Атаку вируса Wanna Cry, которая произошла в минувшую пятницу, эксперты признают самой глобальной за всю историю Интернета.

Ее жертвами стали крупные правительственные и коммерческие организации по всему миру. Наибольшее число попыток заражений отмечено в России — свидетельствует Лаборатория Касперского. При этом эксперты советуют готовиться ко второй волне.

Вирус сдержан, но не остановлен

К моменту публикации этой статьи многие служащие лишь садятся за офисные компьютеры, которые, возможно, были заражены в пятницу вечером и только и ждут, чтобы их включили. 

Это может запустить вторую волну распространения вируса, а кроме того, уже начали распространяться другие вирусы, «копирующие» почерк Wanna Cry.

Компания Microsoft выпустила обновления почти для всех версий своей операционной системы Windows, но они призваны защитить еще не зараженные компьютеры, а не вылечить пострадавшие. Единственный способ сдержать распространение вируса — немедленно обновить свои операционные системы Microsoft.

В субботу, 13 мая, специалисты сумели временно сдержать распространение вируса. Код Wanna Cry содержал строки, которые предписывали ему распространяться до тех пор, пока не будет зарегистрировано определенное доменное имя, — что специалисты и сделали. Однако позднее создатели вредоносной программы выпустили новую версию вируса, которая уже не обращается к этому доменному имени, и его распространение продолжилось. Сейчас те же специалисты ищут путь борьбы с обновленной версией вируса — хакерам не удалось бы за столь короткий промежуток времени существенно изменить его основной алгоритм. Скорее всего, они лишь немного изменили алгоритм остановки распространения, и эксперты, которые остановили вирус в первый раз, хотят сделать это вновь.

Считаем потери

Поскольку вирус Wanna Cry не просто блокирует зараженные компьютеры, но и просит за разблокировку выкуп (300 долл. в биткоинах), то, понятно, одной из целей его создателей было заработать на нем. Пока на их счета поступило немного денег — чуть более 42 тыс. долл. А всего, по данным Европола, от кибератаки пострадали более 200 тыс. пользователей в 150 странах, в том числе 100 тыс. организаций государственного и частного секторов. 

Таким образом, на данный момент требования хакеров выполнили немногим более 100 человек из числа атакованных, однако их число может вырасти, поскольку через три дня сумма выкупа удвоится, а через семь дней с компьютеров будут стерты все файлы. При этом не поступило ни одного сообщения о том, что файлы какого-либо заплатившего пользователя были разблокированы. Более того, эксперты сомневаются, что зашифрованные файлы вообще поддаются дешифровке со стороны вымогателей.

При этом Европол, полицейская служба Европейского Союза, признает, что, несмотря на усилия международных спецслужб, протокол работы с криптовалютами не позволяет идентифицировать конечных получателей средств, даже если они уже благополучно сняли деньги с трех своих счетов,— пишет Guardian.

«Характер вируса свидетельствует о том, что контакты с некоторыми машинами и сетями могут быть еще не обнаружены и заражение вредоносным ПО может распространяться внутри сетей», — говорится в заявлении британского Национального центра кибербезопасности.

Европол заявил, что «эскалация угрозы» нападения по-прежнему растет после кратковременного спада в пятницу. По оценкам агентства, с момента начала кибератаки пострадало около 200 тыс. частных пользователей и организаций. Атака охватила США, Россию, Бразилию, Испанию, Индию и Германию, и в ее ходе пострадали такие крупные государственные учреждения, как Национальная служба здравоохранения США и национальная железная дорога Германии.

Позиция Microsoft: кто виноват?

По мнению некоторых экспертов, вредоносная программа WannaCry использует уязвимость Microsoft Windows, которая, как сообщается, разрабатывалась и использовалась Агентством национальной безопасности США, а потом была у него украдена. Эксперты утверждают, что эта уязвимость известна уже несколько месяцев, и Microsoft исправила эту проблему в обновлениях последних версий Windows. Однако значительное число пользователей, в том числе работающих в крупных государственных и частных компаниях, не применяли этот патч. В результате хакерам удалось парализовать работу большого количества крупных учреждений.

По этому поводу Брэд Смит, президент Microsoft и глава юридической службы, в своем блоге возлагает вину за случившееся не только на хакеров, но и на пострадавшие компании, которые медленно обновляют свое ПО, и на правительства, которые накапливают уязвимости в своих архивах.

Правительственные агентства собирают уязвимости вместо того, чтобы их своевременно закрывать (архив уязвимостей ЦРУ был выложен на WikiLeaks), а потом их похищают преступники. По словам Смита, это выглядит так, будто с военной базы террористы украли ракеты «Томагавк».

Обвинив крупные компании в том, что они не обновляли свое программное обеспечение последними патчами, Microsoft отметила, что безопасность является совместной ответственностью  двух сторон — выпускающих обновления и их применяющих.

«По мере того как киберпреступления становятся все более изощренными, пользователям просто нечем защищать себя, если они не обновляют свои системы. В противном случае они буквально борются с современным проблемами с помощью инструментов прошлого. Эта атака является напоминанием о том, что основополагающие принципы использования информационных технологий, такие как поддержание компьютеров в актуальном состоянии и своевременное обновление патчей, являются обязательными для всех, и каждый руководитель должен им следовать», — отметил Смит.

Также Смит вновь подчеркнул необходимость создания «цифровой Женевской конвенции», которая требует от правительств учета риска для гражданских лиц от накопления уязвимостей и должна обязать правительства сообщать о найденых уязвимостях общественности, а не накапливать, продавать или эксплуатировать их.