WannaCry

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

WannaCry (також відомий як WCry[1], WCrypt, WannaCrypt, WNCRY, і WanaCrypt0r 2.0[2]) — комп'ютерний вірус, що вражає операційну систему Microsoft Windows шляхом шифрування файлів. Вірус атакував урядові та комерційні установи з 12 травня 2017 року[3]. Одними з перших були атаковані комп'ютери Іспанії, згодом вірус поширився на інші країни. Від вірусу також постраждали комп'ютери приватних осіб. Використовується як засіб здирництва.

Станом на 17 травня 2017 року інфіковано комп'ютери 150 країн, кількість інфікованих комп'ютерів перевищила 300 000.[4] Вимога переказати гроші перекладена 28 мовами світу.

Метод атаки[ред.ред. код]

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією протягом 3 днів здійснити оплату ключа дешифрування в біткоїнах в еквіваленті суми $300 для розблокування даних. Якщо потрібна сума не надійде, то сума автоматично буде збільшена вдвічі. На 7 день вірус знищить дані.

Повідомлення виводиться мовою держави, де розташовується ПК: у Великій Британії — англійською, в Росії — російською, в Іспанії — іспанською. Розмір викупу скрізь однаковий. Заражено десятки тисяч комп'ютерів у всьому світі.[5]

Атака стала можливою через відому вразливість ОС Windows під назвою Microsoft Security Bulletin MS17-010 (EternalBlue)[6] Компанія Майкрософт, виробник ОС Microsoft Windows рекомендувала оновити свою ОС. Про ранні версії WannaCrypt було відомо ще в лютому 2017 року. Майкрософт 14 березня випустила оновлення, що нейтралізує вразливість. Сама вразливість використовувалася Агентством національної безпеки США. Хакери опублікували кілька готових інструментів АНБ у вільному доступі.[1] Майкрософт пішла на нестандартний крок і вирішила випустити патч також для Windows XP, Windows 8 і Windows Server 2003, які вже не підтримуються компанією і тому не отримували оновлень безпеки.[7][8] Станом на 13 травня патч є для таких версій: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10 і Windows Server 2016, також доступні оновлення ядер для інших версій ОС.

Вірус змінює розширення інфікованого файлу на «.WNCRY». Зашифровані файли також містять на початку файлу рядок «WANACRY!».[2]

За повідомленням компанії Avast (виробника антивірусу), її антивірус ловить всі модифікації вірусу, однак вони радять оновити й Windows[2]

У Великій Британії інфікування комп'ютерів в лікарнях стало можливим через те, що близько 1000 ПК дотепер використовують стару версію Windows XP[9].

Перебіг подій[ред.ред. код]

12 травня 2017 року вірус Wannacrypt поширився світом. Атаки зазнали багато країн, але найбільше інфікованих комп'ютерів у кількох — в Україні, Росії, Тайвані, Британії, Іспанії[10], Німеччині.

Спочатку були атаковані ПК в Іспанії, компанії Telefónica, Gas Natural, Iberdrola, що займається постачанням електрики, Centro Nacional de Inteligencia, банк Santander і філія консалтингової компанії KPMG.[1] Атаки розпочалися вдень 12 травня

У Великій Британії було інфіковано комп'ютери в лікарнях (NHS trusts),[9] а в Іспанії — іспанська телекомунікаційна компанія «Telefónica», одна з найбільших телефонних компаній у світі (четверта за кількістю абонентів). У Росії були атаковані міністерства, Сбербанк і МегаФон.[11] У Німеччині були інфіковані комп'ютери Deutsche Bahn.

Увечері 13 травня видання Медуза повідомило, що зловмисники встигли заробити близько 6000 дол.[12]

МВС Росії спочатку спростовувало зараження своїх ПК вірусом, хоча пізніше підтвердило. Ірина Вовк, офіційний представник МВС Росії заявила: «Серверні ресурси МВС Росії не піддавалися зараженню завдяки використанню інших операційних систем і вітчизняних серверів з російським процесором „Ельбрус“».[13] Кількість заражених ПК склала близько 1000, що становить близько 1 % всіх комп'ютерів МВС.[13] В деяких областях РФ мережа МВС тимчасово не працювала.

Станом на 13:20 13 травня, за даними сайту MalwareTech botnet tracker,[4] інфіковано 131 233 комп'ютерів у всьому світі, з них онлайн — 1145.

Вдень 13 травня французький автовиробник Renault оголосив, що зупинив роботу своїх заводів, щоб перевірити свої ПК.[14] Інший автозавод — Nissan Motor Manufacturing UK (Тайн і Вір, Англія) також зупинив виробництво через вірус.[15]

По обіді 13 травня англійський програміст зареєстрував домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, до якого звертається вірус і таким чином заблокував його роботу.[16]

Відповідальними за хакерську атаку британське видання The Telegraph назвало кібербанду Shadow Brokers, пов'язану з російськими урядовими структурами[17][18][19].

Примітки[ред.ред. код]

  1. а б в Всесвітня кібератака: вірус охопив комп'ютери з WINDOWS, які не оновилися — ЗМІ. Процитовано 13 травня 2017. 
  2. а б в Ransomware that infected Telefonica and NHS hospitals is spreading aggressively, with over 50,000 attacks so far, today. Процитовано 13 травня 2017. 
  3. Кіберзагроза: WANNACRY атакував системи головного залізничного оператора Німеччини
  4. а б WCRYPT, MalwareTech botnet tracker
  5. Як вірусом-здирником заражаються комп'ютери по всьому світу. Карта, ТСН, 12 травня 2017
  6. "Лабораторія Касперського": вірус-здирник атакував 74 країни світу, РФ постраждала найбільше. ТСН. Процитовано 13 травня 2017. 
  7. Surur (13 травня 2017). Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003. Процитовано 13 травня 2017. 
  8. MSRC Team. Customer Guidance for WannaCrypt attacks. microsoft.com. Процитовано 13 травня 2017. 
  9. а б Hern, Alex; Gibbs, Samuel (13 травня 2017). What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian (London). ISSN 0261-3077. Процитовано 13 травня 2017. 
  10. Масштабна хакерська атака вивела з ладу десятки тисяч комп'ютерів в усьому світі. Процитовано 13 травня 2017. 
  11. У Росії масштабний вірус-вимагач атакував комп'ютери міністерств, «Сбербанку» та «Мегафона», ТСН, 13 травня 2016
  12. Стало відомо, скільки грошей заробили автори вірусу-здирника WANNACRY
  13. а б Російський процесор «Ельбрус» врятував сервери МВС від вірусу-здирника, який атакував комп'ютери по всьому світу
  14. Renault остановил несколько заводов после кибератаки, gazeta.ru, 13 травня 2016
  15. Sharman, Jon (13 May 2017). Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France. www.independent.co.uk.  Проігноровано невідомий параметр |access-date= (можливо, |accessdate=?) (довідка)
  16. Комп’ютерний вірус, що уразив світ, вдалося зупинити. Стало відомо як (Відео). Процитовано 13 травня 2017. 
  17. The Telegraph: Robert Mendick. Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency (12.05.2017)
  18. Українська правда: ЗМІ повідомляють про російський слід у масштабній вірусній атаці
  19. УНІАН: Масштабна атака вірусу-здирника: ЗМІ знайшли російський слід

Посилання[ред.ред. код]