WannaCry. Червь, который смог

Алексей Дубилет

В пятницу, 12 мая, без объявления войны, началась одна из крупнейших кибератак на пользовательские компьютеры в истории. По состоянию на 15 мая было заражено около 250 тысяч компьютеров. Легли многие: Британская система здравоохранения, Deutsche Bank, МВД России, FeDex, банкоматы в Индии, диспетчерские системы в Хитроу и многие другие, которые не афишируют этого.

А всему виной вирус-шифровальщик WannaCry (он же WannaCrypt и WannaDecrypt0r). Опасен только для Windows. Если попадает на компьютер — шифрует все файлы и предлагает дать ключ за 300 вечнозелёных (в биткоинах).

Чтобы защититься, достаточно скачать обновление ОС Microsoft за март 2017 года.

А вот история появления этого вируса заслуживает отдельного разговора.

Все мы знаем, что американское NSA (оно же Агентство национальной безопасности) обладает огромными возможностями в плане кибератак, кибершпионажа и других киберштук. Но где-то между 2015-м и летом 2016 года произошла огромная утечка информации с грифом Top Secret.

Как впоследствии стало ясно, от NSA утекло огромное количество документов, где детально описывались уязвимости огромного количества всевозможных систем (начиная от Windows и Linux и заканчивая телевизорами Panasonic) и перечень инструментов-эксплойтов, которые могли использовать эти уязвимости.

Настоящий клондайк артефактов для хакеров.

В августе 2016-го группа, называющая себя Shadow Brokers, взяла на себя ответственность за эту утечку. Достоверно известно, что они начали этими документами торговать. Но торгуют они настолько глубоко в подполье, что до конца неизвестно, кому же они их продают. Возможно, что продают другим хакерским группам, возможно — государствам, готовым покупать подобное, либо компаниям, чьи уязвимости были раскрыты. Что примечательно, они регулярно выбрасывают в открытый доступ части этих документов для всеобщего бесплатного пользования. Это, в свою очередь, они делают либо для демонстрации наличия этих документов, либо просто потому, что не смогли продать.

Именно здесь на сцену выходит вирус-криптор WannaCry.

14 апреля 2017 года Shadow Brokers публикуют эксплойт EternalBlue [https://en.wikipedia.org/wiki/EternalBlue]. Вдаваться в подробности не буду, но этот эксплойт позволяет удалённо подключаться к машине без ведома пользователя и делать на ней свои тёмные дела.

В начале мая кто-то написал несложный вирус-криптор, который использовал эту уязвимость протокола Windows, чтобы пробраться внутрь и зашифровать все файлы. Но чего точно никто не ожидал — так это подобного масштаба заражения. Вирус случайным образом перебирал всевозможные порты для подключения и в случае успешного обмана машины подключался к ней и закидывал сам криптор, который, в свою очередь, шифровал всё содержимое на диске.

Очень интересная деталь — Микрософты уверяют, что пофиксили эту дыру ещё в марте, за несколько недель до публикации уязвимости, что наводит на подозрение, что данные об этой уязвимости продали/передали им сами Shadow Brokers. Но тогда вопрос — зачем публиковать эксплойт, который уже, по идее, исправлен? Это наводит на подозрение, что Shadow Brokers многие решения принимает не только из корыстных побуждений, но и ради лицезрения сокрушения крупнейших систем в мире. Или просто ради лулзов, что тоже очень ценится в хакерской субкультуре.

Если компьютер таки поймал этот вирус — уже ничего не спасет. Только платить выкуп биткоинами либо сносить Винду со всеми вашими личными файлами.

Тайна самой группы Shadow Brokers тоже покрыта мраком. Сноуден и некоторые другие видные деятели говорят о том, что они могут быть связаны с Кремлём, так как их следы похожи на те, что были замечены после взлома почтовых ящиков членов демпартии США и почты штаба Макрона. Но с другой стороны, это также может быть группа независимых друг от друга хакеров, которые иногда объединяются ради совместных операций. В общем, ясно, что ничего не ясно.

Поэтому ребята, если вам нужен был знак свыше, что пора заняться своей кибербезопасностью — самое время начать это делать. Эта ситуация наглядно демонстрирует, насколько несерьёзно пользователи относятся к самым базовым правилам безопасности. 250 тысяч пользователей машин забыли (или забили) обновить свои машины, и нате вам — проблемы по всему миру, начиная от потери файлов обычных пользователей и заканчивая параличом объектов инфраструктуры.

Помните, вирус может найти вас не только, если вы ходите по левым сайтам и скачиваете левые программы. Поэтому держите хвост пистолетом, антивирус активированным, бэкапы регулярными — и всё будет хорошо.