WannaCry
WannaCry (також відомий як WCry[5], WCrypt, WannaCrypt, WNCRY, і WanaCrypt0r 2.0[6]) — комп'ютерний вірус, що вражає операційну систему Microsoft Windows шляхом шифрування файлів. Вірус атакував урядові та комерційні установи з 12 травня 2017 року[7]. Одними з перших були атаковані комп'ютери Іспанії, згодом вірус поширився на інші країни. Від вірусу також постраждали комп'ютери приватних осіб. Використовується як засіб здирництва.
Знімок екрану зараженої системи, де ілюстровано «записку викупу» даних. | |
Дата |
12 травня 2017 – 15 травня 2017 рр. (початковий спалах)[1] |
---|---|
Місце | По всьому світу |
Причина |
|
Результат | Понад 200,000 жертв та понад 300,000 комп'ютерів, заражених[2][3][4] |
Арешт(и) | None |
Підозрювані | Lazarus Group |
Докази | Жодних |
Підтип | Програма-вимагач |
---|---|
Місце походження | Пхеньян, Північна Корея |
Автор(и) | Lazarus Group |
Станом на 17 червня 2017 року інфіковано комп'ютери 150 країн, кількість інфікованих комп'ютерів перевищила 500 000.[8] Вимога переказати гроші перекладена 28 мовами світу.
Метод атаки
Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією протягом 3 днів здійснити оплату ключа дешифрування в біткоїнах в еквіваленті суми $300 для розблокування даних. Якщо потрібна сума не надійде, то сума автоматично буде збільшена вдвічі. На 7 день вірус знищить дані.
Повідомлення виводиться мовою держави, де розташовується ПК: у Великій Британії — англійською, в Росії — російською, в Іспанії — іспанською. Розмір викупу скрізь однаковий. Заражено десятки тисяч комп'ютерів у всьому світі.[9]
Атака стала можливою через відому вразливість ОС Windows під назвою Microsoft Security Bulletin MS17-010 (EternalBlue)[10] Компанія Майкрософт, виробник ОС Microsoft Windows рекомендувала оновити свою ОС. Про ранні версії WannaCrypt було відомо ще в лютому 2017 року. Майкрософт 14 березня випустила оновлення, що нейтралізує вразливість. Сама вразливість використовувалася Агентством національної безпеки США. Хакери опублікували кілька готових інструментів АНБ у вільному доступі.[5] Майкрософт пішла на нестандартний крок і вирішила випустити патч також для Windows XP, Windows 8 і Windows Server 2003, які вже не підтримуються компанією і тому не отримували оновлень безпеки.[11][12] Станом на 13 травня патч є для таких версій: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10 і Windows Server 2016, також доступні оновлення ядер для інших версій ОС.
Вірус змінює розширення інфікованого файлу на «.WNCRY». Зашифровані файли також містять на початку файлу рядок «WANACRY!».[6]
За повідомленням компанії Avast Antivirus (виробника антивірусу), її антивірус ловить всі модифікації вірусу, однак вони радять оновити й Windows.[6]
У Великій Британії інфікування комп'ютерів в лікарнях стало можливим через те, що близько 1000 ПК дотепер використовують стару версію Windows XP[13].
Перебіг подій
12 травня 2017 року вірус Wannacrypt поширився світом. Атаки зазнали багато країн, але найбільше інфікованих комп'ютерів у кількох — в Україні, Росії, Тайвані, Британії, Іспанії[14], Німеччині.
Спочатку були атаковані ПК в Іспанії, компанії Telefónica, Gas Natural, Iberdrola, що займається постачанням електрики, Centro Nacional de Inteligencia, банк Santander і філія консалтингової компанії KPMG.[5] Атаки розпочалися вдень 12 травня
У Великій Британії було інфіковано комп'ютери в лікарнях (NHS trusts),[13] а в Іспанії — іспанська телекомунікаційна компанія «Telefónica», одна з найбільших телефонних компаній у світі (четверта за кількістю абонентів). У Росії були атаковані міністерства, Сбербанк і МегаФон.[15] У Німеччині були інфіковані комп'ютери Deutsche Bahn.
Увечері 13 травня видання Медуза повідомило, що зловмисники встигли заробити близько 6000 дол.[16]
МВС Росії спочатку спростовувало зараження своїх ПК вірусом, хоча пізніше підтвердило. Ірина Вовк, офіційний представник МВС Росії заявила: «Серверні ресурси МВС Росії не піддавалися зараженню завдяки використанню інших операційних систем і вітчизняних серверів з російським процесором „Ельбрус“».[17] Кількість заражених ПК склала близько 1000, що становить близько 1 % всіх комп'ютерів МВС.[17] В деяких областях РФ мережа МВС тимчасово не працювала.
Станом на 13:20 13 травня, за даними сайту MalwareTech botnet tracker,[8] інфіковано 131 233 комп'ютерів у всьому світі, з них онлайн — 1145.
Вдень 13 травня французький автовиробник Renault оголосив, що зупинив роботу своїх заводів, щоб перевірити свої ПК.[18] Інший автозавод — Nissan Motor Manufacturing UK (Тайн і Вір, Англія) також зупинив виробництво через вірус.[19]
По обіді 13 травня англійський програміст зареєстрував домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, до якого звертається вірус і таким чином заблокував його роботу.[20]
Атрибуція атаки
Спочатку відповідальними за хакерську атаку британське видання The Telegraph назвало угрупування Shadow Brokers, пов'язану з російськими урядовими структурами[21][22][23].
Проте вже в червні 2017 року британський Національний центр з кібербезпеки (англ. National Cyber Security Centre) поклав відповідальність за атаку на КНДР[24]. В грудні того ж року уряд Сполучених Штатів оприлюднив власні висновки, згідно яких відповідальність лежить на угрупуванні Lazarus Group, за яким стоїть уряд КНДР[25].
Див. також
Примітки
- The WannaCry ransomware attack was temporarily halted. But it’s not over yet.
- Ransomware attack still looms in Australia as Government warns WannaCry threat not over. Australian Broadcasting Corporation. Процитовано 15 травня 2017 року.
- Кемерон, Делл. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. Gizmodo. Процитовано 13 травня 2017 року.
- Shadow Brokers threaten to release Windows 10 hacking tools. The Express Tribune. 31 травня 2017 року. Процитовано 31 травня 2017 року.
- Всесвітня кібератака: вірус охопив комп'ютери з WINDOWS, які не оновилися — ЗМІ. Процитовано 13 травня 2017.
- Ransomware that infected Telefonica and NHS hospitals is spreading aggressively, with over 50,000 attacks so far, today. Процитовано 13 травня 2017.
- Кіберзагроза: WANNACRY атакував системи головного залізничного оператора Німеччини
- WCRYPT Архівовано 13 травня 2017 у Wayback Machine., MalwareTech botnet tracker
- Як вірусом-здирником заражаються комп'ютери по всьому світу. Карта, ТСН, 12 травня 2017
- "Лабораторія Касперського": вірус-здирник атакував 74 країни світу, РФ постраждала найбільше. ТСН. Процитовано 13 травня 2017.
- Surur (13 травня 2017). Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003. Процитовано 13 травня 2017.
- MSRC Team. Customer Guidance for WannaCrypt attacks. microsoft.com. Процитовано 13 травня 2017.
- Hern, Alex; Gibbs, Samuel (13 травня 2017). What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian (London). ISSN 0261-3077. Процитовано 13 травня 2017.
- Масштабна хакерська атака вивела з ладу десятки тисяч комп'ютерів в усьому світі. Процитовано 13 травня 2017.
- У Росії масштабний вірус-вимагач атакував комп'ютери міністерств, «Сбербанку» та «Мегафона», ТСН, 13 травня 2016
- Стало відомо, скільки грошей заробили автори вірусу-здирника WANNACRY
- Російський процесор «Ельбрус» врятував сервери МВС від вірусу-здирника, який атакував комп'ютери по всьому світу
- Renault остановил несколько заводов после кибератаки, gazeta.ru, 13 травня 2016
- Sharman, Jon (13 травня 2017). Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France. www.independent.co.uk. Процитовано 14 травня 2017.
- Комп’ютерний вірус, що уразив світ, вдалося зупинити. Стало відомо як (Відео). Процитовано 13 травня 2017.
- The Telegraph: Robert Mendick. Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency (12.05.2017)
- Українська правда: ЗМІ повідомляють про російський слід у масштабній вірусній атаці
- УНІАН: Масштабна атака вірусу-здирника: ЗМІ знайшли російський слід
- Gordon Corera (16 червня 2017). NHS cyber-attack was 'launched from North Korea'. BBC News.
- Dustin Volz (DECEMBER 19, 2017). U.S. blames North Korea for 'WannaCry' cyber attack. Reuters.