Наймасовіша вірусна атака в історії »! Вірус зупинив комп'ютери усього світу! Це атака спецслужб! Вони хочуть посіяти хаос! А якщо вони в метро або на АЕС !!!

Це зараз можна почути по всіх каналах, від Першого на центральному ТБ до самого останнього блогу.
Насправді, звичайно, як завжди, все не зовсім так чи зовсім не так.

Отже, TLDR:

Атака - досить типова. Це звичайний вірус-шифрувальник. У Рунеті вони лютують останні років 10-12.

Атака - досить дрібна. Заражене 200-300 тисяч комп'ютерів по світу. Це приблизно на порядок менше найвідоміших масових атак, які відбуваються щороку. І на півтора-два порядки менше масштабу таємних заражень користувачів при створенні комерційних ботнетів.

Це - медійна атака. Такий крик в ЗМІ піднявся через деградацію наших ЗМІ в останні роки, схильності переписувати заголовки і новини один у одного і хапатися за гаряче, а зовсім не через якусь особливу небезпеку вірусу або його особливої ​​поширеності. Через пару днів ніхто й не згадає - тому що зараз в нашому медійному полі все сенсації живуть 3-5 днів максимум.

Тепер детально:

1. Історія та обставини. Вірус - досить типовий шифрувальник, т.зв. вінлокер. Прийому блокування і шифрування файлів і вимагання викупу - вже приблизно 20 років. Хвилі таких вірусів кілька разів вражали російські мережі комп'ютерів. Розсилають їх російські кіберзлочинці, автор навіть особисто знає одного такого, хто якось сп'яну хвалився, що вінлокери в Рунеті придумав він.

2. Уразливість теж відома. Сама по собі вразливість Windows знайдена і виправлена ​​в березні 2017, для неї існує патч (латочка). Патч скачується з сайту Мікрософт або встановлюється автоматичним оновленням.

3. Антивіруси ловлять цей вірус. Вбудований антивірус Windows Defender також його ловить (за умови, що встановлений патч). Всі відомі антивіруси або вміли ловити цей вірус, або вже випустили «лечилки».

4. Кого заражали? Оскільки вразливість відома, опублікована і виправлена, заражалися комп'ютери, де:

a. Не встановлені поновлення Windows,

b. Не варто свіжий антивірус.

5. Кого зачепило? Вірус-вимагач поширився в 74 країнах світу, в тому числі в Росії. Заражені РЖД, «Мегафон» і «Вимпелком», МВС. Також хакери намагалися зламати сервери МОЗ, однак відомству вдалося запобігти атаці. Атаки на електронну інфраструктуру зафіксував і Ощадбанк. Система з видачі прав ГИБДД також піддалася вірусній атаці і не працює в ряді регіонів. У Німеччині атаці хакерів також піддалися системи залізничного оператора Deutsche Bahn. У Великобританії під ударом опинилися сервіси лікарень.

6. «Наймасовіша атака в історії». Це просто неправда. Ця атака - не дуже масова, просто сама розкручена за останні місяці. 300 тисяч заражених комп'ютерів і 40 тисяч доларів зароблено творцями вірусу! Просто офигеть. Це побутова, щоденна атака.

7. Масові атаки - це коли по всьому світу у всіх обсипаються букви на екрані. Чи ви не пам'ятаєте? Зрозуміло.
Ось приклади дійсно масових заражень: https: //ru.wikipedia.org/wiki / ...

Черв'як I Love You, три мільйони заражень по всьому світу.

Або ось: https: //xakep.ru/2003/01/27/17 ...

Черв'як Slammer, мільйони копій, десятки тисяч заражень в годину, падіння Південної Кореї , Порушення роботи виборів в Канаді, уповільнення Інтернету по всьому світу.

А ось це сьогоднішня повсякденність - робоча конячка, ботнет Methbot на пару мільйонів комп'ютерів, який просто тихо працює, без ось цього всього медійного шуму, заробляючи мільйони доларів в день: https: //habrahabr.ru/company/k ...

8. Бойовий вірус ЦРУ / АНБ. Дійсно унікальною і пікантною особливістю ситуації є те, що код цього конкретного вірусу був викладений у витоку Вікілікс, серед інших бойових хакерських інструментів американських спецслужб. Хоча код був «стерилізований», вирусописатели оживили і модифікували його. Коментує Сноуден:

"…"Ось це так, АНБ створило інструменти для злому американського софта, які в підсумку загрожують життю сотень пацієнтів », - написав екс-співробітник АНБ в своєму Твіттері. Сноуден зазначив, що АНБ створило програми для атаки на софт, «незважаючи на попередження», що в підсумку і призвело до катастрофічних наслідків. За його словами, якби відомство своєчасно повідомило про знайдені вразливості, у постраждалих користувачів були б роки, щоб підготуватися до атаки ».

9. Деталі боротьби з вірусом:

a. Тимчасово вдалося зупинити атаку вірусу WannaCrypt. Виявилося, що в коді вірусу був прописаний адреса сайту, явно шляхом набору літер на клавіатурі. Швидше за все, власники вірусу таким чином «забили» непотрібну інструкцію в чужому коді, не плануючи керувати вірусом з сайту.

У минулі вихідні якийсь британський програміст 22 років помітив, що програма звертається до адреси iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Він вирішив дізнатися, що буде, якщо сайт реально відгукнеться, і зареєстрував домен з таким ім'ям. Виявилося, що вірус починає чекати інструкцій з сайту і зупиняє роботу. З тих пір, правда, автори вірусу змінили його код, і більше він до цього сайту не звертався.

b. Компанія Microsoft випустила екстрені оновлення для застарілих операційних систем в зв'язку з міжнародною масованої хакерської атакою. Як повідомляється на офіційному сайті, поновлення усувають небезпечну уразливість в Windows XP, Windows 8 і Windows Server 2003, підтримка яких була припинена кілька років тому.

10. Як зараз працюють віруси? Більшість вірусів зараз генерується автоматичними генераторами вірусів, з вибором функціональності, як в конструкторі. Хакери генерують віруси, їх проганяють через всі популярні антивіруси , Щоб перевірити - пробиває чи ні; потім ті віруси, що розпізнаються, «засівають» через ресурси для скачування, заражені сайти і т.п. Всього в день генерується і засівається кілька десятків тисяч вірусів. До 3-5 мільйонів в рік. 95-99% вірусів - не успішні. Тобто вкидання цього вірусу - досить типовий, але успішний.

11. Чи може це бути атака спецслужб? Це досить поширена версія - що це державні хакери (Росії або США, неважливо).

Ні не може. Атака спецслужб на критичну інфраструктуру і / або держустанови, з виведенням з ладу або перешкоджанням роботі - це акт війни. Всі, хто потрібно, зрозуміє, хто це зробив, а це може привести до війни.

І якщо атака кібервійськ США і Ізраїлю такого роду на Іран можлива - наприклад, вірус Stuxnet ( «стухне»), який вивів з ладу 30% збагачувальних центрифуг Ірану і загальмував розвиток атомної програми - Іран і так по суті військовий противник Ізраїлю, вони там ядерників вбивають пачками, то на Росію, очевидно, немає. Поганих нема.

12. Чи можуть такі віруси привести до катастроф? Вивести з ладу АЕС, звести з неба літак, підірвати завод? В середньому - немає. Спецслужби і кібервойска держав цього не будуть робити, поки не почнеться справжній гарячий конфлікт (а тоді ракети будуть більш руйнівні), а комерційні хакери зацікавлені в тому, щоб все працювало, гроші заробляли, і їх не розшукували спецслужби, як терористів.

Випадково, звичайно, всяке трапляється. Здуру і всяке можна зламати. Можна навіть уявити хакерів на службі ІГІЛ (Якби автор не був упевнений, що і ІГІЛ, і інші «світові терористи» - це рукавичка на руці США, чисто прагматичний інструмент геополітики).

Загалом, світове інфернальне зло, яке творить зло заради самого зла і можливості посміятися сатанинським сміхом за кадром - воно в основному водиться в Голлівуді. Всі інші лиходії - прагматики. Прагматики в руйнуванні греблі або АЕС в мирний час - ні.

13. Чому такий успіх? Успіх скоріше медійний. Зараження з десятками тисяч і сотнями тисяч заражених комп'ютерів - повсякденність. У мережі на хакерів і спамерів працюють ботнети з мільйонів заражених комп'ютерів (див. Вище).

Технічний успіх зараження забезпечений тим, що:

a. Люди не оновлюють Windows,

b. Люди не ставлять актуальних антивірусів,

c. Слабка політика ІБ в організаціях,

d. Вірус спочатку був добре «посіяний», тобто розісланий в пошту з хорошою соціотехніки і / або викладений на дуже популярних сайтах для скачування, де люди качають порно, пиратку, інший «варез», як то кажуть. Тобто спрацювала вдала соціотехніка.

Медійний успіх вірусу забезпечений тим, що:

e. Широке поширення: сотня країн світу.

f. Вірус з'являвся в витоках про спецслужби США.

g. Вірус оголошує себе на комп'ютері, вивішує страшну червону планку.

h. Новина «села» на тему про «російських хакерів»:

«... Британські ЗМІ запідозрили Росію в причетності до кібератаки в 74 країнах світу в помсту США за вчинені авіаудари по Сирії. Про це повідомила газета The Telegraph. Журналісти припускають, що вірус-вимагач запустила нібито пов'язана з Росією хакерська угруповання Shadow Brokers ».

i. Зачепило Європу, потім у нас заразилося МВС, РЖД і інші держоргани, що важливо для наших ЗМІ.

j. Прокоментував Сноуден (що це інструменти АНБ).

k. З цих причин сталася й відбувається бурхлива розкрутка в ЗМІ.

висновки:

l. Політичного підґрунтя - немає. Вірус спрацював в Європі, Росії та інших країнах. Скрізь. «Російські хакери» - ні до чого. ЦРУ - теж.

m. Комерційної підгрунтя теж, можливо, немає, заробіток там невеликий (на 15 травня - 42К доларів). Швидше - тренування. Або демонстрація роботи вірусів з арсеналу АНБ.

n. Чому заразили МВС та інші відомства? По-перше, безтурботність, по-друге, можливо, заборона на автоматичне оновлення Windows (що, в принципі, можна зрозуміти). Піратські копії, популярні у нас, теж внесли свою лепту.

o. Типовий випадок, злегка вище середнього. Загалом, це - типова успішна масова вірусна атака, що отримала хорошу пресу через гарячої теми про « російських хакерів », Вікілікса і російського МВС.

p. Навіщо запустили? Швидше за все, спробувати, чи працюють бойові АНБшние віруси. Для цього і безглузде вимога 300 доларів, завдяки якому журналісти послужливо роблять для хакерів карти поширення їх вірусу.

q. Чи буде наступна хвиля? Так навряд чи. Все струснулися, завантажили, встановили, перепрошити і забігали. Якісь «афтершоки» будуть, ймовірно, але невеликі.

r. Чи будуть такі атаки? Обов'язково. Люди ж не змінюються. Як і Windows.

s. Конспірологія наостанок. Ну і найстрашніша версія (жарт одного з відомих російських фахівців в ІБ): вірус - приманка, розводка, а справжні, робочі уразливості зараз все скачують в оновленнях і латках.