С 12 мая десятки тысяч компьютеров по всему миру оказались поражены вирусом WCry. Программа шифрует данные на компьютерах пользователей и требует выплатить по 300 долларов в биткоинах за каждую разблокировку.
Как обезопасить свой компьютер от вредоносной программы и чего категорически не нужно делать, можно ли восстановить заблокированные файлы и как заражение вирусом больших компаний отразится на их работе? «Бумага» отвечает на главные вопросы о распространении вируса-вымогателя.
Сообщение от WCry
Что такое вирус-вымогатель и как он работает?
Вирус-вымогатель WannaCrypt, также известный как WCry или WannaCry, — это программное обеспечение, которое при попадании в систему компьютера блокирует его и шифрует все данные пользователя криптостойким алгоритмом. Когда вирус поражает файлы, он выводит на экран сообщение с требованием платы за разблокировку.
За доступ к файлам хакеры требуют 300 долларов в биткоинах. Пользователь должен заплатить эту сумму в течение трех дней. В случае неуплаты в срок выкуп удваивается. На момент написания материала создатели вируса-вымогателя уже получили от своих жертв более 70 тысяч долларов.
Вирус заражает компьютер с помощью уязвимости в реализации сетевого протокола SMB в системах семейства Windows: это дает хакерам удаленный доступ к файлам и устройствам в одной сети. Для других операционных систем вирус не опасен.
Предположительно, вирус использует разработку Агентства национальной безопасности США, похищенную и опубликованную в апреле 2017 года хакерской группой The Shadow Brokers.
Чем опасен вирус WCry?
Вирус WCry также может проникать в личный или корпоративный компьютер через ненадежные сайты и мошеннические электронные письма. После этого он получает доступ ко всем данным пользователя. В случае с коммерческими организациями вирус может скомпрометировать личные данные клиентов. В случае с государственными ведомствами — всю базу данных.
На данный момент в открытом доступе не существует и не появится средств для расшифровки заблокированных файлов. Специалисты «Лаборатории Касперского» не рекомендуют использовать предлагаемые в интернете и по почте расшифровщики. Пораженные этим вирусом файлы не расшифровать, а загруженные утилиты могут нанести еще больший вред компьютеру пользователя, поясняют они.
Сам вирус сложно обнаружить в системе до момента полного заражения. При попадании его в систему лишь снижается производительность компьютера. Это можно также заметить при появлении файлов с непонятным расширением. Однако, как поясняет директор лаборатории компьютерной криминалистики Университета ИТМО Павел Кузьмич, на этом этапе уже поздно предпринимать какие-то действия. К тому же, файлы могут распространяться и в обычном расширении: вирус встречался в формате популярных файлов Microsoft Office и в формате файлов архивов и медиа.
Как защититься от вируса?
На данный момент вышло обновление от Microsoft, которое закрывает используемую вирусом уязвимость. Сейчас доступны обновления для Windows XP и Windows 2003. Сразу же рекомендуется включить защитные решения на всех узлах сети.
В интернете следует быть более осторожным, так как на данный момент существует множество схем распространения вредоносного ПО: например, вирус может находиться в письме от организаций, связанных со счетами на оплату или с судебными делами. Кроме того, всегда проверяйте расширение скачиваемого файла, следите за тем, куда ведет ссылка, и не забывайте делать резервное копирование важных файлов на съемный носитель, советует Павел Кузьмич.
Не забывайте обновлять Windows и свою антивирусную программу. Все, кто не обновил систему, еще могут пострадать от вируса WCry.
Что делать, если вирус уже заблокировал файлы?
Лучшим решением будет выключить компьютер и сдать его специалистам, как это советуют делать в «Лаборатории Касперского».
Восстановить заблокированные файлы, скорее всего, уже будет невозможно. Как поясняет Павел Кузьмич, в новой версии вируса хакеры шифруют информацию новым ключом: чаще всего это асимметричное шифрование, на взлом которого потребуется столько времени и средств, что это становится практически нереальным.
Кто уже подвергся заражению вирусом и что с ними будет?
На момент написания материала сайт Malwaretech сообщает, что получил уже 180 тысяч сообщений о заражении от пользователей. Ранее заражению подверглись министерство внутренних дел, здравоохранения, а также компании «Мегафон» и «Сбербанк». Их представители заявляли, что им удалось не допустить утечки информации.
Как говорят в ИТМО, вряд ли вирус сможет полностью блокировать работу крупных организаций — скорее всего, это коснется только отдельных рабочих мест. 13 мая распространение вируса удалось даже случайно приостановить. Однако сейчас эксперты говорят о 300 новых версиях вируса.
При этом, как поясняют специалисты ИТМО, заражение вирусом не повлияет на работу крупных компаний, так как инфраструктурные элементы их сети защищены от подобных атак. К тому же сетевое оборудование многих организаций управляется или через собственное ПО, или операционными системами семейства Linux, на которые вирус не рассчитан. Хотя сейчас вирусу уже удалось затормозить работу ряда госпиталей и клиник в Англии и США.
По подсчетам «Лаборатории Касперского», к 15 мая количество атак вируса WCry, по сравнению с днем его первой активности, снизилось в шесть раз.
