Китайский след: кто стоит за нашумевшей кибератакой вируса WannaCry

В середине мая СМИ заговорили о "самой масштабной вирусной хак-атаке, которую когда-либо видел мир" — вирусе WannaCry (он же WannaCrypt0r 2.0). По данным счетчика Intel Malvaretech, вирусом было заражено более 300 тысяч рабочих станций за первую неделю, в дальнейшем цифра пошла на спад. В первый день атаки насчитали около 45 000 случаев, за трое суток эта цифра возросла до 115 тыс., при этом больше всего пострадали такие страны, как Украина, Тайвань, Индия и Россия.

13 мая глобальное распространение вируса удалось остановить. Специалист по безопасности Дэриен Хасс(блог @MalwareTech) зарегистрировал доменное имя iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, к которому программа-вымогатель обращалась перед активацией. В коде вируса говорилось, что если обращение к домену пройдет успешно, заражение следует прекратить. Но вскоре злоумышленники нашли способ обхода этого решения.

Вторая волна 15 мая поразила страны Азии, при этом хакеры не атаковали правительственные учреждения, но с вирусом столкнулись такие крупные компании, как Nissan Motor и Hitachi. С 27 по 31 мая пришла "третья волна" вируса, увеличив количество жертв до 500 тыс., и эта цифра ежедневно растет.

Всего вирус был найден на рабочих станциях в 150 странах, затронув 10 тыс. организаций, а по подсчетам американской кибербезопастностной компании KnowBe4, убытки от его распространения достигли уже $1 млрд. Кто стоит за WannaCryptor, стоит ли ожидать новых атак и как защитить свой компьютер?

Ставка на внезапность

Если пристальнее взглянуть на историю вирусописательства, WannaCry — пока не самый успешный представитель вредоносных программ. По своей архитектуре WannaCry в целом похож на другие известные вирусы, например, Conficker — он распространяется и по другим системам сети, как "червь".

"Массовость заражений обусловлена тем, что вымогатель распространяется по технологии червя. Попав на один компьютер, он может заразить и другие компьютеры в локальной и глобальной сети и для этого достаточно, чтобы на компьютере жертвы не стояли обновления от Microsoft, которые были выпущены еще в марте", — отмечает Дмитрий Гридин, СЕО Gridinsoft, занимающихся разработкой антивирусного ПО.

Впрочем, в мировых масштабах зараженных машин оказалось не так и много — чуть больше 0,01% от всех устройств, подключенных к Всемирной сети — по данным Internetlivestats, сейчас их насчитывается более 3,64 млрд. Не говоря уже о том, что вирусы-бот-неты типа Zeus или ZeroAccess, с которыми эксперты по безопасности наиболее часто сравнивают WCry, насчитывали десятки миллионов жертв. Массовой атака стала из-за двух факторов: активного медиа-освещения, а также фактора внезапности.

У WCrypt0r есть одно существенное отличие от собратьев — он совместил "червя" с шифровальщиком. Кодирование информации на компьютерах жертв позволило злоумышленникам собрать в первые дни $43 тыс., при том "выкуп" требовали в биткоинах. В то же время преступники предложили "бесплатные мероприятия" для пользователей, "которые настолько бедны, что не могут заплатить". При этом он весьма избирателен и шифрует только чувствительную информацию — документы, почту, базы данных.

Помимо гибридности, эксперты отметили его способ распространения — обычно для заражения вирусом необходимо что-либо сделать — вставить флешку, перейти по ссылке, открыть файл или письмо. В случае WCry пользователь мог ничего и не делать — заражение происходило "естественным" путем, благодаря эксплойту (программе, использующей дыры в безопасности) Windows, известному под названием EternalBlue. Он позволял получить удаленный доступ к компьютеру и установить на зараженную машину шифровальщик. Для подключения к командным серверам программа устанавливает браузер Tor, обеспечивающий анонимность в интернете, и осуществляет соединение через него. Вирус заражает компьютер, шифруя все сохраненные на нем данные, при этом злоумышленники обещают раскодировать файлы после получения выкупа.

Согласно исследованию компании Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с "ошибкой состояния гонки". Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Несколько позже компьютерные специалисты нашли возможность для дешифровки файлов, а группа французских экспертов по кибербезопасности из компании Comae Technologies опубликовала в открытом доступе утилиту WanaKiwi, позволяющую расшифровать файлы без выкупа.

Виновато АНБ?

Об уязвимости говорили не единожды — еще в середине апреля несколько десятков машин подверглись из-за нее взлому, хотя в американских СМИ атаку приписывали АНБ. Также в WannaCry использовались backdoor-инструментом DoublePulsar для установки и выполнения самой копии. Стоит отметить, что этот инструмент уже применялся в апреле хакерской группировкой The Shadow Brokers. В самой Microsoft заявили, что распространение компьютерного вируса WannaCry, который атаковал компьютеры в 150 странах, стало возможным из-за похищения хакерами данных у спецслужб США. О подобной возможности также заявлял и небезызвестный Эдвард Сноуден. "Решение АНБ создать инструменты для атаки на американское программное обеспечение сейчас угрожает жизни пациентов в больницах. АНБ создало опасные инструменты для проведения атак, которые могут поражать западное программное обеспечение, сегодня мы видим, чего это стоило", — написал он в своем Twitter.

Любопытно, что несколько месяцев назад, точнее 14 марта, Microsoft закрыла в обновлении безопасности MS17-010 уязвимость, подверженную EternalBlue. Однако обновление было установлено только для систем, поддерживаемых компанией. В итоге под удар попали более старые, уже не поддерживаемые Microsoft операционные системы, например, все еще популярная Windows XP, а также пиратские копии любой версии ОС. Компания-разработчик Microsoft подтвердила, что этой уязвимости "нулевого дня" подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016, то есть уязвимость оставалась неисправленной на протяжении по крайней мере 16 лет. И, согласно подсчетам Business Insider, в мире этой устаревшей системой пользуются на 140 млн устройств. К примеру, известно, что многие системы британской Национальной службы здравоохранения до сих пор работают на базе Windows XP.

На запрос Delo.UA о том, планирует ли компания в связи с подобной масштабной вирусной атакой создать "льготную" программу для перехода пользователей устаревших систем на актуальные, компания не ответила. "На этой ОС можно работать и сегодня, но мы рекомендуем переходить на актуальную версию Windows 10, которая регулярно обновляется и поддерживается бесплатной антивирусной программой Defender", — сообщили нашему изданию в пресс-службе компании. Но в целом, резонно предположить, что рост покупок лицензионных копий неизбежен.

Китайский след

Специалистам до сих пор неясно, кто именно ответственен за произошедшее. И пока паника, которую породил вирус, постепенно стихает, специалисты по кибербезопасности пытаются вычислить по почерку, кто же стоит за нашумевшей атакой. Так, в конце мая специалисты компании Symantec и "Лаборатории Касперского" представили анализ случившегося, в котором сообщалось, что шифровальщик с большой долей вероятности был создан северокорейскими хакерами группировки Lazarus. Но Джон Миллер, эксперт компании "FireEye Inc", специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки Lazarus, недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника — их могли скопировать в код хакеры других группировок. В КНДР же обвинения о причастности к вирусной атаке назвали смехотворными.

В то же время, в компании Flashpoint предположили о другом источнике вируса. Джон Кондра и Джон Костелло подошли к вопросу анализа вируса довольно необычно и изучали не исходные коды и поведение, а провели лингвистический анализ сообщения с требованием выкупа. Особенностью WannaCry является то, что сообщение о выкупе довольно локализировано и отображается на языке системы жертвы. И хоть он поддерживает 28 разных языков, исследователи уверяют, что разработчики шифровальщика достаточно свободно говорят и пишут лишь на китайском и английском. Почти все локализации были переведены посредством Google Translate, а китайская несколько отличается, что свидетельствует о ее оригинальном происхождении. После более детального анализа специалисты сообщили, что авторы WannCry были выходцами из южных регионов КНР, Гонконга, Тайваня или Сингапура. Исследователи продолжают искать источники заражения, но пока точнее определить группировку хакеров, ответственных за WannaCry, не удалось.

Занимательно то, что более глубокое исследование вируса показало, что 98% зараженных систем управлялись все же Windows 7. Cпециалисты компании Kryptos решили разобраться, почему более старая и незащищенная Windows XP пострадала в меньшей степени, и провели ряд тестов. Оказалось, что WannaCry устанавливается на машины с Windows XP с большим трудом, и шифровальщик чаще провоцирует появление синего экрана смерти, чем осуществляет фактическое заражение. При этом, при ручном применении эксплойта заражение все же происходило.

Тем не менее, опасность заражения сохраняется и поныне. Глава Национального центра кибербезопасности Великобритании Киаран Мартин считает, что разработчики вируса WannaCryptor могут нанести новый удар по компьютерным системам мира. По его словам, около 1,3 миллиона компьютерных систем мира могут быть поражены вирусом WannaCryptor в будущем. Специалисты по кибер-безопасности же предупреждают — появились модификации WCry, которые обходят защитные модификации, сделанные MalvareTech, и ставят незащищенные компьютеры под угрозу.

Как защититься?

Первое и главное — при блокировке не стоит пытаться заплатить выкуп мошенникам, ведь нет никаких гарантий, что это сработает. Киберполиция в случае заражения советует воспользоваться услугами сайта-дешифровщика.

Для того, чтобы уберечься от заражения, специалисты советуют не только соблюдать минимальную информационную гигиену — не открывать подозрительные письма, ссылки и проверять их антивирусом, не посещать подозрительные сайты, но и не забывать регулярно делать бэкапы важных данных.

"Даже если ваш компьютер будет заражен, то вы всегда сможете восстановиться из бэкапа. Лично у меня есть минимум 2 источника защищенных данных — резервная копия ноутбука и документы на облачном диске", — говорит Дмитрий Суслов, директор украинского офиса "1С-Битрикс".

Также нелишним будет своевременное установление обновления операционной системы и программ, которые используются на компьютере. "Если выявлена какая-то уязвимость именно в ОС, то исправят ее официальные обновлений, которые выпускает производитель", — отмечает Суслов.

Кроме того, на компьютере должно быть установлено антивирусное ПО, которое в большинстве случаев помогает защититься даже от неизвестных вирусных угроз.

Департамент киберполиции Национальной полиции Украины советует также включить в настройках Windows на своем компьютере функцию "Показывать расширения файлов". При этом будет гораздо легче замечать потенциально вредоносные файлы. "Держитесь подальше от файлов с расширениями, как ".exe", ".vbs" и ".scr". Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как якобы видео, фото или документ (например, 11111.avi.exe или doc.scr)", — говорится в сообщении.