Остановивший вирус-вымогатель специалист объявил, что домен-спаситель пытались украсть

«Так что я могу добавить в свое резюме, что случайно приостановил интернациональную кибератаку», — написал он.

Русские киберпреступники являются пионерами в области применения вирусов-вымогателей, но в данный момент нет подтверждений их причастности к недавней кибератаке с использованием вредной программы WannaCry. Вирус распространяется самостоятельно, обычно в виде письма на электронный адрес.

Прошлый работник ЦРУ и агент нацбезопасности США, который получил в РФ политическое убежище, Эдвард Сноуден сообщал, что вирус WannaCry, похищенный у американский разведывательных служб, доработали и адаптировали хакеры. «Как продемонстрировал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010». Для разблокировки от жертв требуют 200-600 долларов выкупа, который следует перевести на указанные счета в биткоинах.

Наибольшее число атак довелось на РФ, в частности от действий киберпреступников пострадали компания «Мегафон», компьютерные системы Министерства внутренних дел (МВД) и Следственного комитета Российской Федерации (СКР).

Инженеры Microsoft уже выпустили патч для исправления уязвимости, которая разрешала заражать компьютеры. Мы работаем с пользователями, чтобы предоставить дополнительную помощь.

Всего под удар попали как минимум 74 стран, среди которых Англия, Италия, Турция, Германия, Испания, Бразилия, Казахстан, Украина, Китай, Япония и другие. В Германии были инфицированы компьютеры Deutsche Bahn. В итоге атаки закончили работать информационные табло, автоматы по продаже билетов, системы видеонаблюдения на вокзалах страны, но движение поездов не нарушено.

В Соединенном Королевстве Великобритании были инфицированы компьютеры в клиниках (NHS trusts), а в Испании — испанская телекоммуникационная компания «Telefónica», одна из крупнейших телефонных компаний в мире (четвертая по размеру количества абонентов).

Русские специалисты убеждены, что способ решения проблемы, найденный англичанином, не сможет долго удерживать атаки вируса — программа найдет возможность для последующего распространения. Французский производитель автомобилей Рено был вынужден на время закончить производство на некоторых собственных заводах во Франции и Словении. Как только британский специалист зарегистрировал этот домен и он стал доступен в глобальной сети, вирус стал получать от него отклик, а согласно заложенному в него алгоритму, ежели ответ получен — распространение прекращалось. Понятно, что прервана работа завода в коммуне Сандувиль департамента Приморская Сена, по другим объектам данных нет. После установки на компьютер жертвы программа либо зашифровывает часть важных файлов, требуя деньги за инструкцию и пароль для расшифровки, либо блокирует работу системы, выводя на дисплей окно с опасностями.

«Есть большое количество признаков того, что вирус распространяется по электронной почте. Проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты», — сообщили в МВД.

Для защиты компания Microsoft выпустит обновления устаревших версий известной ОС. Никогда не открывайте вложения, находящиеся в электронных письмах от неизвестных людей. В первую очередь идет речь о файлах с расширениями js и exe, а еще документы с вредными макросами (например, файлы Microsoft Word). «Мошенники могут использовать несколько расширений, чтобы маскировать вредный файл как видео, фото либо документ (например, avi.exe либо doc.scr)», — обозначил Сачков. Злоумышленникам, вначале распространившим вирус, было бы проще перезапустить процесс, внеся в программу несущественные изменения и убрав возможность остановить его распространение через обнаруженный домен.

Программа-вымогатель WannaCry (она же WannaCryptor и WCry) шифрует файлы пользователя, в результате чего их уже нельзя использовать.