Глобальных эпидемий вредоносных программ не было давно – последняя случилась в 2009 г. с «червем» Conficker, и ИТ-специалисты уже забыли, как оно бывает. Поэтому для них оказалась полной неожиданностью атака шифровальщика-вымогателя WannaCry (он же WCry и WanaCrypt0r 2.0) – «червя», который распространяется через ошибку в протоколе SMB. Причем распространяется автоматически без необходимости взаимодействия с пользователем – достаточно, чтобы компьютер был включен, подключен к сети и на него не были установлены последние обновления. Именно автоматическое распространение и обеспечило WannaCry быстрый захват своих жертв – в пятницу 12 мая их было 77 тыс., а уже в понедельник – более 160 тыс.
Хотя обновления, которые блокировали бы заражение, были опубликованы компанией Microsoft еще 14 марта и за два месяца должны быть установлены на все компьютеры, в некоторых компаниях остались уязвимые к атаке компьютеры. Во всяком случае, зафиксированы заражения в МВД и Минздраве России, сети английских клиник NHS, РЖД, Deutsche Bahn (железные дороги Германии), «Сбербанке», «Мегафоне», испанской Telefónica и многих других. Так, компания Renault остановила работу своих заводов, чтобы проверить ПК на наличие вредоносного кода.
В коде шифровальщика была заложена особенность – он переставал размножаться, когда становился доступен специальный достаточно сложный домен. Когда его зарегистрировал один из блогеров, распространение вредоноса остановилось. Однако уже есть сообщения о появлении новой версии шифровальщика либо без данного ограничения, либо с другим доменом.
Впрочем, WannaCry распространяется и классическим способом – в виде фишингового письма с вложениями PDF или ZIP, открыв которые пользователь заражает всю корпоративную сеть. После проникновения на компьютер «червь» устанавливает клиент Tor для связи с командными серверами и создает несколько потоков шифрования, которые кодируют диск пользователя с помощью алгоритмов RSA 2048 и AES с отдельным ключом для каждого файла. Пока уязвимости, которая позволяла бы расшифровать файлы, не обнаружено, хотя несколько экспертов написали, что имеют «зацепки» для расшифровки. Взаимодействие с командными серверами идет через клиент Tor, поэтому определить, где именно они располагаются, пока невозможно.
Вымогатель требует для расшифровки оплату в биткоинах по курсу 300 долл. вначале (примерно 0,17 BTC), если же через три дня деньги не придут, то стоимость удваивается. Если деньги не придут за неделю, то файлы будут полностью уничтожены. Указанные во вредоносах адреса (они же счета) биткоин содержат 61 тыс. долл., но это число быстро растет. Попыток вывода средств владельцы счетов пока не предпринимали. Впрочем, эксперты компании Check Point уверяют, что даже после оплаты не всегда можно расшифровать свои файлы.
Анализ кода вредоноса, проведенный независимой «Лабораторией Касперского» и Symantec показал, что в коде есть фрагменты, которые ранее использовались северокорейской хакерской группой Lazarus, атаковавшей SWIFT, Sony Pictures и Центральный банк Бангладеш. Впрочем, часть кодов была также написана АНБ, в частности, эксплойт для проникновения EternalBlue и сканер сети DoublePulsar. Эти коды были обнародованы TheShadowBrokers, которые отдельные эксперты связывают с российскими спецслужбами. Так что определить авторство кодов вряд ли удастся, поскольку ими занимались лучшие специалисты спецслужб разных стран. Этот же факт не позволяет надеяться и на скорее обнаружение авторов данного вредоноса.