Вирус-шифровальщик заразил десятки тысяч компьютеров по всему миру. Что известно к этому часу
 Зараженные компьютеры на карте мира. Скриншот с сайта MalwareInt
12 Мая 2017, 21:41

Вирус-шифровальщик заразил десятки тысяч компьютеров по всему миру. Что известно к этому часу

12 мая мировые СМИ сообщили о массированной атаке вредоносной программы, которая заражает ПК, шифрует данные пользователей и требует выкуп в биткоинах для их дешифровки.

Как пишет Русская служба «Би-би-си» со ссылкой на группу экспертов по кибербезопасности MalwareHunterTeam, под ударом оказались компьютерные системы России, Тайваня, Великобритании, Испании, Италии, Германии, Португалии, Турции, Украины, Казахстана, Индонезии, Вьетнама, Японии и Филиппин. «Новый вирус распространяется с адской скоростью», — отметили эксперты. Программа требует выкуп в биткоинах на сумму, эквивалентную 300$ (17 134 рубля по курсу ЦБ РФ на 12.05.2017. — Открытая Россия). На счета трех кошельков злоумышленников уже начали поступать средства.

Одной из первых жертв вируса стали испанские компании — телекоммуникационная компания Telefónica, газовая Gas Natural, Iberdrola, занимающаяся поставками электричества, банк Santander и филиал консалтинговой компании KPMG. В Великобритании хакеры атаковали компьютеры системы здравоохранения, в Португалии — крупнейшего провайдера телекоммуникационных услуг Portugal Telecom.

В России вирус поразил внутренние системы Министерства внутренних дел и Следственного комитета. Источники «Varlamov.ru» в МВД заявили, что заражены компьютеры сразу в нескольких регионах страны; собеседники «Медиазоны» в министерстве подтвердили эту информацию. О проникновении хакеров во внутрение сети СК рассказала «Газета.ру». Официальный представитель СК Валентина Петренко заявила, что никаких хакерских атак на сети ведомства не зафиксировано.

Помимо государственных ведомств, под атаку попали несколько российских компаний. Как рассказал «Медузе» директор «Мегафона» по связям с общественностью Петр Лидов, вирус-шифровальщик вызвал сбои в доступе к данным, однако это не привело к большим проблемам. «Наша связь работает нормально, на абонентах это никак не сказывается», — отметил он. В неофициальном сообществе бывших и действующих сотрудников компании «Связной» выложили скриншот из рабочей почты с просьбой выключить все ПК «из-за хакерской атаки».

Распределение кибератак по странам. Картинка с Securelist

Распределение кибератак по странам. Картинка с Securelist

По данным компании Avast, производящей одноименные антивирусы, по всему миру заражено более 57 тысяч компьютеров, большая часть из которых располагается в России, Украине и на Тайване. Впервые вирус был замечен в феврале, отмечают в компании; существует 28 версий оболочки программы с различными языками для каждого региона. В разговоре с Открытой Россией автор популярного телеграм-канала об IT-безопасности Александр Литреев отметил, что русская локализация оболочки, требующей выкуп, написана наиболее грамотно, «не ломаным языком». «Можно предположить, что вирус русского, украинского, или белорусского происхождения», — заключил он.

До начала массированной атаки российские пользователи уже сталкивались с подобным вирусом. Как рассказала Открытой России сотрудница небольшой коммерческой фирмы, располагающейся в Твери, в марте 2017 года их серверы подверглись аналогичной атаке. «Когда наша сотрудница попыталась зайти в бухгалтерскую программу, которая была установлена на сервере, то на компьютере всплыло окно с таким текстом: „Все данные зашифрованы. Чтобы расшифровать, необходимо перевести 19 тысяч рублей на такой-то биткоин-кошелек. Не пытайтесь сами расшифровать, ничего не получится, у вас есть несколько дней на то, чтобы перевести деньги“. Прислали номер биткоин-кошелька и e-mail rob1111stewar@hotmail.com, по которому можно было связаться. Пришлось заплатить, и через пару часов буквально, как и обещали, открыли доступ. После того как это случилось, я забила присланный e-mail, начала гуглить, что по этому поводу писали. И действительно именно с этим адресом я нашла записи на форумах — есть очень давние, есть не очень давние, буквально пару лет назад — именно о том, что такая же ситуация, просят именно с этого ящика, но там были разные суммы», — рассказала собеседница.

По словам Александра Литреева, массовое заражение вероятнее всего произошло из-за безграмотности системных администраторов и посредственного отношения к информационной безопасности. «Вирус находился в сетях продолжительное время и ждал своего часа. Предположительно, ему поспособствовала уязвимость MS17-010», — добавил он.

В апреле 2017 года хакерская группа, называющая себя «The Shadow Brokers» опубликовала Windows-эксплойты (программы или фрагменты кода, эксплуатирующие уязвимость в системе. — Открытая Россия), по их утверждениям используемые Агентством национальной безопасности США. В марте корпорация Microsoft выпустила патч, закрывающий эту проблему. Как рассказали «Медиазоне» в «Лаборатории Касперского», вирус использует именно эту уязвимость.

util