Эпидемия WannaCry: как вирус-вымогатель повлиял на мир

В эту пятницу, 12 мая, новостные ленты всего мира захлестнула волна заметок о вирусной атаке на компьютеры программой-вымогателем WannaCry (WanaCrypt0r 2.0), которая стала самой масштабной за последнее время. По данным разработчиков антивируса Avast, случаи заражения им были зафиксированы в 99 странах (ранее «Лаборатория Касперского» сообщала о 74 странах), при этом наибольшее число «жертв» оказалось в России, Украине и Тайване.

WannaCry принадлежит к категории Ransomware: попадая в компьютер, он шифрует хранящиеся в нём данные (о файловых предпочтениях вируса, способе его проникновения в систему и мерах для предотвращения заражения мы писали в материале «WannaCry: как не стать жертвой вируса») и требует заплатить выкуп за их разблокировку. В данном случае речь идёт о суммах от $300 до $600 в биткойновом эквиваленте.

О масштабах «эпидемии» говорит тот факт, что среди «пострадавших» имеются не только отдельные пользователи, но и компании, организации и ведомства. В России, к примеру, сообщалось об атаках на «Сбербанк», «МегаФон», РЖД, МВД и МЧС. В большинстве случаев вирус был локализован и обезврежен, но очевидцы публиковали в Интернете фотографии, свидетельствующие о том, что иногда «зловред» всё же пробивал брешь в защите даже крупных структур. Например, он «отметился» на информационных дисплеях «Сбербанка». Кроме того, в ряде регионов, по данным СМИ, была приостановлена выдача водительских удостоверений в ГИБДД — опять же из-за WannaCry.

Впрочем, «сводки с фронта» поступали не только из нашей страны. В Великобритании под удар попала система здравоохранения — там была нарушена работа нескольких десятков больниц, где пациенты в течение некоторого времени не могли получить полноценное лечение из-за блокировки баз данных с их медкартами. В Германии вредоносная программа проникла в сеть крупнейшего железнодорожного оператора Deutsche Bahn. Сведений о перебоях в движении поездов не поступало, но на электронных табло ряда станций пассажиры могли характерное окно вируса поверх расписания. Автоконцерн Renault вынужден был остановить сборочные конвейеры на своих заводах во Франции и Словении.

Перечисленные выше эпизоды — это далеко не полный перечень последствий атаки WannaCry, во многих случаях ущерб ещё не оценён. Что касается самого вируса, то на данный момент его распространение остановлено. Как сообщило издание The Guardian, сделать это удалось 22-летнему британцу с ником MalwareTech, работающему на американскую компанию Kryptos Logic, и Дариену Хуссу (Darien Huss), являющемуся сотрудником Proofpoint, занимающейся вопросами кибербезопасности. Они обнаружили, что вредоносная программа обращается с запросами к несуществующему домену. Зарегистрировав соответствующий адрес менее чем за $11, исследователи активировали тем самым механизм «выключения» вируса — получение ответа от домена, как оказалось, было своеобразным «рубильником». Однако это не означает, что атаки прекратятся — пока они только приостановлены. Хакерам достаточно лишь изменить код, и WannaCry продолжит своё шествие по миру. Кроме того, как заявил эксперт в области компьютерной безопасности и глава фирмы Trusona Ори Эйсен (Ori Eisen), нынешняя атака — это только начало, и последующие будут только наращивать свою мощь. «Сегодня это случилось с 10 000 компьютеров, но ничто не мешает завтра сделать это со 100 000», — отметил он.

Тем временем, исследователь в области информационной безопасности Брайан Кребс (Brian Krebs) подсчитал, что с помощью WannaCry киберпреступники смогли «заработать» всего лишь чуть больше $26 000. «Согласно подробному описанию WannaCry на сайте Redsocks, опубликованному в пятницу, вирус содержит в своём коде номера трёх Bitcoin-кошельков для перевода выкупа. Одна из особенностей Bitcoin заключается в том, что зная эти номера, каждый может просмотреть историю транзакций по ним. Благодаря этому можно узнать, сколько денег получили преступники и сколько человек им заплатило», — пояснил Кребс. Анализ указанных кошельков показал, что на них было сделано 100 переводов на общую сумму 15 биткойнов, что по текущему курсу эквивалентно $26 148.