12 мая во многих странах началось распространение вируса-вымогателя известного как Wanna Cry. Эту кибератаку уже назвали самой масштабной в истории — десятки тысяч атак по всему миру. Вирус парализовал множество компьютеров, под ударом оказались больницы, железные дороги и правительственные учреждения. Специалист в области информационных технологий, программист Александр Бивейнис рассказал «Новой газете — Балтия» об особенностях масштабной кибератаки.
Справка:
Wanna Cry заражает компьютер, шифруя все сохраненные на нем данные. Злоумышленники обещают раскодировать файлы после получения выкупа в размере 300 долларов, который должен быть перечислен в биткоинах. В случае, если пользователь не уложится в отведенный срок, размер требуемых выплат возрастает до 600 долларов.
Были ли раньше атаки подобного рода?
По масштабам распространения атаки подобного рода были. Однако эти вирусы имели другую специфику — они блокировали работу, а не так очевидно занимались вымогательством.
В чем специфика Wanna Cry?
Безусловно, она кроется в вымогательстве. Такого типа вирусы называются Ransomware — это вредоносное программное обеспечение, предназначенное для вымогательства.
Техническая специфика Wanna Cry заключается в том, что вирус для распространения использует так называемый протокол SMB (Server Message Block). Ему достаточно попасть, к примеру, на один компьютер в корпоративной сети, и далее распространение происходит очень быстро. SMB — это такой протокол, который используется в корпоративных сетях для общего доступа к файлам. Вот почему мы видим такое большое число компаний, которые подверглись атаке.
Насколько вообще уязвимы в наше время киберсистемы крупных учреждений и компаний?
Я считаю, что в крупных компаниях защита достаточно на хорошем уровне. Мы не слышим в данной ситуации имена компаний, специализирующихся в области информационных технологий, к примеру, таких как Google или Facebook. В первую очередь, большей уязвимостью обладает операционная система Windows, и этот вирус атакует исключительно данную платформу. А все-таки в больших компаниях, которые занимаются серьезными вещами, используют операционную систему Linux. Здесь на порядок выше защита и нет такой уязвимости.
С другой стороны, многое также зависит от региона. Я бы отделил Россию от остальных стран, поскольку, если посмотреть на статистику вируса, то более 70% процентов всех зараженных компьютеров находятся в России. Я связываю это с тем, что в данном регионе по-прежнему не принято использовать лицензионные операционные системы. Это также характерно и для корпоративных сетей. Компании могут приобретать лицензионные операционные системы, но по факту системные администраторы могут использовать пиратскую версию, поскольку ее якобы удобнее ставить, и там уже все заточено. Но даже если они ставят лицензионную операционную систему, то существует некоторое пренебрежение к ее своевременному обновлению.
Если говорить о Европе, то я не думаю, что вирус повредил именно сервера, были атакованы компьютеры, на которых работали люди. Возможно, где-то также были провалы — обновления могли быть отданы на решение пользователя, а не централизовано установлены IT-департаментом, который должен этим заниматься.
На Ваш взгляд, как скоро получится ликвидировать последствия атаки?
Распространение уже было остановлено. В коде Wanna Cry обнаружено странное условие, которое, возможно, сделали сами создатели, чтобы можно было остановить вирус. Прежде чем шифровать файлы на компьютере, вирус обращается к домену, который представляет из себя длинный набор букв, и, если обращение к этому домену успешное, то он не блокирует ваши файлы, если же нет, то вирус работает. Программист, который это обнаружил, создал домен, и файлы перестали блокироваться. Таким образом, распространение вируса именно данной модификации в дальнейшем наблюдаться не будет.
Говоря о ликвидации последствий, здесь все будет зависеть, насколько грамотно в корпоративных сетях организовано резервное копирование данных. Если все данные копируются, то, в принципе, восстановить рабочую станцию системный администратор сможет в течение нескольких часов. Конечно, если все данные хранятся на серверах, которые не подверглись атаке.
Как защититься от подобных атак?
Говоря о защите, при должном обновлении операционных систем — никакой бы атаки сейчас не было. К слову, Microsoft закрыла уязвимость еще в марте этого года, на сайте компании доступны необходимые обновления, поэтому главный рецепт защиты — это обновление.
- Регулярно обновляйте компоненты операционной системы;
- Используйте антивирусные программы;
- Не открывайте электронные письма, полученные от незнакомых отправителей или вложения, содержимое которых вам неизвестно;
- Проверяйте соответствие адреса ссылки с реальным названием домена компании/cайта, куда вы хотите перейти;
- Организуйте резервное копирование важных документов и файлов.