WannaCry: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
[непроверенная версия][отпатрулированная версия]
Содержимое удалено Содержимое добавлено
В хронологии событий было написано "на Украине"
Удаление дублей параметра (accessdate) по запросу на РДБ
 
(не показано 10 промежуточных версий 8 участников)
Строка 10: Строка 10:
| securelist_link = https://securelist.ru/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/30662/
| securelist_link = https://securelist.ru/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/30662/
}}
}}
'''WannaCry''' (в переводе означает ''«хочу плакать»'', также известна как '''WannaCrypt'''<ref name="microsoftreleases">{{cite web|url=https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/|title=Customer Guidance for WannaCrypt attacks|publisher=[[Microsoft]]|access-date=2017-05-13|last1=MSRC Team|archive-date=2017-05-13|archive-url=https://web.archive.org/web/20170513093123/https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/|deadlink=no}}</ref>, '''WCry'''<ref name="ТСН-WCry">{{cite web|url=https://tsn.ua/nauka_it/vsesvitnya-kiberataka-virus-ohopiv-kom-yuteri-z-windows-yaki-ne-onovilisya-zmi-928600.html|title=ВСЕСВІТНЯ КІБЕРАТАКА: ВІРУС ОХОПИВ КОМ'ЮТЕРИ З WINDOWS, ЯКІ НЕ ОНОВИЛИСЯ - ЗМІ|accessdate=2017-05-13|archive-date=2017-05-13|archive-url=https://web.archive.org/web/20170513024245/https://tsn.ua/nauka_it/vsesvitnya-kiberataka-virus-ohopiv-kom-yuteri-z-windows-yaki-ne-onovilisya-zmi-928600.html|deadlink=no}}</ref>, '''WanaCrypt0r 2.0'''<ref>{{cite web|url=https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today|title=Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.|date=2017-05-12|website=Avast Security News|publisher=Avast Software, Inc|author1=Jakub Kroustek|access-date=2017-05-24|archive-date=2019-05-05|archive-url=https://web.archive.org/web/20190505012053/https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today|deadlink=no}}</ref><ref name=":0">{{Cite news|url=https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/|title=An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak|last=Fox-Brewster|first=Thomas|work=[[Forbes]]|access-date=2017-05-12|accessdate=2017-05-16|archivedate=2018-06-28|archiveurl=https://web.archive.org/web/20180628155440/https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/}}</ref> и '''Wanna Decryptor'''<ref name="auto">{{Cite news|url=https://www.wired.co.uk/article/wanna-decryptor-ransomware|title=Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?|last=Woollaston|first=Victoria|work=WIRED UK|access-date=2017-05-13|language=en|accessdate=2017-09-29|archivedate=2018-03-17|archiveurl=https://web.archive.org/web/20180317131855/https://www.wired.co.uk/article/wanna-decryptor-ransomware}}</ref>) — [[вредоносная программа]], [[сетевой червь]] и [[Ransomware|программа-вымогатель]] [[Деньги|денежных средств]], поражающая компьютеры под управлением [[Операционная система|операционной системы]] [[Windows|Microsoft Windows]]. После заражения компьютера программный код червя [[Шифрование|шифрует]] почти все хранящиеся на компьютере файлы и предлагает заплатить денежный [[выкуп]] в [[Криптовалюта|криптовалюте]] за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда.
'''WannaCry''' (в переводе означает ''«хочу плакать»'', также изначально известна как '''WannaCrypt'''<ref name="microsoftreleases">{{cite web|url=https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/|title=Customer Guidance for WannaCrypt attacks|publisher=[[Microsoft]]|access-date=2017-05-13|last1=MSRC Team|archive-date=2017-05-13|archive-url=https://web.archive.org/web/20170513093123/https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/|url-status=live}}</ref> («хочу [[Криптовалюта|крипту]]»), '''WCry'''<ref name="ТСН-WCry">{{cite web|url=https://tsn.ua/nauka_it/vsesvitnya-kiberataka-virus-ohopiv-kom-yuteri-z-windows-yaki-ne-onovilisya-zmi-928600.html|title=ВСЕСВІТНЯ КІБЕРАТАКА: ВІРУС ОХОПИВ КОМ'ЮТЕРИ З WINDOWS, ЯКІ НЕ ОНОВИЛИСЯ - ЗМІ|accessdate=2017-05-13|archive-date=2017-05-13|archive-url=https://web.archive.org/web/20170513024245/https://tsn.ua/nauka_it/vsesvitnya-kiberataka-virus-ohopiv-kom-yuteri-z-windows-yaki-ne-onovilisya-zmi-928600.html|url-status=live}}</ref>, '''WanaCrypt0r 2.0'''<ref>{{cite web|url=https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today|title=Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.|date=2017-05-12|website=Avast Security News|publisher=Avast Software, Inc|author1=Jakub Kroustek|access-date=2017-05-24|archive-date=2019-05-05|archive-url=https://web.archive.org/web/20190505012053/https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today|url-status=live}}</ref><ref name=":0">{{Cite news|url=https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/|title=An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak|last=Fox-Brewster|first=Thomas|work=[[Forbes]]|archivedate=2018-06-28|archiveurl=https://web.archive.org/web/20180628155440/https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/|access-date=2017-05-16}}</ref> и '''Wanna Decryptor'''<ref name="auto">{{Cite news|url=https://www.wired.co.uk/article/wanna-decryptor-ransomware|title=Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?|last=Woollaston|first=Victoria|work=WIRED UK|language=en|archivedate=2018-03-17|archiveurl=https://web.archive.org/web/20180317131855/https://www.wired.co.uk/article/wanna-decryptor-ransomware|access-date=2017-09-29}}</ref>) — [[вредоносная программа]], [[сетевой червь]] и [[Ransomware|программа-вымогатель]] [[Деньги|денежных средств]], поражающая компьютеры под управлением [[Операционная система|операционной системы]] [[Windows|Microsoft Windows]]. После заражения компьютера программный код червя [[Шифрование|шифрует]] почти все хранящиеся на компьютере файлы и предлагает заплатить денежный [[выкуп]] в [[Криптовалюта|криптовалюте]] за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда.


Массовое распространение WannaCry началось [[12 мая]] [[2017 год]]а — одними из первых были атакованы компьютеры в [[Испания|Испании]], а затем и в других странах. Среди них по количеству заражений лидируют [[Россия]], [[Украина]] и [[Индия]]<ref name = "securelist" />. В общей сложности, за короткое время от червя пострадало 500 тысяч компьютеров<ref name = "MalwareTech_WCRYPT" />, принадлежащих частным лицам, коммерческим организациям и правительственным [[Учреждение|учреждениям]], в более чем 200 странах мира<ref name=Ackerman/>. Распространение червя блокировало работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций.
Массовое распространение WannaCry началось [[12 мая]] [[2017 год]]а — одними из первых были атакованы компьютеры в [[Испания|Испании]], а затем и в других странах. Среди них по количеству заражений лидируют [[Россия]], [[Украина]] и [[Индия]]<ref name = "securelist" />. В общей сложности, за короткое время от червя пострадало 500 тысяч компьютеров<ref name = "MalwareTech_WCRYPT" />, принадлежащих частным лицам, коммерческим организациям и правительственным [[Учреждение|учреждениям]], в более чем 200 странах мира<ref name=Ackerman/>. Распространение червя блокировало работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций.
Строка 40: Строка 40:


== Метод атаки ==
== Метод атаки ==
Вредоносная программа сканирует диапазон [[IP-адрес|IP-адресов]] [[Локальная вычислительная сеть|локальной сети]] и случайно выбранные IP-адреса сети [[Интернет]] в поисках компьютеров с открытым [[TCP-порт]]ом 445, который отвечает за обслуживание протокола [[Server Message Block|SMBv1]]. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость [[EternalBlue]] и, в случае успеха, устанавливает [[бэкдор]] [[DoublePulsar]]<ref name="Zammis Clark">{{cite web|title=The worm that spreads WanaCrypt0r|author=Zammis Clark|url=https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/|lang=en|date=2017-05-12|publisher=[https://blog.malwarebytes.com/ Malwarebytes]|accessdate=2017-05-17|archive-date=2017-05-17|archive-url=https://web.archive.org/web/20170517071331/https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/|deadlink=no}}</ref>, через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор<ref name="Zammis Clark" />.
Вредоносная программа сканирует диапазон [[IP-адрес]]ов [[Локальная вычислительная сеть|локальной сети]] и случайно выбранные IP-адреса сети [[Интернет]] в поисках компьютеров с открытым [[TCP-порт]]ом 445, который отвечает за обслуживание протокола [[Server Message Block|SMBv1]]. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость [[EternalBlue]] и, в случае успеха, устанавливает [[бэкдор]] [[DoublePulsar]]<ref name="Zammis Clark">{{cite web|title=The worm that spreads WanaCrypt0r|author=Zammis Clark|url=https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/|lang=en|date=2017-05-12|publisher=[https://blog.malwarebytes.com/ Malwarebytes]|accessdate=2017-05-17|archive-date=2017-05-17|archive-url=https://web.archive.org/web/20170517071331/https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/|url-status=live}}</ref>, через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор<ref name="Zammis Clark" />.


После запуска вредоносная программа действует как классическая [[Ransomware|программа-вымогатель]]: она генерирует уникальную для каждого инфицированного компьютера пару ключей [[Криптосистема с открытым ключом|асимметричного алгоритма]] [[RSA|RSA-2048]]. Затем WannaCry начинает сканировать [[Файловая система|систему]] в поисках пользовательских файлов определённых [[тип файла|типов]], оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму [[Advanced Encryption Standard|AES-128-CBC]] уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение ''.wncry''. Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети [[Tor]], после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в [[биткойн]]ах (эквивалентную 300 [[доллар США|долларам США]]) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются<ref name = "Symantec.Wannacry" />. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров<ref name="pentestit" /><ref>{{cite web|title=Player 3 Has Entered the Game: Say Hello to 'WannaCry'|url=http://blog.talosintelligence.com/2017/05/wannacry.html|date=2017-05-12|accessdate=2017-05-16|archive-date=2021-06-04|archive-url=https://web.archive.org/web/20210604030643/https://blog.talosintelligence.com/2017/05/wannacry.html|deadlink=no}}</ref>.
После запуска вредоносная программа действует как классическая [[Ransomware|программа-вымогатель]]: она генерирует уникальную для каждого инфицированного компьютера пару ключей [[Криптосистема с открытым ключом|асимметричного алгоритма]] [[RSA|RSA-2048]]. Затем WannaCry начинает сканировать [[Файловая система|систему]] в поисках пользовательских файлов определённых [[тип файла|типов]], оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму [[Advanced Encryption Standard|AES-128-CBC]] уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение ''.wncry''. Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети [[Tor]], после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в [[биткойн]]ах (эквивалентную 300 [[доллар США|долларам США]]) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются<ref name = "Symantec.Wannacry" />. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров<ref name="pentestit" /><ref>{{cite web|title=Player 3 Has Entered the Game: Say Hello to 'WannaCry'|url=http://blog.talosintelligence.com/2017/05/wannacry.html|date=2017-05-12|accessdate=2017-05-16|archive-date=2021-06-04|archive-url=https://web.archive.org/web/20210604030643/https://blog.talosintelligence.com/2017/05/wannacry.html|url-status=live}}</ref>.


Согласно исследованию компании [[Symantec]], алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой [[Состояние гонки|состояния гонки]]. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах [[Windows XP]] и [[Windows Server 2003]] из-за особенностей реализации в системе алгоритма вычисления [[Псевдослучайная последовательность|псевдослучайных чисел]] даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения<ref>{{cite web|title=Can files locked by WannaCry be decrypted: A technical analysis|url=https://medium.com/threat-intel/wannacry-ransomware-decryption-821c7e3f0a2b|date=2017-05-15|accessdate=2017-05-17|archive-date=2017-05-22|archive-url=https://web.archive.org/web/20170522211919/https://medium.com/threat-intel/wannacry-ransomware-decryption-821c7e3f0a2b|deadlink=no}}</ref>. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до [[Windows 7]] и реализовала её на практике, опубликовав в открытом доступе утилиту ''WanaKiwi''<ref name="Comae Technologies">{{cite web |last=Suiche |first=Matthieu |url=https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d |title=WannaCry — Decrypting files with WanaKiwi + Demos |date=2017-05-19 |work=Comae Technologies |accessdate=2017-05-22 |archive-date=2019-08-08 |archive-url=https://web.archive.org/web/20190808020050/https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d |deadlink=no }}</ref>, позволяющую расшифровать файлы без выкупа<ref name=reuters1>{{cite web |last=Auchard |first=Eric |url=https://www.reuters.com/article/us-cyber-attack-cure-idUSKCN18F1CA |title=French researchers find way to unlock WannaCry without ransom |date=2017-05-19 |work=Reuters |accessdate=2017-05-19 |archive-date=2017-05-19 |archive-url=https://web.archive.org/web/20170519125444/http://www.reuters.com/article/us-cyber-attack-cure-idUSKCN18F1CA |deadlink=no }}</ref><ref>[https://www.kp.ru/online/news/2750815/ Во Франции нашли способ обойти вирус-вымогатель WannaCry] {{Wayback|url=https://www.kp.ru/online/news/2750815/ |date=20170520114936 }} // Комсомольская правда, 20.05.2017</ref>.
Согласно исследованию компании [[Symantec]], алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой [[Состояние гонки|состояния гонки]]. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах [[Windows XP]] и [[Windows Server 2003]] из-за особенностей реализации в системе алгоритма вычисления [[Псевдослучайная последовательность|псевдослучайных чисел]] даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения<ref>{{cite web|title=Can files locked by WannaCry be decrypted: A technical analysis|url=https://medium.com/threat-intel/wannacry-ransomware-decryption-821c7e3f0a2b|date=2017-05-15|accessdate=2017-05-17|archive-date=2017-05-22|archive-url=https://web.archive.org/web/20170522211919/https://medium.com/threat-intel/wannacry-ransomware-decryption-821c7e3f0a2b|url-status=live}}</ref>. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до [[Windows 7]] и реализовала её на практике, опубликовав в открытом доступе утилиту ''WanaKiwi''<ref name="Comae Technologies">{{cite web |last=Suiche |first=Matthieu |url=https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d |title=WannaCry — Decrypting files with WanaKiwi + Demos |date=2017-05-19 |work=Comae Technologies |accessdate=2017-05-22 |archive-date=2019-08-08 |archive-url=https://web.archive.org/web/20190808020050/https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d |url-status=live }}</ref>, позволяющую расшифровать файлы без выкупа<ref name=reuters1>{{cite web |last=Auchard |first=Eric |url=https://www.reuters.com/article/us-cyber-attack-cure-idUSKCN18F1CA |title=French researchers find way to unlock WannaCry without ransom |date=2017-05-19 |work=Reuters |accessdate=2017-05-19 |archive-date=2017-05-19 |archive-url=https://web.archive.org/web/20170519125444/http://www.reuters.com/article/us-cyber-attack-cure-idUSKCN18F1CA |url-status=live }}</ref><ref>[https://www.kp.ru/online/news/2750815/ Во Франции нашли способ обойти вирус-вымогатель WannaCry] {{Wayback|url=https://www.kp.ru/online/news/2750815/ |date=20170520114936 }} // Комсомольская правда, 20.05.2017</ref>.


В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый {{нп3|Internet kill switch|Kill Switch|en|Internet kill switch}}<ref name = "Symantec.Wannacry" />, — программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил {{нп3|Хатчинс, Маркус|Маркус Хатчинс|en|Marcus Hutchins}}<ref>{{Cite news|url=http://www.abc.net.au/news/2017-05-16/ransomware-cyberattack-marcus-hutchins-gives-interview/8530574|title='Just doing my bit': The 22yo who blocked the WannaCry cyberattack|date=2017-05-16|work=ABC News|access-date=2017-05-17|language=en|accessdate=2017-05-19|archivedate=2017-05-17|archiveurl=https://web.archive.org/web/20170517060218/http://www.abc.net.au/news/2017-05-16/ransomware-cyberattack-marcus-hutchins-gives-interview/8530574}}</ref>, 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в [[Twitter]]’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично{{ref+|Это, однако, не спасло от поражения компьютеры, доступ в Интернет которых подвергается жёсткой фильтрации (как, например, в некоторых корпоративных сетях). WannaCry в таком случае не находит Kill Switch, заблокированный политикой Интернет-доступа, и продолжает своё вредоносное действие<ref name="Zammis Clark" />.|К}} заблокировать распространение данной модификации вредоносной программы<ref>[https://vz.ru/news/2017/5/13/870094.html Вирус Wanna Cry случайно остановил бдительный программист] {{Wayback|url=https://vz.ru/news/2017/5/13/870094.html |date=20171001075154 }}, Взгляд, 13 мая 2017</ref><ref>{{Cite web |url=https://blog.kaspersky.ru/wannacry-ransomware/16147/ |title=Эпидемия шифровальщика WannaCry: что произошло и как защититься |access-date=2017-05-13 |archive-date=2017-05-14 |archive-url=https://web.archive.org/web/20170514132852/https://blog.kaspersky.ru/wannacry-ransomware/16147/ |deadlink=no }}</ref>. 14 мая был зарегистрирован и второй домен<ref name="Symantec.Wannacry"/>. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём [[Hex-редактор|редактирования]] [[Исполняемый файл|исполняемого файла]], что позволяет предполагать происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был повреждён механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный{{ref+|Тем не менее, модифицированный WannaCry делает заражённую машину ещё более уязвимой для других угроз, использующих бэкдор DoublePulsar.|К}} вред<ref name="Github.Wannacrypt0r-FACTSHEET.md">{{cite web |author=rain-1 |url=https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 |title=WannaCry/WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm |date=2017-05-22 |work=Github.com |accessdate=2017-05-22 |archive-date=2017-05-18 |archive-url=https://web.archive.org/web/20170518133238/https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 |deadlink=no }}</ref>.
В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый {{нп3|Internet kill switch|Kill Switch|en|Internet kill switch}}<ref name = "Symantec.Wannacry" />, — программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил {{нп3|Хатчинс, Маркус|Маркус Хатчинс|en|Marcus Hutchins}}<ref>{{Cite news|url=http://www.abc.net.au/news/2017-05-16/ransomware-cyberattack-marcus-hutchins-gives-interview/8530574|title='Just doing my bit': The 22yo who blocked the WannaCry cyberattack|date=2017-05-16|work=ABC News|language=en|archivedate=2017-05-17|archiveurl=https://web.archive.org/web/20170517060218/http://www.abc.net.au/news/2017-05-16/ransomware-cyberattack-marcus-hutchins-gives-interview/8530574|access-date=2017-05-19}}</ref>, 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в [[Twitter]]’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично{{ref+|Это, однако, не спасло от поражения компьютеры, доступ в Интернет которых подвергается жёсткой фильтрации (как, например, в некоторых корпоративных сетях). WannaCry в таком случае не находит Kill Switch, заблокированный политикой Интернет-доступа, и продолжает своё вредоносное действие<ref name="Zammis Clark" />.|К}} заблокировать распространение данной модификации вредоносной программы<ref>[https://vz.ru/news/2017/5/13/870094.html Вирус Wanna Cry случайно остановил бдительный программист] {{Wayback|url=https://vz.ru/news/2017/5/13/870094.html |date=20171001075154 }}, Взгляд, 13 мая 2017</ref><ref>{{Cite web |url=https://blog.kaspersky.ru/wannacry-ransomware/16147/ |title=Эпидемия шифровальщика WannaCry: что произошло и как защититься |access-date=2017-05-13 |archive-date=2017-05-14 |archive-url=https://web.archive.org/web/20170514132852/https://blog.kaspersky.ru/wannacry-ransomware/16147/ |url-status=live }}</ref>. 14 мая был зарегистрирован и второй домен<ref name="Symantec.Wannacry"/>. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём [[Hex-редактор|редактирования]] [[Исполняемый файл|исполняемого файла]], что позволяет предполагать происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был повреждён механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный{{ref+|Тем не менее, модифицированный WannaCry делает заражённую машину ещё более уязвимой для других угроз, использующих бэкдор DoublePulsar.|К}} вред<ref name="Github.Wannacrypt0r-FACTSHEET.md">{{cite web |author=rain-1 |url=https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 |title=WannaCry/WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm |date=2017-05-22 |work=Github.com |accessdate=2017-05-22 |archive-date=2017-05-18 |archive-url=https://web.archive.org/web/20170518133238/https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 |url-status=live }}</ref>.


Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола [[Server Message Block|SMB]] операционной системы Microsoft Windows, описанной в бюллетене MS17-010<ref name=MS17-010/>. Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через [[электронная почта|электронную почту]] или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут<ref name="pentestit">{{cite web|title=Анализ шифровальщика Wana Decrypt0r 2.0|url=https://habrahabr.ru/company/pentestit/blog/328606/|date=2017-05-14|publisher=[[Habrahabr]]|accessdate=2017-05-16|archive-date=2017-05-16|archive-url=https://web.archive.org/web/20170516044609/https://habrahabr.ru/company/pentestit/blog/328606/|deadlink=no}}</ref>.
Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола [[Server Message Block|SMB]] операционной системы Microsoft Windows, описанной в бюллетене MS17-010<ref name=MS17-010/>. Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через [[электронная почта|электронную почту]] или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут<ref name="pentestit">{{cite web|title=Анализ шифровальщика Wana Decrypt0r 2.0|url=https://habrahabr.ru/company/pentestit/blog/328606/|date=2017-05-14|publisher=[[Habrahabr]]|accessdate=2017-05-16|archive-date=2017-05-16|archive-url=https://web.archive.org/web/20170516044609/https://habrahabr.ru/company/pentestit/blog/328606/|url-status=live}}</ref>.


Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 — начиная с [[Windows XP]]/[[Windows Server 2003]] и заканчивая [[Windows 10]]/[[Windows Server 2016]]. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС<ref name=MS17-010/>. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки ([[Windows XP]], [[Windows Server 2003]] и [[Windows 8]])<ref>{{Cite news|title=Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003|last=Surur|url=https://mspoweruser.com/microsoft-release-wannacrypt-patch-unsupported-windows-xp-windows-8-windows-server-2003/|date=2017-05-13|accessdate=2017-05-13|archivedate=2020-05-29|archiveurl=https://web.archive.org/web/20200529174949/https://mspoweruser.com/microsoft-release-wannacrypt-patch-unsupported-windows-xp-windows-8-windows-server-2003/}}</ref><ref>{{Cite web|url=https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/|title=Customer Guidance for WannaCrypt attacks|last=MSRC Team|website=microsoft.com|accessdate=2017-05-13|archive-date=2017-05-13|archive-url=https://web.archive.org/web/20170513093123/https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/|deadlink=no}}</ref>.
Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 — начиная с [[Windows XP]]/[[Windows Server 2003]] и заканчивая [[Windows 10]]/[[Windows Server 2016]]. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС<ref name=MS17-010/>. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки ([[Windows XP]], [[Windows Server 2003]] и [[Windows 8]])<ref>{{Cite news|title=Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003|last=Surur|url=https://mspoweruser.com/microsoft-release-wannacrypt-patch-unsupported-windows-xp-windows-8-windows-server-2003/|date=2017-05-13|accessdate=2017-05-13|archivedate=2020-05-29|archiveurl=https://web.archive.org/web/20200529174949/https://mspoweruser.com/microsoft-release-wannacrypt-patch-unsupported-windows-xp-windows-8-windows-server-2003/}}</ref><ref>{{Cite web|url=https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/|title=Customer Guidance for WannaCrypt attacks|last=MSRC Team|website=microsoft.com|accessdate=2017-05-13|archive-date=2017-05-13|archive-url=https://web.archive.org/web/20170513093123/https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/|url-status=live}}</ref>.


== Хронология событий ==
== Хронология событий ==
[[Файл:Countries initially affected in WannaCry ransomware attack.svg|альт=|мини|300x300пкс|Страны, подвергшиеся атаке WannaCry]]
[[Файл:Countries initially affected in WannaCry ransomware attack.svg|альт=|мини|300x300пкс|Страны, подвергшиеся атаке WannaCry]]
[[12 мая]] [[2017 год]]а червь распространился по миру. Атаке подверглись многие страны, но больше всего инфицированных компьютеров в нескольких странах — [[Украина|Украине]], в [[Россия|России]], [[Индия|Индии]] и [[Тайвань|Тайване]]<ref name = "securelist">{{Cite web|url=https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/|title=WannaCry ransomware used in widespread attacks all over the world - Securelist|author=GReAT|website=|date=2017-05-12|publisher=[[Лаборатория Касперского]]|accessdate=2017-05-13|archive-date=2017-06-03|archive-url=https://web.archive.org/web/20170603085328/https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/|deadlink=no}}</ref><ref>{{Cite web|last=Сошников|first=Андрей.|url=http://www.bbc.com/russian/features-39905001|title=WannaCry: как работает крупнейшее компьютерное вымогательство|publisher=«[[Русская служба Би-би-си]]»|date=2017-05-13|accessdate=2017-05-14|archiveurl=https://archive.li/20170513063529/http://www.bbc.com/russian/features-39905001|archivedate=2017-05-13}}</ref><ref name="112вірус">{{cite web|url=https://ua.112.ua/svit/masshtabna-khakerska-ataka-vyvela-z-ladu-desiatky-tysiach-kompiuteriv-po-vsomu-svitu-389508.html|title=Масштабна хакерська атака вивела з ладу десятки тисяч комп'ютерів по всьому світу|accessdate=2017-05-12|archive-date=2017-05-17|archive-url=https://web.archive.org/web/20170517000757/https://ua.112.ua/svit/masshtabna-khakerska-ataka-vyvela-z-ladu-desiatky-tysiach-kompiuteriv-po-vsomu-svitu-389508.html|deadlink=yes}}</ref>.
[[12 мая]] [[2017 год]]а червь распространился по миру. Атаке подверглись многие страны, но больше всего инфицированных компьютеров в нескольких странах — на [[Украина|Украине]], в [[Россия|России]], [[Индия|Индии]] и [[Тайвань|Тайване]]<ref name = "securelist">{{Cite web|url=https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/|title=WannaCry ransomware used in widespread attacks all over the world - Securelist|author=GReAT|website=|date=2017-05-12|publisher=[[Лаборатория Касперского]]|accessdate=2017-05-13|archive-date=2017-06-03|archive-url=https://web.archive.org/web/20170603085328/https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/|url-status=live}}</ref><ref>{{Cite web|last=Сошников|first=Андрей.|url=http://www.bbc.com/russian/features-39905001|title=WannaCry: как работает крупнейшее компьютерное вымогательство|publisher=«[[Русская служба Би-би-си]]»|date=2017-05-13|accessdate=2017-05-14|archiveurl=https://archive.today/20170513063529/http://www.bbc.com/russian/features-39905001|archivedate=2017-05-13}}</ref><ref name="112вірус">{{cite web|url=https://ua.112.ua/svit/masshtabna-khakerska-ataka-vyvela-z-ladu-desiatky-tysiach-kompiuteriv-po-vsomu-svitu-389508.html|title=Масштабна хакерська атака вивела з ладу десятки тисяч комп'ютерів по всьому світу|accessdate=2017-05-12|archive-date=2017-05-17|archive-url=https://web.archive.org/web/20170517000757/https://ua.112.ua/svit/masshtabna-khakerska-ataka-vyvela-z-ladu-desiatky-tysiach-kompiuteriv-po-vsomu-svitu-389508.html|url-status=dead}}</ref>.


В Испании были атакованы ПК в компаниях ''[[Telefónica]]'', {{нет в источнике 2|''Gas Natural'', ''Iberdrola'' (поставщик электричества), ''Centro Nacional de Inteligencia'', банке ''Santander'' и филиале консалтинговой компании ''[[KPMG]]''|2|10|2021}}. В Великобритании были инфицированы компьютеры в больницах (NHS trusts)<ref name="theguardian">{{Cite news|title=What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?|first=Alex|last=Hern|url=https://www.theguardian.com/technology/2017/may/12/nhs-ransomware-cyber-attack-what-is-wanacrypt0r-20|work=[[The Guardian]]|location=London|date=2017-05-12|accessdate=2017-05-12|archivedate=2017-05-12|archiveurl=https://web.archive.org/web/20170512164110/https://www.theguardian.com/technology/2017/may/12/nhs-ransomware-cyber-attack-what-is-wanacrypt0r-20}}</ref>. В Германии были инфицированы компьютеры ''[[Deutsche Bahn]]''.
В Испании были атакованы ПК в компаниях ''[[Telefónica]]'', {{нет в источнике 2|''Gas Natural'', ''Iberdrola'' (поставщик электричества), ''Centro Nacional de Inteligencia'', банке ''Santander'' и филиале консалтинговой компании ''[[KPMG]]''|2|10|2021}}. В Великобритании были инфицированы компьютеры в больницах (NHS trusts)<ref name="theguardian">{{Cite news|title=What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?|first=Alex|last=Hern|url=https://www.theguardian.com/technology/2017/may/12/nhs-ransomware-cyber-attack-what-is-wanacrypt0r-20|work=[[The Guardian]]|location=London|date=2017-05-12|accessdate=2017-05-12|archivedate=2017-05-12|archiveurl=https://web.archive.org/web/20170512164110/https://www.theguardian.com/technology/2017/may/12/nhs-ransomware-cyber-attack-what-is-wanacrypt0r-20}}</ref>. В Германии были инфицированы компьютеры ''[[Deutsche Bahn]]''.
Строка 60: Строка 60:
В России пострадали министерства ([[МВД России]]<ref>{{cite news |url=https://ya62.ru/news/laworder/virus_vymogatel_zarazil_kompyutery_mvd_rossii_i_kompanii_megafon/ |title=Вирус-вымогатель заразил компьютеры МВД России и компании «Мегафон» |website=Рязанский портал ya62.ru |date=2017-05-12 |accessdate=2018-06-02 |archivedate=2017-05-17 |archiveurl=https://web.archive.org/web/20170517105041/http://ya62.ru/news/laworder/virus_vymogatel_zarazil_kompyutery_mvd_rossii_i_kompanii_megafon/ }}</ref>), [[Мегафон (компания)|МегаФон]]<ref>[https://tsn.ua/nauka_it/u-rosiyi-masshtabniy-virus-vimagach-atakuvav-komp-yuteri-ministerstv-sberbanku-i-megafona-928653.html У РОСІЇ МАСШТАБНИЙ ВІРУС-ВИМАГАЧ АТАКУВАВ КОМП’ЮТЕРИ МІНІСТЕРСТВ, «СБЕРБАНКА» І «МЕГАФОНА»] {{Wayback|url=https://tsn.ua/nauka_it/u-rosiyi-masshtabniy-virus-vimagach-atakuvav-komp-yuteri-ministerstv-sberbanku-i-megafona-928653.html |date=20170513030047 }}, ТСН, 13 травня 2016</ref>. Сообщения об успешных атаках на [[Сбербанк России|Сбербанк]] и [[МЧС России|МЧС]] были опровергнуты этими организациями<ref>[http://www.ntv.ru/novosti/1806360/ МЧС и Сбербанк успешно отразили кибератаки WannaCry] {{Wayback|url=http://www.ntv.ru/novosti/1806360/ |date=20170516204419 }}, НТВ, 12 мая 2017 г.</ref>. Пострадали информационные системы [[Российские железные дороги|РЖД]], однако червь был быстро локализован и не повлиял на движение поездов<ref>[http://www.interfax.ru/russia/562174 В РЖД заявили об отсутствии сбоев в работе компании из-за вирусной атаки] {{Wayback|url=http://www.interfax.ru/russia/562174 |date=20170520010031 }} // Интерфакс, 13.05.2017</ref>. Также Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) сообщил, что были зафиксированы «единичные факты компрометации ресурсов кредитных организаций», но последствия этих инцидентов были устранены в кратчайшие сроки<ref>[https://www.cbr.ru/fincert/fincert01/ Об атаке вируса Wannacry] {{Wayback|url=https://www.cbr.ru/fincert/fincert01/ |date=20170520065649 }} // «ФинЦЕРТ» Банка России, 19.05.2017</ref>.
В России пострадали министерства ([[МВД России]]<ref>{{cite news |url=https://ya62.ru/news/laworder/virus_vymogatel_zarazil_kompyutery_mvd_rossii_i_kompanii_megafon/ |title=Вирус-вымогатель заразил компьютеры МВД России и компании «Мегафон» |website=Рязанский портал ya62.ru |date=2017-05-12 |accessdate=2018-06-02 |archivedate=2017-05-17 |archiveurl=https://web.archive.org/web/20170517105041/http://ya62.ru/news/laworder/virus_vymogatel_zarazil_kompyutery_mvd_rossii_i_kompanii_megafon/ }}</ref>), [[Мегафон (компания)|МегаФон]]<ref>[https://tsn.ua/nauka_it/u-rosiyi-masshtabniy-virus-vimagach-atakuvav-komp-yuteri-ministerstv-sberbanku-i-megafona-928653.html У РОСІЇ МАСШТАБНИЙ ВІРУС-ВИМАГАЧ АТАКУВАВ КОМП’ЮТЕРИ МІНІСТЕРСТВ, «СБЕРБАНКА» І «МЕГАФОНА»] {{Wayback|url=https://tsn.ua/nauka_it/u-rosiyi-masshtabniy-virus-vimagach-atakuvav-komp-yuteri-ministerstv-sberbanku-i-megafona-928653.html |date=20170513030047 }}, ТСН, 13 травня 2016</ref>. Сообщения об успешных атаках на [[Сбербанк России|Сбербанк]] и [[МЧС России|МЧС]] были опровергнуты этими организациями<ref>[http://www.ntv.ru/novosti/1806360/ МЧС и Сбербанк успешно отразили кибератаки WannaCry] {{Wayback|url=http://www.ntv.ru/novosti/1806360/ |date=20170516204419 }}, НТВ, 12 мая 2017 г.</ref>. Пострадали информационные системы [[Российские железные дороги|РЖД]], однако червь был быстро локализован и не повлиял на движение поездов<ref>[http://www.interfax.ru/russia/562174 В РЖД заявили об отсутствии сбоев в работе компании из-за вирусной атаки] {{Wayback|url=http://www.interfax.ru/russia/562174 |date=20170520010031 }} // Интерфакс, 13.05.2017</ref>. Также Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) сообщил, что были зафиксированы «единичные факты компрометации ресурсов кредитных организаций», но последствия этих инцидентов были устранены в кратчайшие сроки<ref>[https://www.cbr.ru/fincert/fincert01/ Об атаке вируса Wannacry] {{Wayback|url=https://www.cbr.ru/fincert/fincert01/ |date=20170520065649 }} // «ФинЦЕРТ» Банка России, 19.05.2017</ref>.


По состоянию на 13:20 [[13 мая]], по данным сайта MalwareTech BotNet Tracker<ref>[https://intel.malwaretech.com/botnet/wcrypt MalwareTech Botnet Tracker: WCRYPT] {{Wayback|url=https://intel.malwaretech.com/botnet/wcrypt |date=20170513071100 }}, MalwareTech botnet tracker</ref>, инфицированы {{число|131233}} компьютеров во всем мире, из них онлайн — 1145.
По состоянию на 13:20 [[13 мая]], по данным сайта MalwareTech BotNet Tracker<ref>[https://intel.malwaretech.com/botnet/wcrypt MalwareTech Botnet Tracker: WCRYPT] {{Wayback|url=https://intel.malwaretech.com/botnet/wcrypt |date=20170513071100 }}, MalwareTech botnet tracker</ref>, инфицированы {{число|131233}} компьютера во всем мире, из них онлайн — 1145.


''Renault'' остановил работу своих заводов, чтобы проверить свои ПК<ref>[https://www.gazeta.ru/auto/news/2017/05/13/n_10042361.shtml Renault остановил несколько заводов после кибератаки] {{Wayback|url=https://www.gazeta.ru/auto/news/2017/05/13/n_10042361.shtml |date=20171021080825 }} // Газета, 13 мая 2017</ref>.
''Renault'' остановил работу своих заводов, чтобы проверить свои ПК<ref>[https://www.gazeta.ru/auto/news/2017/05/13/n_10042361.shtml Renault остановил несколько заводов после кибератаки] {{Wayback|url=https://www.gazeta.ru/auto/news/2017/05/13/n_10042361.shtml |date=20171021080825 }} // Газета, 13 мая 2017</ref>.


МВД России хотя сначала и опровергало заражение своей сети, позже подтвердило, что заражение произошло потому, что некоторые сотрудники ведомства подключались к интернету со своих компьютеров «посредством того или иного механизма»<ref>{{Cite web |url=http://zoom.cnews.ru/soft/news/top/2017-05-16_mvd_provodit_sluzhebnuyu_proverku_po_faktu_zarazheniya |title=WannaCry поразил МВД, потому что полицейские нелегально подключались к интернету |access-date=2017-05-21 |archive-date=2017-05-19 |archive-url=https://web.archive.org/web/20170519020032/http://zoom.cnews.ru/soft/news/top/2017-05-16_mvd_provodit_sluzhebnuyu_proverku_po_faktu_zarazheniya |deadlink=no }}</ref>. Ирина Волк, официальный представитель МВД России, заявила: «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором „[[Эльбрус-3М1|Эльбрус]]“»<ref name="макдиггер">{{Cite web |url=http://www.macdigger.ru/macall/rossijskij-processor-elbrus-spas-servery-mvd-ot-virusa-vymogatelya-atakovavshego-kompyutery-po-vsemu-miru.html |title=Российский процессор «Эльбрус» спас серверы МВД от вируса-вымогателя, атаковавшего компьютеры по всему миру |access-date=2017-05-13 |archive-date=2017-05-16 |archive-url=https://web.archive.org/web/20170516174527/http://www.macdigger.ru/macall/rossijskij-processor-elbrus-spas-servery-mvd-ot-virusa-vymogatelya-atakovavshego-kompyutery-po-vsemu-miru.html |deadlink=no }}</ref>. Количество заражённых ПК составило около 1000, что составляет около 1 % всего компьютерного парка<ref name="макдиггер"/>. В некоторых областях РФ отдельные подразделения МВД временно не работали<ref>[https://lenta.ru/news/2017/05/13/gibddataka/ В регионах из-за кибератаки управления ГИБДД прекратили выдавать права]</ref>.
МВД России, хотя сначала и опровергало заражение своей сети, позже подтвердило, что заражение произошло потому, что некоторые сотрудники ведомства подключались к интернету со своих компьютеров «посредством того или иного механизма»<ref>{{Cite web |url=http://zoom.cnews.ru/soft/news/top/2017-05-16_mvd_provodit_sluzhebnuyu_proverku_po_faktu_zarazheniya |title=WannaCry поразил МВД, потому что полицейские нелегально подключались к интернету |access-date=2017-05-21 |archive-date=2017-05-19 |archive-url=https://web.archive.org/web/20170519020032/http://zoom.cnews.ru/soft/news/top/2017-05-16_mvd_provodit_sluzhebnuyu_proverku_po_faktu_zarazheniya |url-status=live }}</ref>. Ирина Волк, официальный представитель МВД России, заявила: «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором „[[Эльбрус-3М1|Эльбрус]]“»<ref name="макдиггер">{{Cite web |url=http://www.macdigger.ru/macall/rossijskij-processor-elbrus-spas-servery-mvd-ot-virusa-vymogatelya-atakovavshego-kompyutery-po-vsemu-miru.html |title=Российский процессор «Эльбрус» спас серверы МВД от вируса-вымогателя, атаковавшего компьютеры по всему миру |access-date=2017-05-13 |archive-date=2017-05-16 |archive-url=https://web.archive.org/web/20170516174527/http://www.macdigger.ru/macall/rossijskij-processor-elbrus-spas-servery-mvd-ot-virusa-vymogatelya-atakovavshego-kompyutery-po-vsemu-miru.html |url-status=live }}</ref>. Количество заражённых ПК составило около 1000, что составляет около 1 % всего компьютерного парка<ref name="макдиггер"/>. В некоторых областях РФ отдельные подразделения МВД временно не работали<ref>[https://lenta.ru/news/2017/05/13/gibddataka/ В регионах из-за кибератаки управления ГИБДД прекратили выдавать права]</ref>.


По данным [[Европол]]а, по состоянию на 15 мая, WannaCry заразил порядка 200 тысяч компьютеров в более чем 150 странах мира<ref name="interfax-europol">{{cite web|title=Глава Европола сообщил о 200 тыс. пострадавших от глобальной кибератаки|url=http://www.interfax.ru/world/562248|date=2017-05-15|publisher=[[Interfax]]|accessdate=2017-05-16|archive-date=2017-05-29|archive-url=https://web.archive.org/web/20170529093622/http://www.interfax.ru/world/562248|deadlink=no}}</ref>. Однако прибыль от атаки для злоумышленников оказалась относительно небольшой: к этому времени на указанные биткойн-кошельки было проведено всего лишь 110 транзакций на общую сумму около 23,5 биткойна (примерно 65,8 тысячи долларов США)<ref name="interfax-profit">{{cite web|title=Создатели вируса WannaCry получили в качестве выкупа $42 тысячи|url=http://www.interfax.ru/world/562284|date=2017-05-15|publisher=[[Interfax]]|accessdate=2017-05-16|archive-date=2017-05-15|archive-url=https://web.archive.org/web/20170515035737/http://www.interfax.ru/world/562284|deadlink=no}}</ref>. В этот же день, выступая на пресс-конференции, президент [[Путин, Владимир Владимирович|В. В. Путин]], назвал ущерб для страны от всемирной кибератаки незначительным<ref>[https://ria.ru/world/20170515/1494304286.html Путин назвал ущерб от всемирной кибератаки для России незначительным] {{Wayback|url=https://ria.ru/world/20170515/1494304286.html |date=20170516235309 }} // Риа Новости, 15.05.2017</ref>.
По данным [[Европол]]а, по состоянию на 15 мая, WannaCry заразил порядка 200 тысяч компьютеров в более чем 150 странах мира<ref name="interfax-europol">{{cite web|title=Глава Европола сообщил о 200 тыс. пострадавших от глобальной кибератаки|url=http://www.interfax.ru/world/562248|date=2017-05-15|publisher=[[Interfax]]|accessdate=2017-05-16|archive-date=2017-05-29|archive-url=https://web.archive.org/web/20170529093622/http://www.interfax.ru/world/562248|url-status=live}}</ref>. Однако прибыль от атаки для злоумышленников оказалась относительно небольшой: к этому времени на указанные биткойн-кошельки было проведено всего лишь 110 транзакций на общую сумму около 23,5 биткойна (примерно 65,8 тысячи долларов США)<ref name="interfax-profit">{{cite web|title=Создатели вируса WannaCry получили в качестве выкупа $42 тысячи|url=http://www.interfax.ru/world/562284|date=2017-05-15|publisher=[[Interfax]]|accessdate=2017-05-16|archive-date=2017-05-15|archive-url=https://web.archive.org/web/20170515035737/http://www.interfax.ru/world/562284|url-status=live}}</ref>. В этот же день, выступая на пресс-конференции, президент [[Путин, Владимир Владимирович|В. В. Путин]] назвал ущерб для страны от всемирной кибератаки незначительным<ref>[https://ria.ru/world/20170515/1494304286.html Путин назвал ущерб от всемирной кибератаки для России незначительным] {{Wayback|url=https://ria.ru/world/20170515/1494304286.html |date=20170516235309 }} // Риа Новости, 15.05.2017</ref>.


На 17 мая 2017 г., по мнению компании Symantec, источник и способ первоначального распространения WannaCry неизвестен. Высказанные ранее мнения о том, что атака началась путём рассылки вредоносных сообщений электронной почты, не нашли подтверждения<ref name = "Symantec.Wannacry">{{cite web|title=Ransom.Wannacry|url=https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-051310-3522-99|publisher=[[Symantec]]|accessdate=2017-05-17|archive-date=2018-05-13|archive-url=https://web.archive.org/web/20180513011554/https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-051310-3522-99|deadlink=no}}</ref>.
На 17 мая 2017 г., по мнению компании Symantec, источник и способ первоначального распространения WannaCry неизвестен. Высказанные ранее мнения о том, что атака началась путём рассылки вредоносных сообщений электронной почты, не нашли подтверждения<ref name = "Symantec.Wannacry">{{cite web|title=Ransom.Wannacry|url=https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-051310-3522-99|publisher=[[Symantec]]|accessdate=2017-05-17|archive-date=2018-05-13|archive-url=https://web.archive.org/web/20180513011554/https://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2017-051310-3522-99|url-status=live}}</ref>.


По состоянию на [[26 мая]] 2017 г., по данным сайта ''MalwareTech BotNet Tracker'', инфицированы более {{число|410000}} компьютеров во всем мире, из них онлайн — {{число|170000}}<ref name="MalwareTech_WCRYPT">[https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all MalwareTech Botnet Tracker: WCRYPT] {{Wayback|url=https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all |date=20170519235754 }}, MalwareTech botnet tracker</ref>.
По состоянию на [[26 мая]] 2017 г., по данным сайта ''MalwareTech BotNet Tracker'', инфицированы более {{число|410000}} компьютеров во всем мире, из них онлайн — {{число|170000}}<ref name="MalwareTech_WCRYPT">[https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all MalwareTech Botnet Tracker: WCRYPT] {{Wayback|url=https://intel.malwaretech.com/botnet/wcrypt/?t=24h&bid=all |date=20170519235754 }}, MalwareTech botnet tracker</ref>.


Для приёма выкупа от жертв используются три прописанных в программе электронных кошелька. Как и во всех таких случаях, их баланс и информация о денежных переводах являются общедоступными, в то время как владелец кошелька остаётся неизвестным<ref>{{cite web|last1=Collins|first1=Keith|title=Watch as these bitcoin wallets receive ransomware payments from the global cyberattack|url=https://qz.com/982993/watch-as-these-bitcoin-wallets-receive-ransomware-payments-from-the-ongoing-cyberattack/|work=Quartz|access-date=2017-05-14|archive-date=2021-06-04|archive-url=https://web.archive.org/web/20210604030716/https://qz.com/982993/watch-as-these-bitcoin-wallets-receive-ransomware-payments-from-the-ongoing-cyberattack/|deadlink=no}}</ref>. По состоянию на 25 мая 2017 г., на счета злоумышленников совершено 302 перевода на общую сумму {{число|126742}} [[Доллар США|долларов США]]<ref>{{cite web|title=@actual_ransom tweets|url=https://twitter.com/actual_ransom?ref_src=twsrc%5Etfw&ref_url=https%3A%2F%2Fqz.com%2F982993%2Fwatch-as-these-bitcoin-wallets-receive-ransomware-payments-from-the-ongoing-cyberattack%2F|website=Twitter|accessdate=2017-05-19}}</ref>.
Для приёма выкупа от жертв используются три прописанных в программе электронных кошелька. Как и во всех таких случаях, их баланс и информация о денежных переводах являются общедоступными, в то время как владелец кошелька остаётся неизвестным<ref>{{cite web|last1=Collins|first1=Keith|title=Watch as these bitcoin wallets receive ransomware payments from the global cyberattack|url=https://qz.com/982993/watch-as-these-bitcoin-wallets-receive-ransomware-payments-from-the-ongoing-cyberattack/|work=Quartz|access-date=2017-05-14|archive-date=2021-06-04|archive-url=https://web.archive.org/web/20210604030716/https://qz.com/982993/watch-as-these-bitcoin-wallets-receive-ransomware-payments-from-the-ongoing-cyberattack/|url-status=live}}</ref>. По состоянию на 25 мая 2017 г. на счета злоумышленников совершено 302 перевода на общую сумму {{число|126742}} [[Доллар США|долларов США]]<ref>{{cite web|title=@actual_ransom tweets|url=https://twitter.com/actual_ransom?ref_src=twsrc%5Etfw&ref_url=https%3A%2F%2Fqz.com%2F982993%2Fwatch-as-these-bitcoin-wallets-receive-ransomware-payments-from-the-ongoing-cyberattack%2F|website=Twitter|accessdate=2017-05-19}}</ref>.


По состоянию на 6 июня 2017 г., по данным сайта ''MalwareTech BotNet Tracker'', заражены более {{число|520000}} компьютеров и {{число|200000}} IP-адресов<ref name = "MalwareTech_WCRYPT" />.
По состоянию на 6 июня 2017 г., по данным сайта ''MalwareTech BotNet Tracker'', заражены более {{число|520000}} компьютеров и {{число|200000}} IP-адресов<ref name = "MalwareTech_WCRYPT" />.


По мнению некоторых экспертов, распространение вируса могло начаться вследствие утечки до того, как работа над ним была завершена. В пользу незаконченности вируса говорит наличие всего трёх вшитых в код биткойн-кошельков и отсутствие шифрования при обращении к доменам, активирующим механизм самоуничтожения<ref>{{Cite web |url=http://www.securitylab.ru/news/486771.php |title=Эпидемия WannaCry могла произойти из-за случайной утечки |website=SecurityLab.ru |date=2017-06-19 |access-date=2017-06-19 |archive-date=2017-09-11 |archive-url=https://web.archive.org/web/20170911175653/http://www.securitylab.ru/news/486771.php |deadlink=no }}</ref>.
По мнению некоторых экспертов, распространение вируса могло начаться вследствие утечки до того, как работа над ним была завершена. В пользу незаконченности вируса говорит наличие всего трёх вшитых в код биткойн-кошельков и отсутствие шифрования при обращении к доменам, активирующим механизм самоуничтожения<ref>{{Cite web |url=http://www.securitylab.ru/news/486771.php |title=Эпидемия WannaCry могла произойти из-за случайной утечки |website=SecurityLab.ru |date=2017-06-19 |access-date=2017-06-19 |archive-date=2017-09-11 |archive-url=https://web.archive.org/web/20170911175653/http://www.securitylab.ru/news/486771.php |url-status=live }}</ref>.


28 марта 2018 г. операционные системы авиастроительной корпорации [[Boeing]] подверглись кибератакам с применением WannaCry. Компанией были оперативно проведены восстановительные мероприятия программного обеспечения, и вирус не повлиял на производственную деятельность Boeing<ref>{{Cite web |url=http://tass.ru/ekonomika/5076667 |title=СМИ: вирус WannaCry атаковал Boeing |access-date=2018-03-30 |archive-date=2018-03-30 |archive-url=https://web.archive.org/web/20180330113140/http://tass.ru/ekonomika/5076667 |deadlink=no }}</ref>.
28 марта 2018 г. операционные системы авиастроительной корпорации [[Boeing]] подверглись кибератакам с применением WannaCry. Компанией были оперативно проведены восстановительные мероприятия программного обеспечения и вирус не повлиял на производственную деятельность Boeing<ref>{{Cite web |url=http://tass.ru/ekonomika/5076667 |title=СМИ: вирус WannaCry атаковал Boeing |access-date=2018-03-30 |archive-date=2018-03-30 |archive-url=https://web.archive.org/web/20180330113140/http://tass.ru/ekonomika/5076667 |url-status=live }}</ref>.


== Оценки ==
== Оценки ==
Строка 130: Строка 130:


== Авторство программы ==
== Авторство программы ==
14 мая президент и главный юрисконсульт компании [[Microsoft]] Брэд Смит заявил, что данный вирус использовал уязвимость, информация о которой была украдена у [[Агентство национальной безопасности|Агентства национальной безопасности]] (АНБ) США<ref>{{Cite news|title=The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack - Microsoft on the Issues|url=https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0002jpbcn1b4fe72ztj1n1e5myccd|work=Microsoft on the Issues|date=2017-05-14|accessdate=2017-05-16|language=en|archivedate=2017-05-16|archiveurl=https://web.archive.org/web/20170516234921/https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0002jpbcn1b4fe72ztj1n1e5myccd}}</ref><ref>{{cite web|url=http://www.profi-forex.org/novosti-mira/entry1008307753.html|title=Правительства и спецслужбы виновны в атаке вируса WannaCry – Microsoft|author=Биржевой лидер|publisher=www.profi-forex.org|lang=ru|accessdate=2017-05-16|archive-date=2017-05-19|archive-url=https://web.archive.org/web/20170519001341/http://www.profi-forex.org/novosti-mira/entry1008307753.html|deadlink=no}}</ref>.
14 мая президент и главный юрисконсульт компании [[Microsoft]] Брэд Смит заявил, что данный вирус использовал уязвимость, информация о которой была украдена у [[Агентство национальной безопасности|Агентства национальной безопасности]] (АНБ) США<ref>{{Cite news|title=The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack - Microsoft on the Issues|url=https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0002jpbcn1b4fe72ztj1n1e5myccd|work=Microsoft on the Issues|date=2017-05-14|accessdate=2017-05-16|language=en|archivedate=2017-05-16|archiveurl=https://web.archive.org/web/20170516234921/https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0002jpbcn1b4fe72ztj1n1e5myccd}}</ref><ref>{{cite web|url=http://www.profi-forex.org/novosti-mira/entry1008307753.html|title=Правительства и спецслужбы виновны в атаке вируса WannaCry – Microsoft|author=Биржевой лидер|publisher=www.profi-forex.org|lang=ru|accessdate=2017-05-16|archive-date=2017-05-19|archive-url=https://web.archive.org/web/20170519001341/http://www.profi-forex.org/novosti-mira/entry1008307753.html|url-status=live}}</ref>.


Позднее, 15 мая президент РФ Владимир Путин напомнил об этих словах руководства ''Microsoft'', назвав спецслужбы США «первичным источником вируса», и заявил, что «Россия здесь совершенно ни при чём»<ref>{{Cite news|title=Путин: первичным источником мировой кибератаки являются спецслужбы США|url=https://www.gazeta.ru/tech/news/2017/05/15/n_10048127.shtml|work=Газета.Ru|accessdate=2017-05-16|archivedate=2017-10-21|archiveurl=https://web.archive.org/web/20171021075119/https://www.gazeta.ru/tech/news/2017/05/15/n_10048127.shtml}}</ref><ref>[http://www.kommersant.ru/doc/3297338 Владимир Путин назвал спецслужбы США источником вируса WannaCry] {{Wayback|url=http://www.kommersant.ru/doc/3297338 |date=20170516125522 }} // Коммерсант.ru, 15.05.2017</ref>. В то же время секретарь [[Совет Безопасности Российской Федерации|Совета безопасности РФ]] Николай Патрушев заявил об отсутствии доказательств того, что спецслужбы каких-либо стран причастны к массовому распространению по всему миру вируса WannaCry. По его словам, если бы за хакерской атакой стояли спецслужбы, её последствия «были бы значительно более серьёзные». Однако он признал, что в нападении участвовали высококвалифицированные специалисты<ref>[https://lenta.ru/news/2017/05/16/patrush/ Патрушев отказался возложить вину за атаку вируса WannaCry на спецслужбы] {{Wayback|url=https://lenta.ru/news/2017/05/16/patrush/ |date=20170516124755 }} // Lenta.ru, 16.05.2017</ref>.
Позднее, 15 мая президент РФ Владимир Путин напомнил об этих словах руководства ''Microsoft'', назвав спецслужбы США «первичным источником вируса», и заявил, что «Россия здесь совершенно ни при чём»<ref>{{Cite news|title=Путин: первичным источником мировой кибератаки являются спецслужбы США|url=https://www.gazeta.ru/tech/news/2017/05/15/n_10048127.shtml|work=Газета.Ru|accessdate=2017-05-16|archivedate=2017-10-21|archiveurl=https://web.archive.org/web/20171021075119/https://www.gazeta.ru/tech/news/2017/05/15/n_10048127.shtml}}</ref><ref>[http://www.kommersant.ru/doc/3297338 Владимир Путин назвал спецслужбы США источником вируса WannaCry] {{Wayback|url=http://www.kommersant.ru/doc/3297338 |date=20170516125522 }} // Коммерсант.ru, 15.05.2017</ref>. В то же время секретарь [[Совет Безопасности Российской Федерации|Совета безопасности РФ]] Николай Патрушев заявил об отсутствии доказательств того, что спецслужбы каких-либо стран причастны к массовому распространению по всему миру вируса WannaCry. По его словам, если бы за хакерской атакой стояли спецслужбы, её последствия «были бы значительно более серьёзные». Однако он признал, что в нападении участвовали высококвалифицированные специалисты<ref>[https://lenta.ru/news/2017/05/16/patrush/ Патрушев отказался возложить вину за атаку вируса WannaCry на спецслужбы] {{Wayback|url=https://lenta.ru/news/2017/05/16/patrush/ |date=20170516124755 }} // Lenta.ru, 16.05.2017</ref>.


Атака стала возможной благодаря наличию уязвимости в реализации компанией ''Microsoft'' сетевого протокола [[Server Message Block]] (SMB)<ref name=MS17-010>{{Cite web |url=https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |title=Microsoft Security Bulletin MS17-010 |access-date=2017-05-13 |archive-date=2017-05-21 |archive-url=https://web.archive.org/web/20170521032215/https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |deadlink=no }}</ref>. Уязвимость некоторое время была известна Агентству национальной безопасности США и имела реализацию в виде готового инструмента ([[эксплойт]]а) для проведения атаки [[EternalBlue]]. Данный инструмент, в числе многих, попал в распоряжение хакерской группы [[The Shadow Brokers]] и был опубликован ею в свободном доступе 14 апреля 2017 года<ref name = ":0"/><ref name=ars>{{cite web|title=NSA-leaking Shadow Brokers just dumped its most damaging release yet|url=https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/|accessdate=2017-05-13|archive-date=2017-05-13|archive-url=https://web.archive.org/web/20170513050743/https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/|deadlink=no}}</ref><ref>{{cite web|url=https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/|title=An NSA-derived ransomware worm is shutting down computers worldwide|work=[[Ars Technica]]|accessdate=2017-05-13|archive-date=2017-05-12|archive-url=https://web.archive.org/web/20170512235114/https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/|deadlink=no}}</ref><ref name=":1">{{Cite news|url=http://www.ibtimes.co.uk/president-trump-what-fk-are-you-doing-say-shadow-brokers-dump-more-nsa-hacking-tools-1616141|title='President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools|last=Ghosh|first=Agamoni|date=2017-04-09|work=[[International Business Times UK]]|access-date=2017-04-10|archive-url=|archive-date=|dead-url=|accessdate=2017-05-16|archivedate=2017-05-14|archiveurl=https://web.archive.org/web/20170514041019/http://www.ibtimes.co.uk/president-trump-what-fk-are-you-doing-say-shadow-brokers-dump-more-nsa-hacking-tools-1616141}}</ref><ref>{{Cite news|url=http://www.bbc.com/news/technology-39553241|title='NSA malware' released by Shadow Brokers hacker group|last=|first=|date=2017-04-10|work=[[BBC News]]|access-date=2017-04-10|archive-url=|archive-date=|dead-url=|language=en|accessdate=2017-05-16|archivedate=2017-05-23|archiveurl=https://web.archive.org/web/20170523123710/http://www.bbc.com/news/technology-39553241}}</ref>. По данным [[WikiLeaks]], изначально [[EternalBlue]] был разработан хакерской группой [[Equation Group]], которая была связана с АНБ, а затем выкраден ''The Shadow Brokers''<ref>{{cite web|title=Президент Microsoft рассказал о связи разработок АНБ с недавней кибератакой|url=http://www.interfax.ru/world/562308|date=2017-05-15|publisher=[[Interfax]]|accessdate=2017-05-17|archive-date=2017-05-16|archive-url=https://web.archive.org/web/20170516223650/http://www.interfax.ru/world/562308|deadlink=no}}</ref>.
Атака стала возможной благодаря наличию уязвимости в реализации компанией ''Microsoft'' сетевого протокола [[Server Message Block]] (SMB)<ref name=MS17-010>{{Cite web |url=https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |title=Microsoft Security Bulletin MS17-010 |access-date=2017-05-13 |archive-date=2017-05-21 |archive-url=https://web.archive.org/web/20170521032215/https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |url-status=live }}</ref>. Уязвимость некоторое время была известна Агентству национальной безопасности США и имела реализацию в виде готового инструмента ([[эксплойт]]а) для проведения атаки [[EternalBlue]]. Данный инструмент, в числе многих, попал в распоряжение хакерской группы [[The Shadow Brokers]] и был опубликован ею в свободном доступе 14 апреля 2017 года<ref name = ":0"/><ref name=ars>{{cite web|title=NSA-leaking Shadow Brokers just dumped its most damaging release yet|url=https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/|accessdate=2017-05-13|archive-date=2017-05-13|archive-url=https://web.archive.org/web/20170513050743/https://arstechnica.com/security/2017/04/nsa-leaking-shadow-brokers-just-dumped-its-most-damaging-release-yet/|url-status=live}}</ref><ref>{{cite web|url=https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/|title=An NSA-derived ransomware worm is shutting down computers worldwide|work=[[Ars Technica]]|accessdate=2017-05-13|archive-date=2017-05-12|archive-url=https://web.archive.org/web/20170512235114/https://arstechnica.com/security/2017/05/an-nsa-derived-ransomware-worm-is-shutting-down-computers-worldwide/|url-status=live}}</ref><ref name=":1">{{Cite news|url=http://www.ibtimes.co.uk/president-trump-what-fk-are-you-doing-say-shadow-brokers-dump-more-nsa-hacking-tools-1616141|title='President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools|last=Ghosh|first=Agamoni|date=2017-04-09|work=[[International Business Times UK]]|archive-url=https://web.archive.org/web/20170514041019/http://www.ibtimes.co.uk/president-trump-what-fk-are-you-doing-say-shadow-brokers-dump-more-nsa-hacking-tools-1616141|archive-date=2017-05-14|url-status=|access-date=2017-05-16}}</ref><ref>{{Cite news|url=http://www.bbc.com/news/technology-39553241|title='NSA malware' released by Shadow Brokers hacker group|last=|first=|date=2017-04-10|work=[[BBC News]]|archive-url=https://web.archive.org/web/20170523123710/http://www.bbc.com/news/technology-39553241|archive-date=2017-05-23|url-status=|language=en|access-date=2017-05-16}}</ref>. По данным [[WikiLeaks]], изначально [[EternalBlue]] был разработан хакерской группой [[Equation Group]], которая была связана с АНБ, а затем выкраден ''The Shadow Brokers''<ref>{{cite web|title=Президент Microsoft рассказал о связи разработок АНБ с недавней кибератакой|url=http://www.interfax.ru/world/562308|date=2017-05-15|publisher=[[Interfax]]|accessdate=2017-05-17|archive-date=2017-05-16|archive-url=https://web.archive.org/web/20170516223650/http://www.interfax.ru/world/562308|url-status=live}}</ref>.


=== Анализ программного кода ===
=== Анализ программного кода ===
Эксперты по современной индустриальной кибербезопасности полагают, что исполняемый код червя ''WannaCry'' сам по себе не отличается особенной технической изощрённостью<ref name=Ackerman/>. Однако, специалисты [[Лаборатория Касперского|Лаборатории Касперского]] и антивирусной компании [[Symantec]], основываясь на опубликованном исследователем из [[Google (компания)|Google]] Нилом Мехтой твите, обратили внимание, что сигнатуры кода WannaCry совпадают с сигнатурой кода, предположительно, использовавшегося в феврале [[2015 год]]а хакерской группой [[Lazarus Group]]<ref>{{cite web|author=GReAT|title=WannaCry and Lazarus Group – the missing link?|url=https://securelist.com/wannacry-and-lazarus-group-the-missing-link/78431/|date=2017-05-15|publisher=Securelist|accessdate=2020-05-19|archive-date=2020-05-01|archive-url=https://web.archive.org/web/20200501133351/https://securelist.com/wannacry-and-lazarus-group-the-missing-link/78431/|deadlink=no}}</ref><ref name="guardian">[https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group WannaCry ransomware has links to North Korea, cybersecurity experts say] {{Wayback|url=https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group |date=20170516184006 }} // The Guardian, 15.05.2017</ref>, подозреваемой в связях с правительством [[Корейская Народно-Демократическая Республика|КНДР]]. Этой группе приписывается проведение множества громких компьютерных атак 2012—2014 годов, включая атаку на банковскую инфраструктуру [[SWIFT]] и [[взлом серверов Sony Pictures Entertainment]]<ref>{{cite web|title=Cyber security firm: more evidence North Korea linked to Bangladesh heist|url=https://www.reuters.com/article/us-cyber-heist-bangladesh-northkorea-idUSKBN1752I4?il=0|date=2017-04-03|publisher=[[Рейтер]]|accessdate=2017-05-17|archive-date=2017-04-06|archive-url=https://web.archive.org/web/20170406005024/http://www.reuters.com/article/us-cyber-heist-bangladesh-northkorea-idUSKBN1752I4?il=0|deadlink=no}}</ref>. Эту гипотезу на основании собственного исследования подтвердил эксперт [[Южная Корея|южнокорейской]] компании ''«Hauri Labs»'' Саймон Чой (Simon Choi), являющийся советником южнокорейской полиции и [[Национальное агентство разведки (Республика Корея)|Национального агентства разведки]]. По его словам, код вируса совпадает с северокорейскими кодами вредоносных программ-[[бэкдор]]ов<ref name="reuters">{{Cite web |url=https://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC |title=Researchers see possible North Korea link to global cyber attack |access-date=2017-09-29 |archive-date=2017-05-21 |archive-url=https://web.archive.org/web/20170521035543/http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC |deadlink=no }}</ref>.
Эксперты по современной индустриальной кибербезопасности полагают, что исполняемый код червя ''WannaCry'' сам по себе не отличается особенной технической изощрённостью<ref name=Ackerman/>. Однако, специалисты [[Лаборатория Касперского|Лаборатории Касперского]] и антивирусной компании [[Symantec]], основываясь на опубликованном исследователем из [[Google (компания)|Google]] Нилом Мехтой твите, обратили внимание, что сигнатуры кода WannaCry совпадают с сигнатурой кода, предположительно использовавшегося в феврале [[2015 год]]а хакерской группой [[Lazarus Group]]<ref>{{cite web|author=GReAT|title=WannaCry and Lazarus Group – the missing link?|url=https://securelist.com/wannacry-and-lazarus-group-the-missing-link/78431/|date=2017-05-15|publisher=Securelist|accessdate=2020-05-19|archive-date=2020-05-01|archive-url=https://web.archive.org/web/20200501133351/https://securelist.com/wannacry-and-lazarus-group-the-missing-link/78431/|url-status=live}}</ref><ref name="guardian">[https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group WannaCry ransomware has links to North Korea, cybersecurity experts say] {{Wayback|url=https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group |date=20170516184006 }} // The Guardian, 15.05.2017</ref>, подозреваемой в связях с правительством [[Корейская Народно-Демократическая Республика|КНДР]]. Этой группе приписывается проведение множества громких компьютерных атак 2012—2014 годов, включая атаку на банковскую инфраструктуру [[SWIFT]] и [[взлом серверов Sony Pictures Entertainment]]<ref>{{cite web|title=Cyber security firm: more evidence North Korea linked to Bangladesh heist|url=https://www.reuters.com/article/us-cyber-heist-bangladesh-northkorea-idUSKBN1752I4?il=0|date=2017-04-03|publisher=[[Рейтер]]|accessdate=2017-05-17|archive-date=2017-04-06|archive-url=https://web.archive.org/web/20170406005024/http://www.reuters.com/article/us-cyber-heist-bangladesh-northkorea-idUSKBN1752I4?il=0|url-status=live}}</ref>. Эту гипотезу на основании собственного исследования подтвердил эксперт [[Южная Корея|южнокорейской]] компании ''«Hauri Labs»'' Саймон Чой (Simon Choi), являющийся советником южнокорейской полиции и [[Национальное агентство разведки (Республика Корея)|Национального агентства разведки]]. По его словам, код вируса совпадает с северокорейскими кодами вредоносных программ-[[бэкдор]]ов<ref name="reuters">{{Cite web |url=https://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC |title=Researchers see possible North Korea link to global cyber attack |access-date=2017-09-29 |archive-date=2017-05-21 |archive-url=https://web.archive.org/web/20170521035543/http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC |url-status=live }}</ref>.


На Западе считают, что ''Lazarus Group'' связана с киберподразделением {{iw|Разведывательное Управление Генштаба КНА|Разведывательного Управления Генштаба|en|Reconnaissance General Bureau}} [[Корейская народная армия|КНА]] КНДР, известным как [[Подразделение 121]] ({{lang-en|Bureau 121}}). В [[2015 год]]у [[перебежчик]] из КНДР, профессор [[информатика|информатики]] Ким Хен Кван в беседе с [[Би-би-си]] рассказал об этой организации. По его словам, ''Подразделение 121'' — один из приоритетных проектов правительства КНДР, получающий очень серьёзное финансирование. В подразделении служат около 6000 «военных хакеров», в задачи которых входят атаки на инфраструктурные объекты — линии связи и коммуникационные спутники. Хакеров набирают из числа студентов Института автоматизации [[Политехнический университет имени Ким Чхэка|Политехнического университета имени Ким Чхэка]] в [[Пхеньян]]е<ref name="bbc2">[http://www.bbc.com/russian/news-40298853 Центр кибербезопасности Британии: вирус WannaCry запущен из КНДР] {{Wayback|url=http://www.bbc.com/russian/news-40298853 |date=20170620073347 }} // [[Би-би-си]], 16.06.2017</ref>.
На Западе считают, что ''Lazarus Group'' связана с киберподразделением {{iw|Разведывательное Управление Генштаба КНА|Разведывательного управления Генштаба|en|Reconnaissance General Bureau}} [[Корейская народная армия|КНА]] КНДР, известным как [[Подразделение 121]] ({{lang-en|Bureau 121}}). В [[2015 год]]у [[перебежчик]] из КНДР профессор [[информатика|информатики]] Ким Хен Кван в беседе с [[Би-би-си]] рассказал об этой организации. По его словам, ''Подразделение 121'' — один из приоритетных проектов правительства КНДР, получающий очень серьёзное финансирование. В подразделении служат около 6000 «военных хакеров», в задачи которых входят атаки на инфраструктурные объекты — линии связи и коммуникационные спутники. Хакеров набирают из числа студентов Института автоматизации [[Политехнический университет имени Ким Чхэка|Политехнического университета имени Ким Чхэка]] в [[Пхеньян]]е<ref name="bbc2">[http://www.bbc.com/russian/news-40298853 Центр кибербезопасности Британии: вирус WannaCry запущен из КНДР] {{Wayback|url=http://www.bbc.com/russian/news-40298853 |date=20170620073347 }} // [[Би-би-си]], 16.06.2017</ref>.


В то же время, по заявлениям ''Лаборатории Касперского'' и ''Symantec'', пока ещё преждевременно делать выводы о том, замешана ли Северная Корея в атаках. Джон Миллер, эксперт компании ''[[FireEye]]'', специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки ''Lazarus'', недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника<ref name="reuters"/>. Также фрагменты кода ''Lazarus Group'' могли быть просто использованы другой хакерской группой<ref>{{cite news |title=Experts question North Korea role in WannaCry cyberattack |author=Eric Talmadge |date=2017-05-12 |agency=AP |lang=en |url=https://phys.org/news/2017-05-experts-north-korea-role-wannacry.html |accessdate=2018-06-02 |archivedate=2018-09-10 |archiveurl=https://web.archive.org/web/20180910202959/https://phys.org/news/2017-05-experts-north-korea-role-wannacry.html }}</ref><ref name="bbc1">[http://www.bbc.com/ukrainian/features-russian-39937327 В создании вируса WannaCry подозревают Северную Корею] {{Wayback|url=http://www.bbc.com/ukrainian/features-russian-39937327 |date=20170703063149 }} // [[Би-би-си]], 16.05.2017</ref>, в том числе и преднамеренно, с целью запутать следствие и помешать выявить настоящего злоумышленника<ref name="guardian"/>. Официальный представитель [[Европол]]а Ян Оп Ген Орт также отметил, что Европол пока не может подтвердить информацию о причастности КНДР<ref name="RIA">[https://ria.ru/world/20170516/1494389146.html Европол не может подтвердить, что вирус WannaCry был создан в КНДР] {{Wayback|url=https://ria.ru/world/20170516/1494389146.html |date=20170517222555 }} // РИА Новости, 16.05.2017</ref>. Заместитель постоянного представителя КНДР при [[Организация Объединённых Наций|ООН]] Ким Ин Рен назвал подозрения в адрес КНДР «смехотворными»<ref>[http://izvestia.ru/news/711665 КНДР считает смехотворными заявления о причастности к мировой кибератаке] {{Wayback|url=http://izvestia.ru/news/711665 |date=20170523020549 }} // Известия, 19.05.2017</ref>.
В то же время, по заявлениям ''Лаборатории Касперского'' и ''Symantec'', пока ещё преждевременно делать выводы о том, замешана ли Северная Корея в атаках. Джон Миллер, эксперт компании ''[[FireEye]]'', специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки ''Lazarus'', недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника<ref name="reuters"/>. Также фрагменты кода ''Lazarus Group'' могли быть просто использованы другой хакерской группой<ref>{{cite news |title=Experts question North Korea role in WannaCry cyberattack |author=Eric Talmadge |date=2017-05-12 |agency=AP |lang=en |url=https://phys.org/news/2017-05-experts-north-korea-role-wannacry.html |accessdate=2018-06-02 |archivedate=2018-09-10 |archiveurl=https://web.archive.org/web/20180910202959/https://phys.org/news/2017-05-experts-north-korea-role-wannacry.html }}</ref><ref name="bbc1">[http://www.bbc.com/ukrainian/features-russian-39937327 В создании вируса WannaCry подозревают Северную Корею] {{Wayback|url=http://www.bbc.com/ukrainian/features-russian-39937327 |date=20170703063149 }} // [[Би-би-си]], 16.05.2017</ref>, в том числе и преднамеренно, с целью запутать следствие и помешать выявить настоящего злоумышленника<ref name="guardian"/>. Официальный представитель [[Европол]]а Ян Оп Ген Орт также отметил, что Европол пока не может подтвердить информацию о причастности КНДР<ref name="RIA">[https://ria.ru/world/20170516/1494389146.html Европол не может подтвердить, что вирус WannaCry был создан в КНДР] {{Wayback|url=https://ria.ru/world/20170516/1494389146.html |date=20170517222555 }} // РИА Новости, 16.05.2017</ref>. Заместитель постоянного представителя КНДР при [[Организация Объединённых Наций|ООН]] Ким Ин Рен назвал подозрения в адрес КНДР «смехотворными»<ref>[http://izvestia.ru/news/711665 КНДР считает смехотворными заявления о причастности к мировой кибератаке] {{Wayback|url=http://izvestia.ru/news/711665 |date=20170523020549 }} // Известия, 19.05.2017</ref>.
Строка 145: Строка 145:
Позже [[Центр национальной компьютерной безопасности Великобритании|Национальный центр кибербезопасности Великобритании]] (NCSC), возглавляющий международное расследование<ref name="bbc2" />, подтвердил гипотезу о причастности ''Lazarus Group'' к кибератаке<ref name="bbc2" />. По словам президента ''Microsoft'' Брэда Смита, ''«на данном этапе все осведомленные наблюдатели заключили, что причиной WannaCry была КНДР, которая использовала киберинструменты или оружие, украденное из Агентства национальной безопасности (АНБ) в США»''<ref>[https://ria.ru/world/20171014/1506849819.html Президент ''Microsoft'' считает, что за кибератаками WannaCry стоит КНДР] {{Wayback|url=https://ria.ru/world/20171014/1506849819.html |date=20171113170846 }} // РИА Новости, 14.10.2017</ref>. С этим мнением согласно и правительство Великобритании<ref>[https://ria.ru/world/20171027/1507678054.html Власти Британии уверены, что за хакерской атакой WannaCry в мае стоит КНДР] {{Wayback|url=https://ria.ru/world/20171027/1507678054.html |date=20171113170858 }} // РИА Новости, 27.10.2017</ref>.
Позже [[Центр национальной компьютерной безопасности Великобритании|Национальный центр кибербезопасности Великобритании]] (NCSC), возглавляющий международное расследование<ref name="bbc2" />, подтвердил гипотезу о причастности ''Lazarus Group'' к кибератаке<ref name="bbc2" />. По словам президента ''Microsoft'' Брэда Смита, ''«на данном этапе все осведомленные наблюдатели заключили, что причиной WannaCry была КНДР, которая использовала киберинструменты или оружие, украденное из Агентства национальной безопасности (АНБ) в США»''<ref>[https://ria.ru/world/20171014/1506849819.html Президент ''Microsoft'' считает, что за кибератаками WannaCry стоит КНДР] {{Wayback|url=https://ria.ru/world/20171014/1506849819.html |date=20171113170846 }} // РИА Новости, 14.10.2017</ref>. С этим мнением согласно и правительство Великобритании<ref>[https://ria.ru/world/20171027/1507678054.html Власти Британии уверены, что за хакерской атакой WannaCry в мае стоит КНДР] {{Wayback|url=https://ria.ru/world/20171027/1507678054.html |date=20171113170858 }} // РИА Новости, 27.10.2017</ref>.


Также, по словам экспертов, временные метки в исходном коде WannaCry установлены в [[часовой пояс|часовом поясе]] [[UTC+9:00|UTC +9]]<ref name="bbc1" />, в котором расположены некоторые страны [[Восточная Азия|Восточной Азии]]. Сопоставляя время добавления исполняемого файла и первой зафиксированной атаки WannaCry (в Тайване), исследователи заключили, что авторы вируса находятся в часовом поясе UTC +9<ref name="securitylab">{{Cite web |url=http://www.securitylab.ru/news/486757.php |title=Создателем WannaCry может быть корейский фанат Лионеля Месси |website=SecurityLab.ru |date=2017-06-16 |access-date=2017-06-20 |archive-date=2017-08-30 |archive-url=https://web.archive.org/web/20170830165846/http://www.securitylab.ru/news/486757.php |deadlink=no }}</ref>.
Также, по словам экспертов, временные метки в исходном коде WannaCry установлены в [[часовой пояс|часовом поясе]] [[UTC+9:00|UTC+9]]<ref name="bbc1" />, в котором расположены некоторые страны [[Восточная Азия|Восточной Азии]]. Сопоставляя время добавления исполняемого файла и первой зафиксированной атаки WannaCry (в Тайване), исследователи заключили, что авторы вируса находятся в часовом поясе UTC+9<ref name="securitylab">{{Cite web |url=http://www.securitylab.ru/news/486757.php |title=Создателем WannaCry может быть корейский фанат Лионеля Месси |website=SecurityLab.ru |date=2017-06-16 |access-date=2017-06-20 |archive-date=2017-08-30 |archive-url=https://web.archive.org/web/20170830165846/http://www.securitylab.ru/news/486757.php |url-status=live }}</ref>.


=== Лингвистический анализ ===
=== Лингвистический анализ ===
Лингвистический анализ текста с требованием выкупа, проведённый экспертами американской компании ''Flashpoint'', ​работающей в сфере кибербезопасности, показал, что родным языком авторов WannaCry, скорее всего, является южный диалект [[Китайский язык|китайского языка]]. По их мнению, создателями этой программы, скорее всего, являются жители [[Гонконг]]а, юга [[Китай|Китая]], [[Сингапур]]а или [[Тайвань|Тайваня]]<ref>[https://www.gazeta.ru/tech/2017/05/29/10697243/chinese_wanna_cry.shtml Хакеров подвел Google-переводчик. Эксперты определили национальность создателей вируса WannaCry] {{Wayback|url=https://www.gazeta.ru/tech/2017/05/29/10697243/chinese_wanna_cry.shtml |date=20170630130921 }} // Газета, 29.05.2017</ref><ref name="RBC">[http://www.rbc.ru/rbcfreenews/592b71149a7947944798d5f9 Эксперты назвали возможных создателей вируса WannaCry] {{Wayback|url=http://www.rbc.ru/rbcfreenews/592b71149a7947944798d5f9 |date=20170529045257 }} // РБК, 29.05.2017</ref>. Корейская версия текста написана с ошибками<ref name="securitylab" />. В то же время, не все эксперты согласны с этими выводами, так как, по их мнению, это может быть целенаправленной маскировкой и запутыванием следов<ref name="RBC" />. По словам Сержио де лос Сантоса, главы подразделения кибербезопасности ''ElevenPaths'' компании [[Telefónica]], родным языком создателя WannaCry является корейский, потому что именно этот язык был выбран по умолчанию в EMEA-версии Word, используемой для создания RTF-файлов. По его мнению, ошибки в корейском варианте текста с требованием выкупа могут быть намеренной попыткой скрыть свою национальность, и при этом гораздо вероятнее, что автор вируса забыл сменить язык по умолчанию<ref name="securitylab" />.
Лингвистический анализ текста с требованием выкупа, проведённый экспертами американской компании ''Flashpoint'', работающей в сфере кибербезопасности, показал, что родным языком авторов WannaCry, скорее всего, является южный диалект [[Китайский язык|китайского языка]]. По их мнению, создателями этой программы, скорее всего, являются жители [[Гонконг]]а, юга [[Китай|Китая]], [[Сингапур]]а или [[Тайвань|Тайваня]]<ref>[https://www.gazeta.ru/tech/2017/05/29/10697243/chinese_wanna_cry.shtml Хакеров подвел Google-переводчик. Эксперты определили национальность создателей вируса WannaCry] {{Wayback|url=https://www.gazeta.ru/tech/2017/05/29/10697243/chinese_wanna_cry.shtml |date=20170630130921 }} // Газета, 29.05.2017</ref><ref name="RBC">[http://www.rbc.ru/rbcfreenews/592b71149a7947944798d5f9 Эксперты назвали возможных создателей вируса WannaCry] {{Wayback|url=http://www.rbc.ru/rbcfreenews/592b71149a7947944798d5f9 |date=20170529045257 }} // РБК, 29.05.2017</ref>. Корейская версия текста написана с ошибками<ref name="securitylab" />. В то же время не все эксперты согласны с этими выводами, так как, по их мнению, это может быть целенаправленной маскировкой и запутыванием следов<ref name="RBC" />. По словам Сержио де лос Сантоса, главы подразделения кибербезопасности ''ElevenPaths'' компании [[Telefónica]], родным языком создателя WannaCry является корейский, потому что именно этот язык был выбран по умолчанию в EMEA-версии Word, использовавшейся для создания RTF-файлов. По его мнению, ошибки в корейском варианте текста с требованием выкупа могут быть намеренной попыткой скрыть свою национальность, и при этом гораздо вероятнее, что автор вируса забыл сменить язык по умолчанию<ref name="securitylab" />.


== Ущерб ==
== Ущерб ==
По оценкам экспертов, за первые четыре дня масштабной [[хакерская атака|кибератаки]] пострадали около 300 тысяч пользователей в 150 странах мира. Общий ущерб оценён в сумму 1 млрд долларов США<ref>{{Cite web|url=http://runews24.ru/internet/25/05/2017/3deb290a821bd12cc946653ea418e439|title=Эксперты оценили ущерб от вируса WannaCry в $1 млрд|publisher=runews24.ru|lang=ru|accessdate=2017-05-25|archive-date=2017-05-25|archive-url=https://web.archive.org/web/20170525121104/http://runews24.ru/internet/25/05/2017/3deb290a821bd12cc946653ea418e439|deadlink=no}}</ref>.
По оценкам экспертов, за первые четыре дня масштабной [[хакерская атака|кибератаки]] пострадали около 300 тысяч пользователей в 150 странах мира. Общий ущерб оценён в сумму 1 млрд долларов США<ref>{{Cite web|url=http://runews24.ru/internet/25/05/2017/3deb290a821bd12cc946653ea418e439|title=Эксперты оценили ущерб от вируса WannaCry в $1 млрд|publisher=runews24.ru|lang=ru|accessdate=2017-05-25|archive-date=2017-05-25|archive-url=https://web.archive.org/web/20170525121104/http://runews24.ru/internet/25/05/2017/3deb290a821bd12cc946653ea418e439|url-status=live}}</ref>.


== EternalRocks ==
== EternalRocks ==
Хорватский эксперт по кибербезопасности Мирослав Стампар (Miroslav Stampar) с помощью системы [[Honeypot]] обнаружил новую вредоносную программу-червя под названием «[[EternalRocks]]» (возможно, похожа на EternalBlue), которая использует семь украденных у АНБ хакерских инструментов и делает компьютеры, работающие на ОС ''Windows'', уязвимыми для будущих атак, которые могут случиться в любое время<ref>{{Cite web |url=http://www.securitylab.ru/news/486210.php |title=Червь EternalRocks использует сразу 7 эксплоитов АНБ |access-date=2017-05-25 |archive-date=2017-06-28 |archive-url=https://web.archive.org/web/20170628123535/http://www.securitylab.ru/news/486210.php |deadlink=no }}</ref><ref>{{cite web|last1=Leyden|first1=John|title=7 NSA hack tool wielding follow-up worm oozes onto scene: Hello, no need for any phish!|url=https://www.theregister.co.uk/2017/05/22/eternalrocks_worm/|access-date=2017-05-22|date=2017-05-17|archive-date=2017-05-22|archive-url=https://web.archive.org/web/20170522163828/https://www.theregister.co.uk/2017/05/22/eternalrocks_worm/|deadlink=no}}</ref><ref name=cnet1>{{cite web|title=EternalRocks worm uses seven NSA exploits (WannaCry used two)|url=https://www.cnet.com/news/doomsday-worm-eternalrocks-seven-nsa-exploits-wannacry-ransomware/|publisher=CNET|accessdate=2017-05-23|language=en|archive-date=2017-05-22|archive-url=https://web.archive.org/web/20170522213846/https://www.cnet.com/news/doomsday-worm-eternalrocks-seven-nsa-exploits-wannacry-ransomware/|deadlink=no}}</ref><ref>{{cite web|title=New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two|url=https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/|publisher=BleepingComputer|access-date=2017-05-22|lang=en|archive-date=2017-05-21|archive-url=https://web.archive.org/web/20170521155135/https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/|deadlink=no}}</ref><ref>{{cite web|last1=Verma|first1=Adarsh|title=EternalRocks: New Malware Uses 7 NSA Hacking Tools, WannaCry Used Just 2|url=https://fossbytes.com/eternalrocks-malware-wannacry-nsa/|publisher=Fossbytes|access-date=2017-05-22|date=2017-05-23|archive-date=2018-10-27|archive-url=https://web.archive.org/web/20181027143258/https://fossbytes.com/eternalrocks-malware-wannacry-nsa/|deadlink=no}}</ref>. При этом данный червь маскируется под WannaCry с целью запутать исследователей.
Хорватский эксперт по кибербезопасности Мирослав Стампар (Miroslav Stampar) с помощью системы [[Honeypot]] обнаружил новую вредоносную программу-червя под названием «[[EternalRocks]]» (возможно, похожа на EternalBlue), которая использует семь украденных у АНБ хакерских инструментов и делает компьютеры, работающие на ОС ''Windows'', уязвимыми для будущих атак, которые могут случиться в любое время<ref>{{Cite web |url=http://www.securitylab.ru/news/486210.php |title=Червь EternalRocks использует сразу 7 эксплоитов АНБ |access-date=2017-05-25 |archive-date=2017-06-28 |archive-url=https://web.archive.org/web/20170628123535/http://www.securitylab.ru/news/486210.php |url-status=live }}</ref><ref>{{cite web|last1=Leyden|first1=John|title=7 NSA hack tool wielding follow-up worm oozes onto scene: Hello, no need for any phish!|url=https://www.theregister.co.uk/2017/05/22/eternalrocks_worm/|access-date=2017-05-22|date=2017-05-17|archive-date=2017-05-22|archive-url=https://web.archive.org/web/20170522163828/https://www.theregister.co.uk/2017/05/22/eternalrocks_worm/|url-status=live}}</ref><ref name=cnet1>{{cite web|title=EternalRocks worm uses seven NSA exploits (WannaCry used two)|url=https://www.cnet.com/news/doomsday-worm-eternalrocks-seven-nsa-exploits-wannacry-ransomware/|publisher=CNET|accessdate=2017-05-23|language=en|archive-date=2017-05-22|archive-url=https://web.archive.org/web/20170522213846/https://www.cnet.com/news/doomsday-worm-eternalrocks-seven-nsa-exploits-wannacry-ransomware/|url-status=live}}</ref><ref>{{cite web|title=New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two|url=https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/|publisher=BleepingComputer|access-date=2017-05-22|lang=en|archive-date=2017-05-21|archive-url=https://web.archive.org/web/20170521155135/https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/|url-status=live}}</ref><ref>{{cite web|last1=Verma|first1=Adarsh|title=EternalRocks: New Malware Uses 7 NSA Hacking Tools, WannaCry Used Just 2|url=https://fossbytes.com/eternalrocks-malware-wannacry-nsa/|publisher=Fossbytes|access-date=2017-05-22|date=2017-05-23|archive-date=2018-10-27|archive-url=https://web.archive.org/web/20181027143258/https://fossbytes.com/eternalrocks-malware-wannacry-nsa/|url-status=live}}</ref>. При этом данный червь маскируется под WannaCry с целью запутать исследователей.


== См. также ==
== См. также ==

Текущая версия от 13:09, 17 декабря 2024

WannaCry
Снимок экрана Wana Decrypt0r 2.0
Снимок экрана Wana Decrypt0r 2.0
Тип Сетевой червь, Ransomware, эксплойт
Год появления 12 мая 2017 года (начало массовой атаки)
Используемое ПО уязвимость в SMB ОС Windows,
бэкдор DoublePulsar,
эксплойт EternalBlue
Описание Symantec
Описание Securelist
Логотип Викисклада Медиафайлы на Викискладе

WannaCry (в переводе означает «хочу плакать», также изначально известна как WannaCrypt[1] («хочу крипту»), WCry[2], WanaCrypt0r 2.0[3][4] и Wanna Decryptor[5]) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая компьютеры под управлением операционной системы Microsoft Windows. После заражения компьютера программный код червя шифрует почти все хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп в криптовалюте за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда.

Массовое распространение WannaCry началось 12 мая 2017 года — одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Среди них по количеству заражений лидируют Россия, Украина и Индия[6]. В общей сложности, за короткое время от червя пострадало 500 тысяч компьютеров[7], принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира[8]. Распространение червя блокировало работу множества организаций по всему миру: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций.

Сетевой червь WannaCry использует для заражения компьютеров уязвимость операционных систем Windows, информация о которой, предположительно, была известна Агентству национальной безопасности (АНБ) США. Хакерской группировкой Equation Group, связанной с АНБ, были созданы эксплойт EternalBlue и бэкдор DoublePulsar, позволяющие использовать данную уязвимость для заражения компьютера и получения доступа к нему. Впоследствии информация об уязвимости и программы для её использования были украдены у АНБ хакерской группировкой The Shadow Brokers и опубликованы в общем доступе[8]. Сам червь WannaCry был создан и запущен неизвестными злоумышленниками с помощью украденной у АНБ информации. Основным подозреваемым считается хакерская группировка Lazarus Group, предположительно связанная с правительством КНДР.

Метод атаки

[править | править код]

Вредоносная программа сканирует диапазон IP-адресов локальной сети и случайно выбранные IP-адреса сети Интернет в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор[9].

После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048. Затем WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry. Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor, после чего все ключи из памяти инфицированной машины удаляются. Завершив процесс шифрования, программа выводит на экран окно с требованием перевести определённую сумму в биткойнах (эквивалентную 300 долларам США) на указанный кошелёк в течение трёх дней. Если выкуп не поступит своевременно, то его сумма будет автоматически удвоена. На седьмой день, если WannaCry не будет удалён с инфицированной системы, зашифрованные файлы уничтожаются[10]. Сообщение выводится на языке, соответствующем установленному на компьютере. Всего программой поддерживается 28 языков. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети для последующего заражения новых компьютеров[11][12].

Согласно исследованию компании Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой состояния гонки. Это делает выплаты выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Однако существует надёжный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения[13]. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала её на практике, опубликовав в открытом доступе утилиту WanaKiwi[14], позволяющую расшифровать файлы без выкупа[15][16].

В коде ранних версий программы был предусмотрен механизм самоуничтожения, так называемый Kill Switch[англ.][10], — программа проверяла доступность двух определённых Интернет-доменов и в случае их наличия полностью удалялась из компьютера. Это 12 мая 2017 года первым обнаружил Маркус Хатчинс[англ.][17], 22-летний вирусный аналитик британской компании Kryptos Logic, пишущий в Twitter’е под ником @MalwareTechBlog, и зарегистрировал один из доменов на своё имя. Таким образом, ему удалось временно частично[К 1] заблокировать распространение данной модификации вредоносной программы[18][19]. 14 мая был зарегистрирован и второй домен[10]. В последующих версиях вируса данный механизм самоотключения был удалён, однако это было сделано не в исходном программном коде, а путём редактирования исполняемого файла, что позволяет предполагать происхождение данного исправления не от авторов оригинальной WannaCry, а от сторонних злоумышленников. В результате был повреждён механизм шифрования, и данная версия червя может только распространять себя, находя уязвимые компьютеры, но не способна наносить им непосредственный[К 2] вред[20].

Высокая скорость распространения WannaCry, уникальная для программы-вымогателя, обеспечивается использованием опубликованной в феврале 2017 года уязвимости сетевого протокола SMB операционной системы Microsoft Windows, описанной в бюллетене MS17-010[21]. Если в классической схеме программа-вымогатель попадала на компьютер благодаря действиям самого пользователя через электронную почту или веб-ссылку, то в случае WannaCry участие пользователя полностью исключено. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут[11].

Компанией-разработчиком подтверждено наличие уязвимости абсолютно во всех пользовательских и серверных продуктах, имеющих реализацию протокола SMBv1 — начиная с Windows XP/Windows Server 2003 и заканчивая Windows 10/Windows Server 2016. 14 марта 2017 года Microsoft выпустила серию обновлений, призванных нейтрализовать уязвимость во всех поддерживаемых ОС[21]. После распространения WannaCry компания пошла на беспрецедентный шаг, выпустив 13 мая также обновления для продуктов с истекшим сроком поддержки (Windows XP, Windows Server 2003 и Windows 8)[22][23].

Хронология событий

[править | править код]
Страны, подвергшиеся атаке WannaCry

12 мая 2017 года червь распространился по миру. Атаке подверглись многие страны, но больше всего инфицированных компьютеров в нескольких странах — на Украине, в России, Индии и Тайване[6][24][25].

В Испании были атакованы ПК в компаниях Telefónica, Gas Natural, Iberdrola (поставщик электричества), Centro Nacional de Inteligencia, банке Santander и филиале консалтинговой компании KPMG[нет в источнике]. В Великобритании были инфицированы компьютеры в больницах (NHS trusts)[26]. В Германии были инфицированы компьютеры Deutsche Bahn.

В России пострадали министерства (МВД России[27]), МегаФон[28]. Сообщения об успешных атаках на Сбербанк и МЧС были опровергнуты этими организациями[29]. Пострадали информационные системы РЖД, однако червь был быстро локализован и не повлиял на движение поездов[30]. Также Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России (ФинЦЕРТ) сообщил, что были зафиксированы «единичные факты компрометации ресурсов кредитных организаций», но последствия этих инцидентов были устранены в кратчайшие сроки[31].

По состоянию на 13:20 13 мая, по данным сайта MalwareTech BotNet Tracker[32], инфицированы 131 233 компьютера во всем мире, из них онлайн — 1145.

Renault остановил работу своих заводов, чтобы проверить свои ПК[33].

МВД России, хотя сначала и опровергало заражение своей сети, позже подтвердило, что заражение произошло потому, что некоторые сотрудники ведомства подключались к интернету со своих компьютеров «посредством того или иного механизма»[34]. Ирина Волк, официальный представитель МВД России, заявила: «Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором „Эльбрус“»[35]. Количество заражённых ПК составило около 1000, что составляет около 1 % всего компьютерного парка[35]. В некоторых областях РФ отдельные подразделения МВД временно не работали[36].

По данным Европола, по состоянию на 15 мая, WannaCry заразил порядка 200 тысяч компьютеров в более чем 150 странах мира[37]. Однако прибыль от атаки для злоумышленников оказалась относительно небольшой: к этому времени на указанные биткойн-кошельки было проведено всего лишь 110 транзакций на общую сумму около 23,5 биткойна (примерно 65,8 тысячи долларов США)[38]. В этот же день, выступая на пресс-конференции, президент В. В. Путин назвал ущерб для страны от всемирной кибератаки незначительным[39].

На 17 мая 2017 г., по мнению компании Symantec, источник и способ первоначального распространения WannaCry неизвестен. Высказанные ранее мнения о том, что атака началась путём рассылки вредоносных сообщений электронной почты, не нашли подтверждения[10].

По состоянию на 26 мая 2017 г., по данным сайта MalwareTech BotNet Tracker, инфицированы более 410 000 компьютеров во всем мире, из них онлайн — 170 000[7].

Для приёма выкупа от жертв используются три прописанных в программе электронных кошелька. Как и во всех таких случаях, их баланс и информация о денежных переводах являются общедоступными, в то время как владелец кошелька остаётся неизвестным[40]. По состоянию на 25 мая 2017 г. на счета злоумышленников совершено 302 перевода на общую сумму 126 742 долларов США[41].

По состоянию на 6 июня 2017 г., по данным сайта MalwareTech BotNet Tracker, заражены более 520 000 компьютеров и 200 000 IP-адресов[7].

По мнению некоторых экспертов, распространение вируса могло начаться вследствие утечки до того, как работа над ним была завершена. В пользу незаконченности вируса говорит наличие всего трёх вшитых в код биткойн-кошельков и отсутствие шифрования при обращении к доменам, активирующим механизм самоуничтожения[42].

28 марта 2018 г. операционные системы авиастроительной корпорации Boeing подверглись кибератакам с применением WannaCry. Компанией были оперативно проведены восстановительные мероприятия программного обеспечения и вирус не повлиял на производственную деятельность Boeing[43].

Международный хакерский конгломерат «Анонимус» высказал своё возмущение деятельностью создателей червя WannaCry в связи с тем, что этим червём были поражены компьютерные сети публичных и медицинских учреждений. Из-за его активизации в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Особое негодование этот факт вызвал у французского подразделения «Анонимус», которое опубликовало сообщение с осуждением кибератак WannaCry и АНБ, которое не сообщало до 12 мая о краже из своих баз данных программного обеспечения, необходимого для работы червя[44].

Бывший сотрудник ЦРУ, а ныне американский диссидент Эдвард Сноуден сделал заявление, что уязвимость операционных систем семейства MS Windows, благодаря которой WannaCry распространялся по планете, была давно известна техническим специалистам АНБ. Однако они не посчитали нужным проинформировать об этом компанию Microsoft, а заявили о ней только тогда, когда заражение компьютеров приобрело массовый характер[45][46].

Авторство программы

[править | править код]

14 мая президент и главный юрисконсульт компании Microsoft Брэд Смит заявил, что данный вирус использовал уязвимость, информация о которой была украдена у Агентства национальной безопасности (АНБ) США[47][48].

Позднее, 15 мая президент РФ Владимир Путин напомнил об этих словах руководства Microsoft, назвав спецслужбы США «первичным источником вируса», и заявил, что «Россия здесь совершенно ни при чём»[49][50]. В то же время секретарь Совета безопасности РФ Николай Патрушев заявил об отсутствии доказательств того, что спецслужбы каких-либо стран причастны к массовому распространению по всему миру вируса WannaCry. По его словам, если бы за хакерской атакой стояли спецслужбы, её последствия «были бы значительно более серьёзные». Однако он признал, что в нападении участвовали высококвалифицированные специалисты[51].

Атака стала возможной благодаря наличию уязвимости в реализации компанией Microsoft сетевого протокола Server Message Block (SMB)[21]. Уязвимость некоторое время была известна Агентству национальной безопасности США и имела реализацию в виде готового инструмента (эксплойта) для проведения атаки EternalBlue. Данный инструмент, в числе многих, попал в распоряжение хакерской группы The Shadow Brokers и был опубликован ею в свободном доступе 14 апреля 2017 года[4][52][53][54][55]. По данным WikiLeaks, изначально EternalBlue был разработан хакерской группой Equation Group, которая была связана с АНБ, а затем выкраден The Shadow Brokers[56].

Анализ программного кода

[править | править код]

Эксперты по современной индустриальной кибербезопасности полагают, что исполняемый код червя WannaCry сам по себе не отличается особенной технической изощрённостью[8]. Однако, специалисты Лаборатории Касперского и антивирусной компании Symantec, основываясь на опубликованном исследователем из Google Нилом Мехтой твите, обратили внимание, что сигнатуры кода WannaCry совпадают с сигнатурой кода, предположительно использовавшегося в феврале 2015 года хакерской группой Lazarus Group[57][58], подозреваемой в связях с правительством КНДР. Этой группе приписывается проведение множества громких компьютерных атак 2012—2014 годов, включая атаку на банковскую инфраструктуру SWIFT и взлом серверов Sony Pictures Entertainment[59]. Эту гипотезу на основании собственного исследования подтвердил эксперт южнокорейской компании «Hauri Labs» Саймон Чой (Simon Choi), являющийся советником южнокорейской полиции и Национального агентства разведки. По его словам, код вируса совпадает с северокорейскими кодами вредоносных программ-бэкдоров[60].

На Западе считают, что Lazarus Group связана с киберподразделением Разведывательного управления Генштаба[англ.] КНА КНДР, известным как Подразделение 121 (англ. Bureau 121). В 2015 году перебежчик из КНДР профессор информатики Ким Хен Кван в беседе с Би-би-си рассказал об этой организации. По его словам, Подразделение 121 — один из приоритетных проектов правительства КНДР, получающий очень серьёзное финансирование. В подразделении служат около 6000 «военных хакеров», в задачи которых входят атаки на инфраструктурные объекты — линии связи и коммуникационные спутники. Хакеров набирают из числа студентов Института автоматизации Политехнического университета имени Ким Чхэка в Пхеньяне[61].

В то же время, по заявлениям Лаборатории Касперского и Symantec, пока ещё преждевременно делать выводы о том, замешана ли Северная Корея в атаках. Джон Миллер, эксперт компании FireEye, специализирующейся на кибербезопасности, заявил, что сходства, обнаруженные в кодах вируса WannaCry и группировки Lazarus, недостаточно уникальны, чтобы можно было делать выводы об их происхождении из общего источника[60]. Также фрагменты кода Lazarus Group могли быть просто использованы другой хакерской группой[62][63], в том числе и преднамеренно, с целью запутать следствие и помешать выявить настоящего злоумышленника[58]. Официальный представитель Европола Ян Оп Ген Орт также отметил, что Европол пока не может подтвердить информацию о причастности КНДР[64]. Заместитель постоянного представителя КНДР при ООН Ким Ин Рен назвал подозрения в адрес КНДР «смехотворными»[65].

Позже Национальный центр кибербезопасности Великобритании (NCSC), возглавляющий международное расследование[61], подтвердил гипотезу о причастности Lazarus Group к кибератаке[61]. По словам президента Microsoft Брэда Смита, «на данном этапе все осведомленные наблюдатели заключили, что причиной WannaCry была КНДР, которая использовала киберинструменты или оружие, украденное из Агентства национальной безопасности (АНБ) в США»[66]. С этим мнением согласно и правительство Великобритании[67].

Также, по словам экспертов, временные метки в исходном коде WannaCry установлены в часовом поясе UTC+9[63], в котором расположены некоторые страны Восточной Азии. Сопоставляя время добавления исполняемого файла и первой зафиксированной атаки WannaCry (в Тайване), исследователи заключили, что авторы вируса находятся в часовом поясе UTC+9[68].

Лингвистический анализ

[править | править код]

Лингвистический анализ текста с требованием выкупа, проведённый экспертами американской компании Flashpoint, работающей в сфере кибербезопасности, показал, что родным языком авторов WannaCry, скорее всего, является южный диалект китайского языка. По их мнению, создателями этой программы, скорее всего, являются жители Гонконга, юга Китая, Сингапура или Тайваня[69][70]. Корейская версия текста написана с ошибками[68]. В то же время не все эксперты согласны с этими выводами, так как, по их мнению, это может быть целенаправленной маскировкой и запутыванием следов[70]. По словам Сержио де лос Сантоса, главы подразделения кибербезопасности ElevenPaths компании Telefónica, родным языком создателя WannaCry является корейский, потому что именно этот язык был выбран по умолчанию в EMEA-версии Word, использовавшейся для создания RTF-файлов. По его мнению, ошибки в корейском варианте текста с требованием выкупа могут быть намеренной попыткой скрыть свою национальность, и при этом гораздо вероятнее, что автор вируса забыл сменить язык по умолчанию[68].

По оценкам экспертов, за первые четыре дня масштабной кибератаки пострадали около 300 тысяч пользователей в 150 странах мира. Общий ущерб оценён в сумму 1 млрд долларов США[71].

Хорватский эксперт по кибербезопасности Мирослав Стампар (Miroslav Stampar) с помощью системы Honeypot обнаружил новую вредоносную программу-червя под названием «EternalRocks» (возможно, похожа на EternalBlue), которая использует семь украденных у АНБ хакерских инструментов и делает компьютеры, работающие на ОС Windows, уязвимыми для будущих атак, которые могут случиться в любое время[72][73][74][75][76]. При этом данный червь маскируется под WannaCry с целью запутать исследователей.

Комментарии

[править | править код]
  1. Это, однако, не спасло от поражения компьютеры, доступ в Интернет которых подвергается жёсткой фильтрации (как, например, в некоторых корпоративных сетях). WannaCry в таком случае не находит Kill Switch, заблокированный политикой Интернет-доступа, и продолжает своё вредоносное действие[9].
  2. Тем не менее, модифицированный WannaCry делает заражённую машину ещё более уязвимой для других угроз, использующих бэкдор DoublePulsar.

Примечания

[править | править код]
  1. MSRC Team Customer Guidance for WannaCrypt attacks. Microsoft. Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
  2. ВСЕСВІТНЯ КІБЕРАТАКА: ВІРУС ОХОПИВ КОМ'ЮТЕРИ З WINDOWS, ЯКІ НЕ ОНОВИЛИСЯ - ЗМІ. Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
  3. Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica. Avast Security News. Avast Software, Inc (12 мая 2017). Дата обращения: 24 мая 2017. Архивировано 5 мая 2019 года.
  4. 1 2 Fox-Brewster, Thomas. "An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak". Forbes. Архивировано 28 июня 2018. Дата обращения: 16 мая 2017.
  5. Woollaston, Victoria. "Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?". WIRED UK (англ.). Архивировано 17 марта 2018. Дата обращения: 29 сентября 2017.
  6. 1 2 GReAT. WannaCry ransomware used in widespread attacks all over the world - Securelist. Лаборатория Касперского (12 мая 2017). Дата обращения: 13 мая 2017. Архивировано 3 июня 2017 года.
  7. 1 2 3 MalwareTech Botnet Tracker: WCRYPT Архивная копия от 19 мая 2017 на Wayback Machine, MalwareTech botnet tracker
  8. 1 2 3 Pascal Ackerman. Other attack scenarios // Industrial Cybersecurity. Efficiently secure critical infrastructure systems. — Birmingham: Packt Publishing, 2017. — P. 174. — ISBN 978-1-78839-515-1.
  9. 1 2 3 Zammis Clark. The worm that spreads WanaCrypt0r (англ.). Malwarebytes (12 мая 2017). Дата обращения: 17 мая 2017. Архивировано 17 мая 2017 года.
  10. 1 2 3 4 Ransom.Wannacry. Symantec. Дата обращения: 17 мая 2017. Архивировано 13 мая 2018 года.
  11. 1 2 Анализ шифровальщика Wana Decrypt0r 2.0. Habrahabr (14 мая 2017). Дата обращения: 16 мая 2017. Архивировано 16 мая 2017 года.
  12. Player 3 Has Entered the Game: Say Hello to 'WannaCry' (12 мая 2017). Дата обращения: 16 мая 2017. Архивировано 4 июня 2021 года.
  13. Can files locked by WannaCry be decrypted: A technical analysis (15 мая 2017). Дата обращения: 17 мая 2017. Архивировано 22 мая 2017 года.
  14. Suiche, Matthieu WannaCry — Decrypting files with WanaKiwi + Demos. Comae Technologies (19 мая 2017). Дата обращения: 22 мая 2017. Архивировано 8 августа 2019 года.
  15. Auchard, Eric French researchers find way to unlock WannaCry without ransom. Reuters (19 мая 2017). Дата обращения: 19 мая 2017. Архивировано 19 мая 2017 года.
  16. Во Франции нашли способ обойти вирус-вымогатель WannaCry Архивная копия от 20 мая 2017 на Wayback Machine // Комсомольская правда, 20.05.2017
  17. "'Just doing my bit': The 22yo who blocked the WannaCry cyberattack". ABC News (англ.). 2017-05-16. Архивировано 17 мая 2017. Дата обращения: 19 мая 2017.
  18. Вирус Wanna Cry случайно остановил бдительный программист Архивная копия от 1 октября 2017 на Wayback Machine, Взгляд, 13 мая 2017
  19. Эпидемия шифровальщика WannaCry: что произошло и как защититься. Дата обращения: 13 мая 2017. Архивировано 14 мая 2017 года.
  20. rain-1. WannaCry/WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm. Github.com (22 мая 2017). Дата обращения: 22 мая 2017. Архивировано 18 мая 2017 года.
  21. 1 2 3 Microsoft Security Bulletin MS17-010. Дата обращения: 13 мая 2017. Архивировано 21 мая 2017 года.
  22. Surur (2017-05-13). "Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003". Архивировано 29 мая 2020. Дата обращения: 13 мая 2017.
  23. MSRC Team Customer Guidance for WannaCrypt attacks. microsoft.com. Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
  24. Сошников, Андрей. WannaCry: как работает крупнейшее компьютерное вымогательство. «Русская служба Би-би-си» (13 мая 2017). Дата обращения: 14 мая 2017. Архивировано 13 мая 2017 года.
  25. Масштабна хакерська атака вивела з ладу десятки тисяч комп'ютерів по всьому світу. Дата обращения: 12 мая 2017. Архивировано из оригинала 17 мая 2017 года.
  26. Hern, Alex (2017-05-12). "What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?". The Guardian. London. Архивировано 12 мая 2017. Дата обращения: 12 мая 2017.
  27. "Вирус-вымогатель заразил компьютеры МВД России и компании «Мегафон»". Рязанский портал ya62.ru. 2017-05-12. Архивировано 17 мая 2017. Дата обращения: 2 июня 2018.
  28. У РОСІЇ МАСШТАБНИЙ ВІРУС-ВИМАГАЧ АТАКУВАВ КОМП’ЮТЕРИ МІНІСТЕРСТВ, «СБЕРБАНКА» І «МЕГАФОНА» Архивная копия от 13 мая 2017 на Wayback Machine, ТСН, 13 травня 2016
  29. МЧС и Сбербанк успешно отразили кибератаки WannaCry Архивная копия от 16 мая 2017 на Wayback Machine, НТВ, 12 мая 2017 г.
  30. В РЖД заявили об отсутствии сбоев в работе компании из-за вирусной атаки Архивная копия от 20 мая 2017 на Wayback Machine // Интерфакс, 13.05.2017
  31. Об атаке вируса Wannacry Архивная копия от 20 мая 2017 на Wayback Machine // «ФинЦЕРТ» Банка России, 19.05.2017
  32. MalwareTech Botnet Tracker: WCRYPT Архивная копия от 13 мая 2017 на Wayback Machine, MalwareTech botnet tracker
  33. Renault остановил несколько заводов после кибератаки Архивная копия от 21 октября 2017 на Wayback Machine // Газета, 13 мая 2017
  34. WannaCry поразил МВД, потому что полицейские нелегально подключались к интернету. Дата обращения: 21 мая 2017. Архивировано 19 мая 2017 года.
  35. 1 2 Российский процессор «Эльбрус» спас серверы МВД от вируса-вымогателя, атаковавшего компьютеры по всему миру. Дата обращения: 13 мая 2017. Архивировано 16 мая 2017 года.
  36. В регионах из-за кибератаки управления ГИБДД прекратили выдавать права
  37. Глава Европола сообщил о 200 тыс. пострадавших от глобальной кибератаки. Interfax (15 мая 2017). Дата обращения: 16 мая 2017. Архивировано 29 мая 2017 года.
  38. Создатели вируса WannaCry получили в качестве выкупа $42 тысячи. Interfax (15 мая 2017). Дата обращения: 16 мая 2017. Архивировано 15 мая 2017 года.
  39. Путин назвал ущерб от всемирной кибератаки для России незначительным Архивная копия от 16 мая 2017 на Wayback Machine // Риа Новости, 15.05.2017
  40. Collins, Keith Watch as these bitcoin wallets receive ransomware payments from the global cyberattack. Quartz. Дата обращения: 14 мая 2017. Архивировано 4 июня 2021 года.
  41. @actual_ransom tweets. Twitter. Дата обращения: 19 мая 2017.
  42. Эпидемия WannaCry могла произойти из-за случайной утечки. SecurityLab.ru (19 июня 2017). Дата обращения: 19 июня 2017. Архивировано 11 сентября 2017 года.
  43. СМИ: вирус WannaCry атаковал Boeing. Дата обращения: 30 марта 2018. Архивировано 30 марта 2018 года.
  44. Laurent Gayard. Computer attacks of an unprecedented magnitude // Darknet. Geopolitics and Uses. — Wiley, 2018. — Vol. 2. — P. 123. — ISBN 978-1-78630-202-1.
  45. Laurent Gayard. Computer attacks of an unprecedented magnitude // Darknet. Geopolitics and Uses. — Wiley, 2018. — Vol. 2. — P. 124. — ISBN 978-1-78630-202-1.
  46. Edward Snowden Slams NSA Over Ransomware Attack Архивная копия от 21 июля 2018 на Wayback Machine новостной журнал Newsweek
  47. "The need for urgent collective action to keep people safe online: Lessons from last week's cyberattack - Microsoft on the Issues". Microsoft on the Issues (англ.). 2017-05-14. Архивировано 16 мая 2017. Дата обращения: 16 мая 2017.
  48. Биржевой лидер. Правительства и спецслужбы виновны в атаке вируса WannaCry – Microsoft. www.profi-forex.org. Дата обращения: 16 мая 2017. Архивировано 19 мая 2017 года.
  49. "Путин: первичным источником мировой кибератаки являются спецслужбы США". Газета.Ru. Архивировано 21 октября 2017. Дата обращения: 16 мая 2017.
  50. Владимир Путин назвал спецслужбы США источником вируса WannaCry Архивная копия от 16 мая 2017 на Wayback Machine // Коммерсант.ru, 15.05.2017
  51. Патрушев отказался возложить вину за атаку вируса WannaCry на спецслужбы Архивная копия от 16 мая 2017 на Wayback Machine // Lenta.ru, 16.05.2017
  52. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Дата обращения: 13 мая 2017. Архивировано 13 мая 2017 года.
  53. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. Дата обращения: 13 мая 2017. Архивировано 12 мая 2017 года.
  54. Ghosh, Agamoni (2017-04-09). "'President Trump what the f**k are you doing' say Shadow Brokers and dump more NSA hacking tools". International Business Times UK. Архивировано 14 мая 2017. Дата обращения: 16 мая 2017.
  55. "'NSA malware' released by Shadow Brokers hacker group". BBC News (англ.). 2017-04-10. Архивировано 23 мая 2017. Дата обращения: 16 мая 2017.
  56. Президент Microsoft рассказал о связи разработок АНБ с недавней кибератакой. Interfax (15 мая 2017). Дата обращения: 17 мая 2017. Архивировано 16 мая 2017 года.
  57. GReAT. WannaCry and Lazarus Group – the missing link? Securelist (15 мая 2017). Дата обращения: 19 мая 2020. Архивировано 1 мая 2020 года.
  58. 1 2 WannaCry ransomware has links to North Korea, cybersecurity experts say Архивная копия от 16 мая 2017 на Wayback Machine // The Guardian, 15.05.2017
  59. Cyber security firm: more evidence North Korea linked to Bangladesh heist. Рейтер (3 апреля 2017). Дата обращения: 17 мая 2017. Архивировано 6 апреля 2017 года.
  60. 1 2 Researchers see possible North Korea link to global cyber attack. Дата обращения: 29 сентября 2017. Архивировано 21 мая 2017 года.
  61. 1 2 3 Центр кибербезопасности Британии: вирус WannaCry запущен из КНДР Архивная копия от 20 июня 2017 на Wayback Machine // Би-би-си, 16.06.2017
  62. Eric Talmadge (2017-05-12). "Experts question North Korea role in WannaCry cyberattack" (англ.). AP. Архивировано 10 сентября 2018. Дата обращения: 2 июня 2018.
  63. 1 2 В создании вируса WannaCry подозревают Северную Корею Архивная копия от 3 июля 2017 на Wayback Machine // Би-би-си, 16.05.2017
  64. Европол не может подтвердить, что вирус WannaCry был создан в КНДР Архивная копия от 17 мая 2017 на Wayback Machine // РИА Новости, 16.05.2017
  65. КНДР считает смехотворными заявления о причастности к мировой кибератаке Архивная копия от 23 мая 2017 на Wayback Machine // Известия, 19.05.2017
  66. Президент Microsoft считает, что за кибератаками WannaCry стоит КНДР Архивная копия от 13 ноября 2017 на Wayback Machine // РИА Новости, 14.10.2017
  67. Власти Британии уверены, что за хакерской атакой WannaCry в мае стоит КНДР Архивная копия от 13 ноября 2017 на Wayback Machine // РИА Новости, 27.10.2017
  68. 1 2 3 Создателем WannaCry может быть корейский фанат Лионеля Месси. SecurityLab.ru (16 июня 2017). Дата обращения: 20 июня 2017. Архивировано 30 августа 2017 года.
  69. Хакеров подвел Google-переводчик. Эксперты определили национальность создателей вируса WannaCry Архивная копия от 30 июня 2017 на Wayback Machine // Газета, 29.05.2017
  70. 1 2 Эксперты назвали возможных создателей вируса WannaCry Архивная копия от 29 мая 2017 на Wayback Machine // РБК, 29.05.2017
  71. Эксперты оценили ущерб от вируса WannaCry в $1 млрд. runews24.ru. Дата обращения: 25 мая 2017. Архивировано 25 мая 2017 года.
  72. Червь EternalRocks использует сразу 7 эксплоитов АНБ. Дата обращения: 25 мая 2017. Архивировано 28 июня 2017 года.
  73. Leyden, John 7 NSA hack tool wielding follow-up worm oozes onto scene: Hello, no need for any phish! (17 мая 2017). Дата обращения: 22 мая 2017. Архивировано 22 мая 2017 года.
  74. EternalRocks worm uses seven NSA exploits (WannaCry used two) (англ.). CNET. Дата обращения: 23 мая 2017. Архивировано 22 мая 2017 года.
  75. New SMB Worm Uses Seven NSA Hacking Tools. WannaCry Used Just Two (англ.). BleepingComputer. Дата обращения: 22 мая 2017. Архивировано 21 мая 2017 года.
  76. Verma, Adarsh EternalRocks: New Malware Uses 7 NSA Hacking Tools, WannaCry Used Just 2. Fossbytes (23 мая 2017). Дата обращения: 22 мая 2017. Архивировано 27 октября 2018 года.