12 мая по всему миру распространился вирус-вымогатель Wcrypt. Он заблокировал десятки тысяч компьютеров в 99 странах и потребовал 300 долларов за разблокировку. В России оказались заражены «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, консалтинговые фирмы, больницы. Владимир Иванов, технический директор компании Leakreporter, специализирующейся на контроле утечек данных, рассказал The Insider о том, как связан этот вирус со сливом архива АНБ, какие компьютеры пострадали от него и как этого можно было избежать.
Примерно полтора месяца назад в интернете опубликовали программы, предположительно являющиеся архивом кибероружия АНБ. АНБ - это американская спецслужба, занимающаяся прослушкой, атаками через интернет, связью и т.п. Это там Сноуден был контрактором. В этом архиве, среди прочего, была программа под кодовым названием EternalBlue, которая могла взломать любой компьютер с Windows.
По необъяснимому стечению обстоятельств Microsoft выпустила исправление уязвимости, которая использовалась в этой программе, за две недели до этого релиза. Это исправление и уязвимость в терминологии Microsoft называются MS17-010.
Теперь появилась зловредная программа, которая использует эту уязвимость, чтобы распространяться автоматически. Ее назвали Wcrypt или Wcry. Когда она запускается на компьютере пользователя, Wcry шифрует его файлы, а потом показывает сообщение, вымогающее деньги за расшифровку.
В британском NHS, в РЖД, «Мегафоне» и прочих оказалась IT-служба, не способная установить исправление ms17-010 за два месяца. Поэтому их успешно атаковали.
По масштабу проблемы видно, что таких раздолбаев довольно много.
This is the day #wcry pic.twitter.com/yGPGfXDkNi
— Vladimir Ivanov (@ivladdalvi) 13 мая 2017 г.