Автор ViVA la Cloud заразил компьютер вирусом WCry. И теперь объясняет, что это

WCry — вирус-шифровальщик. С 12 мая он заразил как минимум 200 тысяч компьютеров. WCry шифрует данные в системе, требуя выкуп за доступ к ним. Автор ViVA la Cloud намеренно заразил вирусом свой компьютер. И теперь объясняет, что такое WCry и как с ним бороться.

WCry (WCry, Wana Decrypt0r, WannaCry, WannaCrypt) — так называемый «ransomware». Это разновидность вирусов, которая принуждает пользователя к выплате денег злоумышленникам. Можно представить, что WCry — негодяй, который крадет документы, кладет их в сейф и предлагает купить ключ от него.

Для поражения достаточно запустить один подозрительный файл: на момент появления WCry антивирусы не знали о такой угрозе. WCry проникает на компьютер и шифрует документы, картинки, фото и видео, требуя за них выкуп. Сумма — 300 долларов в биткоинах (это виртуальная валюта. Узнать, кому в итоге придут деньги, почти невозможно). Спустя три дня она возрастает до 600 долларов, через неделю файлы блокируются навсегда. Расшифровать файлы самостоятельно практически невозможно

Важно понимать, что ценность документов варьируется от пользователя к пользователю. Рядовой пострадавший потеряет, скорее всего, фотографии котиков. Но некоторые зараженные системы хранят куда более важные файлы. От WCry уже пострадали Национальная служба здравоохранения Англии и немецкая транспортная система, «Мегафон» и МВД России.

Как не стать жертвой WCry (и любого другого вируса). Короткая инструкция ViVA la Cloud

• Не открывайте непонятно откуда скачанные файлы
• Обновляйте Windows
• Пользуйтесь антивирусом

В разработке WCry использовали эксплойт ETERNALBLUE. Эту программу, использующую уязвимости пользовательского софта, хакеры из группировки The Shadow Brokers похитили у Агенства национальной безопасности США 14-го апреля. Конкретно ETERNALBLUE использует недоработку, отвечающую за «общение» компьютера с подключенными устройствами — другими компьютерами или, скажем, принтерами.

Разработчики WCry заработали уже около 2 миллионов рублей. Данные — howmuchwannacrypaidthehacker.com

Воспользоваться эксплойтом может каждый: в интернете есть пошаговая инструкция, как применить разработки в своих целях (ViVA la Cloud не рекомендует заниматься такими делами). Атаку можно провести разными способами. Например, подменив исполняемые файлы — вы думаете, что скачали видеоплеер, а на самом деле запускаете вирус. Или заразив систему USB-порт — флешка (или боксмод с платой: туда тоже можно записать «зловредную» комбинацию файлов) автоматически запускает вирус.

Как автор ViVA la Cloud заразил свой компьютер

Я создал виртуальную машину с Windows 7. Это система, которая запускается в отдельном окне, никак не сообщаясь с основной операционкой. Виртуальные системы часто используют разработчики, чтобы не сломать что-нибудь на основной системе.

WCry я установил, запустив файл mssecsvc.exe. Тот инициировал процесс заражения, зашифровав мои файлы. Вирус «посмотрел», какие компьютеры и устройства были подключены к моему. Будь они уязвимы, вирус заразил бы и их (эксперимент проходил на виртуальной машине — я к ней ничего подключать не стал), зашифровав файлы. Потом WCry вывел окно, предлагающее оплатить расшифровку файлов. Сообщение продублировалось сменой изображения рабочего стола. После этого с файлами можно попрощаться: их если и можно восстановить, то в неполном объеме. А на подбор ключа ключа для расшифровки уйдёт около 13 миллиардов лет.

Кроме этого, вирус установил на компьютер программу Tor. Это специальная программа, которая скрывает, куда (и откуда) подключается компьютер через интернет. Зачем это нужно, понятно не до конца: вирусу самому по себе интернет не нужен. Можно полагать, WCry «сливает» зараженные файлы хакерам или атакует другие системы с вашего компьютера. Впрочем, это лишь авторское предположение.

Сейчас атака остановлена, притом случайно. Программист нашел «kill switch» — способ остановить вирус, заложенный в него разработчиками. Оказалось, что WCry зачем-то заходит на домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Программист зарегистрировал этот сайт на себя — и атаки внезапно остановились.

Впрочем, хакеры уже сделали новую версию WCry.

Ранее издание писало о прошивках для Cuboid и RX300.