12 мая 2017 года доктор Энтони Блитман, как всегда, пришел на работу в больницу в Восточном Лондоне, зашел в свой кабинет и включил компьютер. Однако вместо привычной картинки с зелеными холмами и лазурным небом он увидел на рабочем столе черный экран с красным текстом и таймером обратного отсчета. Там было написано: «файлы зашифрованы… никто не сможет восстановить ваши файлы… вы должны заплатить»...
Доктор совершенно не понимал, что происходит. А за дверьми кабинета уже назревали хаос и суматоха – без доступа к базам данных оказалась вся больница. Работа персонала фактически встала, а в неотложку продолжали поступать пациенты. Когда же включили новости, оказалось, что уже 4 часа больницы Англии и пользователи по всему миру борются с кибератакой. Так началась пандемия компьютерного вируса-вымогателя, который вошел в историю под названием WannaCry.
Что сделали злоумышленники
Это была одна из самых массовых и стремительных атак в истории киберпреступности. С какой-то космической скоростью всего за пару часов вирус WannaCry поразил несколько тысяч компьютеров с операционной системой Windows в 11 странах мира, а уже к вечеру было зафиксировано
45 000 атак в 74 странах мира.
Под удар попали в основном организации и учреждения без права на простой: больницы, телекоммуникационные и логистические компании, общественный транспорт, энергетика, почтовые службы, сотовые операторы, банки и даже министерства! Их работа была парализована, потому что все рабочие файлы в форматах – Excel, Word, PowerPoint, архивы, базы данных, сообщения e-mail и многие другие – оказались зашифрованы.
«Никто не сможет восстановить ваши файлы без нашей службы дешифрования. Можно ли восстановить файлы? Конечно, но вы должны заплатить. У вас есть только три дня, чтобы отправить платеж. Если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы никогда», — угрожали злоумышленники своим жертвам
Вымогатели требовали перевести 300 долларов в биткоинах. И на самом деле, в оригинале злоумышленников, этот вирус назывался WannaCrypt (в пер. с английского – хочу крипту). Но атаку довольно быстро обозвали WannaCry (в пер. с английского – хочу плакать) именно пострадавшие, а не сами хакеры.
Как работал WannaCry?
Комментируют эксперты по информационной безопасности VK:
Вымогатель WannaCry был разновидностью вируса-шифровальщика, который заражает компьютер, получает доступ ко всей файловой системе и зашифровывает данные так, что без специального ключа их открыть невозможно. Но если большинство вирусов распространяются с помощью фишинга (спам-сообщений с зараженными ссылками и вложениями), то уникальность WannaCry была в том, что он распространялся сам по себе.
Все локальные сети сканировались на предмет наличия определенной уязвимости в системе Windows, а далее с помощью «ключа» – специальной программы EternalBlue, которая предположительно была украдена хакерами у Агентства национальной безопасности США, происходило вторжение в операционную систему компьютера и запуск программы-шифровальщика. Известно, что Microsoft за два месяца до начала атаки WannaCry выпустила обновление, чтобы закрыть такого рода уязвимости в ПО, но так как многие пользователи и организации часто своевременно не обновляют свои устройства, то они стали жертвами атаки шифровальщика.
Если хотите узнать, как остановили распространение вируса WannaCry, то рекомендуем послушать эпизод подкаста Накликали беду. Это захватывающая история о простом парне из Англии, который случайно спас весь мир, но не долго оставался героем.
Что делать, если вы подверглись атаке
- Отключитесь от интернета и удалите все подключения – беспроводные и проводные устройства, внешние жесткие диски, любые носители и облачные учетные записи. Это может предотвратить распространение программ-вымогателей по сети.
- Запустите проверку антивируса, чтобы определить угрозы. Если будут сразу обнаружены опасные файлы, они будут автоматически удалены.
- Попробуйте определить, на какой стадии заражения находится ваше устройство. Скорее всего, вам потребуется помощь профессионалов. Но существует много программ-вымогателей, которые можно удалить и самостоятельно. Помните, даже если данные останутся зашифрованными, главное – это вовремя остановить распространение вредоносной программы на другие устройства и файлы.
- На такие случаи советуем создавать резервные копии данных на внешних или в облачных хранилищах. Тогда у вас всегда будет возможность восстановить зашифрованные данные.
- Если же резервной копии не было, то обратитесь к профессионалам – они знают различные способы дешифровки зараженных файлов в зависимости от типа программы-вымогателя.
- В случае, если назначен выкуп. Самое первое правило – не паниковать и не поддаваться шантажу. Советуем не платить выкуп, поскольку нет никакой гарантии, что вам вернут ваши данные. Например, показательно, что так произошло в случае с WannaCry. Жертвы, которые перевели деньги, так и не получили свои файлы в расшифрованном виде. Дело в том, что в коде вируса были ошибки, и злоумышленники не могли связать оплату с компьютером конкретной жертвы.
