Червь-вымогатель. 5 вопросов о вирусе WannaCrypt, атакующем компьютеры по всему миру

Фото: открытые источники
Фото: открытые источники

Хакер Шон Таунсенд — о том, чем интересен вымогатель WannaCrypt, как от него уберечься и почему вскоре стоит ожидать появления аналогичных вирусов

12 мая в интернете начал распространяться вирус-вымогатель WannaCrypt. Проникая в систему компьютера, он шифрует все данные на жестком диске и предлагает вернуть к ним доступ после уплаты выкупа в размере $300. По данным Европола, за пару дней в 150 странах заразились десятки тысяч компьютеров. Директор европейской полиции Роб Уэйнрайт предупредил, что с началом рабочей недели возможен новый всплеск эпидемии.

Представитель Украинского Киберальянса Шон Таунсенд рассказал Фокусу о том, чем интересен этот вирус и как обезопасить свой компьютер.

Почему об этом вирусе столько говорят?

— Шумиха вокруг шифровальщика файлов WannaCrypt поднялась потому, что это не троян, а червь, использующий уязвимость в системе. Мы отвыкли от червей. Когда в начале нулевых был их расцвет, уязвимости, которые им позволяли ползать по Сети, не стоили практически ничего, и червей люди писали для развлечения. Сейчас такие эксплоиты (программы, использующие уязвимости системы. — Фокус) стоят очень дорого — от нескольких десятков до нескольких сотен тысяч долларов.

Именно этот эксплоит предположительно был украден у Агентства национальной безопасности США и выложен в открытый доступ, где его подобрали авторы вымогателя. Еще повезло, что исправление бага Microsoft выпустил в марте, и компьютеры, обновляющиеся регулярно, оказались защищены.

Кто в группе риска?

— Этот червь угрожает всем пользователям Windows. Поначалу его распространяли через почту, кажется, drive by (пользователь получает письмо с вложением, при открытии которого компьютер инфицируется. — Фокус). Дальше он распространяется сам, если Windows подключен напрямую к интернету и открыт 445 порт, или, к примеру, через локальную сеть.

"Лечиться от червя бесполезно, он надежно шифрует. Файлы или пропадут с концами, или придется заплатить вымогателям"

Если компьютер находится за роутером, можно не париться. Компьютер не только посылает запросы в Сеть (как при запросе веб-страницы из Сети), но и ждет входящих соединений, к примеру, для того чтобы в локальной сети делиться файлами. Если перед компьютером стоит маршрутизатор, то именно он отвечает на запросы из интернета и по умолчанию не пропускает запросы на соединение внутрь локальной сети. Однако риск возрастает, если в локальной сети больше одного компьютера: один сотрудник (или член семьи) может заразиться, кликнув на вредоносную ссылку, и после этого червь сам, без участия пользователя заразит все не обновленные Windows-машины в локалке.

Как лечиться после заражения?

— Лечиться от червя бесполезно, он надежно шифрует файлы. Вроде бы пока никаких ошибок в шифровании не нашли, так что файлы пропадут с концами или придется заплатить вымогателям. Переустановка системы не поможет — все равно все файлы на жестком диске будут зашифрованы.

Как избежать заражения?

— Обязательно нужно установить мартовское обновление от Microsoft MS 17-010. Желательно не забывать делать и обновлять резервные копии важных данных. И, получая почту, не кликать на что попало.

Какие перспективы у этого вируса?

— Для его создателей — самые радужные. Сейчас у преступников на кошельках 29.45 BTC — около $50 тыс., и это только начало. Теперь, когда злоумышленники увидели, насколько эффективнее атака червем по сравнению с атакой трояном, когда все убедились, насколько это может быть прибыльно, другие черные хакеры, скорее всего, начнут покупать такие уязвимости и делать подобных червей.