирилл Ермаков. Как сообщила представитель Microsoft Кристина Давыдова, компания выпустила обновления для операционных систем, которые уже не поддерживаются, в частности, для Windows XP, Windows 8 и Windows Server 2003.