Поплачемо? Як вірус-вимагач шантажує весь світ і як вберегти себе

У п'ятницю тисячі компаній по всьому світу повідомили, що стали жертвами шантажу з боку невідомих хакерів. Зараження триває і по сьогоднішні дні.

В результаті злому був зупинений конвеєр на одній із фабрик Renault, атакована система німецької залізниці Deutsche Bahn, у Великій Британії постраждали міські лікарні. Зловмисники поширили вірус-хробак, який шифрував файли на комп'ютері, вимагаючи гроші за розшифровку.

Еспресо.TV разом з представником Українського Кіберальянсу, хактивістом Sean Townsend розповідає, що таке вірус Wanna Cry і як вберегтись від нього.

Трохи цифр і статистики

У поліцейській службі Євросоюзу заявили, що станом на 15 травня близько 200 тисяч комп'ютерів уже схильні до атаки. Проект виявлення шкідників MalwareHunterTeam розповів, які країни піддалися атаці найбільше: Росія, Тайвань, Іспанія і Україна.

Файли комп'ютера безповоротно зашифровували вірусом під назвою "Wanna Cry" (заплачеш? - переклад автора). І замість "photo.png" до назви файлу додавалося "photo.png.wncry", а на дисплеї зараженого комп'ютера з'являлася табличка "Упс, ваші файли зашифровані!".

Далі в повідомленні на мові системи говорилося, що можна отримати ключ-дешифратор, заплативши за це $300. На виплату грошей зловмисники давали 3 дні. У разі невиплати в зазначений термін сума збільшувалася в два рази. Якщо користувачі не платили тиждень, то дані видалялися. Оплата відбувається в біткоінах (криптовалюта).

"На даний момент (15 травня, о другій дня) зловмисники вже зібрали близько 30 біткоінів, що дорівнює $50 тисяч. І оскільки не всі жертви можуть зібрати потрібну суму і перевести її в біткоіни або чекають, що, можливо, знайдеться помилка в самому вірусі, яка б дала змогу розшифрувати файли, то це не межа", - розповідає Sean Townsend.

Отже, якщо вважати, що всі користувачі платили одразу (з моменту зараження пройшло 3 дні), по $300, то виходить не так багато користувачів - 166. Однак, це тільки початок тижня.

Звідки взявся вірус і хто став його метою

"Це не троян, який вам намагаються підсунути під виглядом чогось потрібного, а черв'як - програма, яка поширюється самостійно від комп'ютера до комп'ютера, використовуючи дірку в системі", - говорить Sean.

Атаки зазнали користувачі Windows, саме в її системі зловмисники знайшли "дірку". Ще в квітні команда хакерів "The Shadow Brokers" оголосила, що вкрала хакерські інструменти з Агентства національної безпеки США (АНБ), а потім запропонувала їх для продажу. Ці дані містили в собі уразливості нульового дня системи Windows - раніше непомічені недоліки.

Зараз компанія Microsoft звинувачує АНБ тому, що замість того, аби розповісти про уразливість, Агентство спеціально їх приховало в особистих інтересах. Якби АНБ попередило компанію про ці недоліки раніше, можливо, і не було б масових атак.

Де і як його можна було підчепити

"Клікнувши" не туди, спочатку вірус поширювали звичайними способами (файли в пошті), або він прийде сам, ​​якщо не встановлено березневе оновлення для Windows MS17-010. Якщо його ще не встановили, то це потрібно зробити негайно. Microsoft навіть випустив це оновлення для Windows XP, яка більше не підтримується", - розповідає Sean Townsend.

Черв'як сканує мережу і автоматично зламує всі комп'ютери, до яких може дотягнутися. Розробники Windows випустили спеціальне оновлення, що усуває вразливість, виявлену хакерами. Однак не всі ще встигли його завантажити або взагалі мають ліцензійну систему.

Але все могло бути гірше, в цьому випадку про уразливість було відомо, і вже було випущено виправлення для системи.

"В 2003 році черв'як SQL Slammer заразив 75 тисяч комп'ютерів за перші 10 (десять) хвилин. Просто давно не було масових черв'яків і люди стали забувати, що це таке", - пояснює таку швидкість вірусу хактивіст Sean Townsend.

Ще черв'як поширюється, якщо комп'ютер безпосередньо підключений до інтернету або є частиною локальної мережі, в якій вже є заражена машина. Якщо ваш комп'ютер підключений через роутер і не з'єднаний із зараженим пристроєм, то черв'як вас не дістане.

Та ну цю "вінду", у мене стоїть Linux. Я в безпеці?

Щодо цього вірусу - так. Але вибір системи сам по собі ні від чого не захищає.

"Уразливості існують у всіх системах і шкідливе програмне забезпечення (ПО) не обов'язково використовує уразливості, тому що найвразливіше місце в системі - це людина. Наприклад в "ДНР" використовуються Лінукс, зокрема і на робочих місцях, а не лише на серверах, і це не вберігає їх від злому. Але ті люди, у яких стоїть Windows і не оновлюється, звичайно ж, більш схильні до ризику ", - розповідає Sean Townsend.

Як себе убезпечити

Слід дотримуватися елементарних правил безпеки: оновлювати систему, не покладатися тільки на антивіруси і оновлювати їх теж.

Sean Townsend каже, що антивірус реагує на загрози із затримкою, і зловмисники завжди перевіряють свої віруси антивірусами перед тим, як почати їх поширювати. Хакери постійно оновлюють шкідливий код, щоб уникнути виявлення.

Читайте також: Як врятуватися від хакерів та ФСБ. 8 порад від Українського кіберальянсу

Також варто зберігати і постійно оновлювати резервні копії важливої ​​інформації, яку ви не хотіли б втратити. Можна використовувати фаєрвол, але перед цим налаштувати його. І, звичайно ж, не скачувати все підряд і не "клікати", куди попало.

Можна убезпечити себе синхронізацією даних із хмарними (віртуальними) серверами, наприклад, з Google Drive. Однак безпека залежить від того, як буде синхронізуватися. Якщо хмара підключена, як віртуальний диск до системи комп'ютера, то дані будуть зашифровані і там. Але можливо, провайдер мережевого сховища зможе відновити дані з власних копій даних, які вони постійно роблять.

Якщо вже підхопив вірус Wanna Cry, то що робити?

Немає ніяких гарантій, що хакери виконають свої зобов'язання і дадуть вам ключ, тож платити гроші зловмисникам можна на свій страх і ризик.

Самостійно розшифрувати дані швидше за все не вийде. Але можна спробувати відновити дані з резервної копії, вона адже у вас є, так?

"У творців хробака неочевидний спосіб зв'язку з користувачами. Поки про них нічого не відомо. Але думаю, що в інтересах вимагачів все-таки розшифрувати файли, інакше в наступний раз їм ніхто не заплатить", - говорить Sean Townsend.

Люди відкладають оплату викупу на останній момент. Через дивний спосіб зв'язку і галас, що наробила історія з хробаком, може бути, що ці хакери "заляжуть на дно" з уже отриманими грошима. А постраждалі так і залишаться із зашифрованими даними.

"А взагалі безпека - не в залізі або софті, вона повинна бути в голові. В системі людина-комп'ютер найвразливіше місце - це людина. Будьте пильні ", - говорить Sean Townsend.