Регистрация пройдена успешно!
Пожалуйста, перейдите по ссылке из письма, отправленного на
Он вам не Petya и не WannaCry, но близкий родственник

Почему новый компьютерный вирус ударил именно по Украине.

© REUTERS / Valentyn OgirenkoТехнические специалисты в аэропорту «Борисполь» в Украине
Технические специалисты в аэропорту «Борисполь» в Украине
Материалы ИноСМИ содержат оценки исключительно зарубежных СМИ и не отражают позицию редакции ИноСМИ
Читать inosmi.ru в
Накануне по планете прокатилась очередная волна заражений компьютерным вирусом-шифровальщиком, который делает невозможным использование данных и пользование компьютером. За расшифровку зловред требует 300 долларов, которые должны быть заплачены в биткойнах. Несмотря на то, что от вируса пострадали европейские компании, основной удар пришелся на Украину.

Накануне по планете прокатилась очередная волна заражений компьютерным вирусом-шифровальщиком, который делает невозможным использование данных и пользование компьютером. За расшифровку зловред требует 300 долларов, которые должны быть заплачены в биткойнах. Несмотря на то, что от вируса пострадали некоторые крупные европейские (и некрупные латвийские) компании, например, Maersk, основной удар пришелся на Украину.


В частности, на Украине от вируса пострадали государственные организации, банки, аэропорты, частные компании. Из-за него управление системой безопасности Чернобыльской АЭС пришлось перевести на ручной режим.


В России от нового вируса пострадали компьютеры компании «Роснефть» и ряда других менее крупных организаций. В Европе заражения констатированы в Дании, Великобритании, Германии, Франции, у нас и в соседней Литве. Однако нигде речь не идет о масштабах, сопоставимых с уроном на Украине.


Пока специалисты еще работают с вирусом и до конца выясняют его механизмы распространения, но на этот час уже достаточно достоверно известно довольно многое. И можно с довольно высокой долей уверенности говорить о нескольких вещах.


Первые сообщения о том, что Украину атаковал известный вирус-шифровальщик Petya не подтвердились. По данным «Лаборатории Касперского», мир имеет дело не с Petya и не с его вариациями, а с чем-то абсолютно новым. Компания Talos, которая выполнила самый подробный на этот час анализ зловреда, назвала его Nyetya.


В частности, для первого заражения новый зловред использует ровно тот же механизм, что и WannaCry — эксплоит EternalBlue, лежащий в основе кибер-оружия из арсенала американских спецслужб, который «утек» в Сеть и доступен любым хакерам. Это лишняя демонстрация того, как опасно позволять спецслужбам иметь «ключи от всех мессенджеров» или «хакерские программы» — как только они их теряют, инструменты попадают на черный хакерский рынок и начинают использоваться преступниками.


EternalBlue использует уязвимость в ОС Microsoft Windows, которую сама компания закрыла еще несколько месяцев назад. Это значит, что, как и в случае с WannaCry, жертвы Nyetya опять сами виноваты.


Что делает Nyetya особо опасным, так это то, что для распространения внутри компьютерной сети организации он использует Psexec и WMI (Windows Management Instrumentation), два штатных инструмента, которые применяются в рутинной работе сетевых администраторов. С их помощью, например, внутри организации распространяются обновления для программного обеспечения. Они редко когда блокируются и мониторятся не только самими администраторами сетей, но и антивирусами и прочими специальными средствами защиты.


То есть, стоило в организации заразиться одной машине, как инфицированный компьютер моментально заражал всех, до кого мог дотянуться в компьютерной сети. Но почему пострадала именно Украина? И как злоумышленникам удалось заражать эти «машины-агенты«? Ведь никто добровольно себе вирус на машину не поставит… или?!


Пока ни одна антивирусная компания и ни один специалист не может со 100-процентной уверенностью назвать все механизмы заражения Nyetya, но разные источники говорят о, как минимум, двух фактах.


Во-первых, в отличие от WannaCry, атака не осуществлялась через электронную почту. То есть хакеры на этот раз исключили человеческий фактор — никто ни на что не кликал, никто не запускал то, что запускать был не должен.


Во-вторых, по крайней мере один из путей распространения Nyetya — украинская программа MeDoc, которую в стране используют для «общения» с налоговой, а за ее пределами — для работы с украинскими госструктурами и бизнесом. Об этом говорят как Talos, так и украинская киберполиция, хотя сама компания все обвинения отрицает. Впрочем, в комментариях к последней записи на Facebook немало рассерженных пользователей оставляют сообщения вида «на машине ничего не стояло, кроме вас — и она заражена!».


По мнению специалистов, вирус мог быть внедрен в одно из обновлений MeDoс, возможно, то, что распространялось неделю назад. Апдейты MeDoс ставились автоматически, без участия пользователей, так что и заражение произошло автоматически. В «час X» вирус просто включился и принялся за работу.


Вполне возможно, что и создали ее украинские хакеры, причем они оказались дилетантами в плане «работы с клиентами». Обычно авторы вирусов-шифровальщиков для связи с жертвами используют: а)много биткойн-кошельков и б)не обычную электропочту, а каналы связи в «темном интернете» Tor. В данном случае и кошелек один, и для связи предлагалось использовать почту, зарегистрированную в одной немецкой компании. В итоге компания заблокировала адрес хакеров, так что они лишились возможности общаться со своими жертвами. А жертвы — получить код для разблокирования компьютеров.


Некоторые специалисты предполагают, что Nyetya — «проба пера» некой хакерской группировки. Они сумели получить доступ к обновлениям MeDoс и подумали: «а почему бы и нет?!». Ведь для любого хакера заражение апдейтов популярной программы — это настоящий Святой Грааль. Люди и компании верят им, сами их ставят, практически добровольно становятся жертвами, причем об этом не подозревают.


Впрочем, хакеры хакерами, а что нас больше всего поражает в новой вирусной истории, так это то, что многие компании продолжают демонстрировать фантастическую беспечность. Когда специалисты по безопасности говорили, а журналисты писали про WannaCry, то все предупреждали: продолжение обязательно последует, уж очень «сладкая» уязвимость EternalBlue, хакеры так просто ее не бросят. Все, что было нужно сделать, чтобы оно не последовало — установить заплатки для Windows. Бесплатные и легкодоступные, для всех ОС, включая даже давно оставленную богом и Microsoft Windows XP. Но все равно нашлись те, кто не услышал, не поверил, не подумал, не понял и — как следствие — не поставил. Злобные ли хакеры в этом виноваты?