Вирус-шифровальщик продолжает распространяться
12 мая стало известно о вирусе-шифровальщике, который распространяется с рекордной скоростью: за одни выходные он заразил более 200 тыс. компьютеров в 150 странах мира. После этого распространение вируса было остановлено, однако уже через день появилось ещё несколько версий вируса и его распространение продолжается. Поэтому мы публикуем ответы на некоторые вопросы, которые в общих чертах расскажут о том что это за вирус, откуда он взялся и помогут вам защитить свой компьютер.
Кузьмич Павел Алексеевич, директор лаборатории компьютерной криминалистики при Университете ИТМО.Заражает ли вирус компьютеры и другие устройства индивидуальных пользователей?
Да, вирус может заражать и компьютеры пользователей. Скорее всего, сотрудники тех организаций, где зафиксировали заражение, использовали компьютеры для получения почты и «серфинга» в интернете и, не убедившись в безопасности полученных писем и открываемых сайтов, загрузили на них вредоносное программное обеспечение. Такой способ мошенничества нельзя назвать новым: проблема так называемых вирусов-шифровальщиков актуальна уже несколько лет, притом цену в 300 долларов можно считать вполне "гуманной". Так, к нам в лабораторию полтора года назад обратилась одна организация, у которой за расшифровку только одного файла с клиентами злоумышленники потребовали 700 долларов США в тех же биткоинах.
Что сделать, чтобы не попасть под действие вируса?
Во-первых, внимательно относиться к тому, куда заходишь в интернете. Во-вторых, внимательно смотреть почту и, перед тем как открывать какие-либо файлы в письмах, все-таки убедиться, что это не мошенническое письмо. Очень часто вирусы распространяются в файлах, приложенных к письмам якобы от Ростелекома, где сотрудник якобы высылает счет на оплату. Часто стали приходить такие же мошеннические письма от имени Сбербанка, а также судебных приставов. Для того, чтобы не стать жертвой злоумышленников, стоит внимательно смотреть, куда ведет ссылка в письме, а также какое расширение имеет файл, приложенный к письму. Ну и немаловажно хотя бы иногда делать резервные копии важных документов на отдельные съемные носители.
Значит ли это, что сейчас заблокированы все базы атакованных организаций? Смогут ли ими воспользоваться злоумышленники в своих целях? Пострадают ли персональные данные из этих баз?
Думаю, что говорить про блокирование работы, конечно, не стоит: скорее всего, это проблема отдельных рабочих мест. Однако тот факт, что сотрудники различных ведомств используют рабочие компьютеры не только для работы в интернете, несколько настораживает. Вполне возможно, что таким образом могли быть скомпрометированы конфиденциальные сведения их клиентов – в случае коммерческих организаций, а также и большие объемы персональных данных – в случае с ведомствами государственными. Стоит надеяться на то, что на данных компьютерах такие сведения не обрабатывались.
Скажется ли ситуация на абонентах «МегаФона»? Опасно ли пользоваться сейчас мобильным интернетом?
Скорее всего, нет, так как инфраструктурные элементы сети, безусловно, защищены от такого рода атак. Более того, с высокой долей вероятности можно говорить о том, что данный вирус рассчитан на уязвимости в операционной системе производства компании Microsoft, а сетевое оборудование в подавляющем большинстве управляется либо собственной операционной системой, либо операционными системами семейства Linux.
Что происходит, когда вирус попадает в систему? Как понять, что компьютер заражен?
Чаще всего заражение и активная фаза работы вируса – шифрование данных – проявляется в виде значительного снижения производительности компьютера. Это является следствием того, что шифрование – крайне ресурсоемкий процесс. Также это можно заметить при появлении файлов с непонятным расширением, но обычно на этом этапе уже поздно предпринимать какие-либо действия.
Можно ли будет восстановить заблокированные данные?
Зачастую восстановить невозможно. Раньше ключ был единым на всех зараженных, но после того, как вирус был пойман и расшифрован, а типовые коды стали широко известны (их можно найти на форумах производителей антивирусного программного обеспечения), злоумышленники стали шифровать каждый раз информацию новым ключом. Кстати, применяют вирусы сложный вариант шифра: чаще всего это асимметричное шифрование, и взломать такой шифр очень сложно, крайне затратно по времени и ресурсам, что фактически становится невозможным.
Как долго вирус будет распространяться по интернету?
Думаю, что до момента, пока его авторы будут его распространять. А это будет происходить, пока распространителей не поймают правоохранительные органы или пока пользователи не перестанут открывать письма с вирусами и не начнут внимательнее относиться к своим действиям в интернете.
Григорий Саблин, вирусный аналитик, эксперт в области информационной безопасности Университета ИТМО, победитель международных соревновании по защите компьютерной информации (осторожно: программистская лексика!).
Злоумышленники используют уязвимость в протоколе SMB MS17_010 - патч уже на серверах Microsoft. Те, кто не обновился, могут попасть под раздачу. Но, можно сказать, эти пользователи сами виноваты - они использовали пиратское ПО или не обновляли Windows. Мне самому интересно, как будет развиваться ситуация: похожая история была с багой MS08_67, её тогда использовал червь Kido, и тогда тоже многие заразились. Что можно посоветовать сейчас: нужно либо выключить компьютер, либо обновить Windows. Можно ожидать того, что многие антивирусные компании будут конкурировать за право выпустить утилиту расшифровки. Если у них получится это сделать, это будет яркий PR-ход, а также возможность заработать хорошие деньги. Не факт, что удастся восстановить все заблокированные файлы. Этот вирус может проникнуть куда угодно из-за того, что многие компьютеры еще не обновлены. Кстати, этот эксплойт был взят из архива, который "слили" у Агентства национальной безопасности (АНБ) США, то есть это пример того, как могут действовать спецслужбы в какой-либо экстренной ситуации.
По сообщению пресс-службы университета ИТМО