IT 
13.05.2017

Дмитрий Еремеев: «Я думаю, пик будет завтра-послезавтра, заражения еще только начались»

Компьютерный вирус WannaCry всполошил весь мир, включая российские МВД и РЖД, но злоумышленники пока почти ничего не заработали

Накануне компьютеры в странах Европы, Азии и в США подверглись массированной кибератаке с использованием неизвестного ранее вируса-вымогателя WannaCry. В России хакерской атаке подверглись Сбербанк, РЖД, «Мегафон» и даже компьютеры МВД, причем избежать этой ситуации можно было простым мартовским обновлением Windows. Нова ли схема киберзлоумышленников и может ли данная атака служить угрозой для безопасности страны — об этом «БИЗНЕС Online» рассказал владелец группы Fix Дмитрий Еремеев.

Дмитрий Еремеев Дмитрий Еремеев

75 ТЫС. ЗАРАЖЕННЫХ КОМПЬЮТЕРОВ В 99 СТРАНАХ

Масштабная хакерская атака вчера поздним вечером стала одной из главных мировых новостей. По последней информации, вирусом WannaCry заражены 75 тыс. компьютеров в 99 странах мира, вредоносная программа передается через электронную почту и шифрует данные на компьютере. WannaCry блокирует устройство и требует выкуп за восстановление его работы — от 300 до $600 в биткоинах (крипотовалюта прим. ред.). Вирус, в частности, парализовал систему здравоохранения Великобритании, работу нескольких компаний в Испании и т. д.

Но наибольшее количество атак, больше половины, зафиксировано в России. Среди пострадавших — крупнейшие российские банки, РЖД, «Мегафон» и так далее. Наиболее тревожной оказалась информация о том, что были выведены из строя компьютеры министерства внутренних дел РФ. «Департаментом информационных технологий, связи и защиты информации МВД России была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Благодаря своевременно принятым мерам было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1 процента», — такой комментарий вчера поздно вечером дала представитель ведомства Ирина Волк.

Источники «БИЗНЕС Online» сообщают, что среди пострадавших были и компьютеры МВД по РТ. Впрочем, в республиканском ведомстве эту информацию не комментируют. Между тем сложности в работе были связаны как минимум со сбоями в работе федеральных баз данных. В частности, был затруднен доступ к информации о водителях, лишенных прав, или автомобилях, числящихся в угоне. Косвенно это подтверждает и тот факт, что еще вчера до объявления «эпидемии» WannaCry ГИБДД РТ временно прекратило регистрацию новых автомобилей и прием экзаменов «по техническим причинам». Впрочем, уже сегодня после обеда татарстанское управление ГИБДД справилось с неполадками. «Управление ГИБДД МВД по Республике Татарстан сообщает, что все регистрационные и экзаменационные подразделения работают в штатном режиме», — сообщили в ведомстве.

Разумеется, тут же возникло множество конспирологических версий происходящего о заговоре то ли России, то ли против России, а Эдвард Сноуден уже предположил, что здесь не обошлось без знаменитой АНБ. «Хакерская атака на общероссийскую информационную базу ФИСМ 12 мая в течение 40 - 45 минут оставалась незамеченной в регионах. По предварительным данным, все это время продолжалось скачивание базы данных системы. Хакеры могли получить доступ не только к регистрационным данным граждан и автотранспорта, но и к базе судебных приставов, которая подгружена в ФИСМ. Ранее базы были объединены для блокировки регистрационных действий со спорным движимым имуществом», — сообщил один из известных Telegram-каналов. Но, к примеру, известный интернет-деятель Антон Носик не верит в подобное и объясняет суть проблемы очень просто. «На самом деле пятничная вирусная атака была совершенно прицельно направлена против тех, кто с марта 2017 года не удосужился обновить на своем компьютере операционную систему Windows. Мартовское обновление от Microsoft содержало патч, делающий систему неуязвимой для атак подобного рода... В результате именно эти компьютеры оказались заражены вирусом», — написал Носик у себя в блоге.

«Ключевая проблема в этом вирусе, что здесь не нужно действие пользователя, — рассказал „БИЗНЕС Online“ один из участников IT-рынка Казани. — Достаточно, чтобы компьютер просто был подключен к сети и имел статический белый адрес. Компьютер заражается автоматически. Ни я, ни знакомые не пострадали и как раз это совет, в том числе потому что мы не пользуемся Windows, а сидим на операционной системе Linux. Атака произошла как раз на тех, кто использовал Windows».

«Многие эксперты расценили произошедшие атаки как некий акт подготовки к кибервойне, поскольку атакованы именно стратегические объекты: банки, транспорт, область здравоохранения. Я не склонен драматизировать. Скорее всего, атаку провела профессиональная кибергруппа, цель которой — заработать деньги, —  считает Иван Шашуров, эксперт в области информационной безопасности компании «ICL Системные технологии». — На самом деле таких атак с использованием вымогательского ПО проводится очень много. Причем злоумышленниками атакуются именно те компании, чей бизнес тесно завязан с IT, — они платежеспособны. Социальные же учреждения, попавшие под атаку, скорее всего, не являлись прямой целью, поскольку шанс получить с них деньги минимален. В будущем число подобных атак будет только расти. Бизнес-процессы становятся все более зависимыми от IТ-сервисов, именно этим и пользуются злоумышленники в своем стремлении заработать».

Позже стало известно, что распространение вируса-вымогателя WannaCry удалось случайно приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. По словам специалиста по кибербезопасности, он обнаружил, что вирус обращается к этому домену, и решил зарегистрировать его, чтобы следить за активностью программы. После этого на домен пришли десятки тысяч запросов. Предположительно эту возможность предусмотрели сами авторы вируса, чтобы воспользоваться ей в крайнем случае. «Защититься от подобных атак можно, используя решения класса „песочница“: такие решения устанавливаются в сеть организации для проверки всех файлов, приходящих на почту сотрудникам или скачиваемых ими из интернета», — сообщили ТАСС в компании Group-IB, которая, в частности, расследовала хакерские атаки на Энергобанк. «Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены — недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флешки и переходить по сомнительным ссылкам, вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем», — отметили в компании.


«ПРАКТИКА ЭТА НЕ НОВАЯ»

За экспертным мнением «БИЗНЕС Online» обратился к одному из самых известных казанских IT-предпринимателей, президенту ГК Fix Дмитрию Еремееву.

— Дмитрий, что можете сказать о вирусе WannaCry? Насколько он опасен?

— Практика эта не новая. Мы даже сами у себя сталкивались с подобным вредоносом. Речь идет о том, что злоумышленники посредством шифрования Windows шифруют файлы, а для того чтобы дешифровать, они требуют деньги. Выгода этой атаки очевидна — с каждой старушки по рублю, как говорится. Я не знаю, сколько кошельков биткоинов используется, но косвенно можно выследить, сколько денег это уже принесло.

— То, что пострадали компьютеры МВД и других крупных компаний, говорит о том, что они слабо защищены и компании не уделяют должного внимания информационной безопасности?

— Этот вопрос — вопрос настройки политики безопасности Windows. Если пользователь — админ на своем компьютере, соответственно, там стоит определенная версия Windows, которая не защищена от такого вида проблемы, то в этом случае компьютер уязвим. Если же настройки политики безопасности не позволяли бы это сделать, тогда пользователь просто не смог бы зашифровать все важные данные. Опять же бэкапы (бэкап (от англ. back up) — полная или частичная резервная копия операционной системы, программ, пользовательских документов никто не отменял. Такой архив позволяет восстановить информацию после возникновения технических сбоев, поломок оборудования. Средствами бэкапа также можно автоматизировать процесс переноса настроек и программ с одного устройства на другое — прим. ред.). Это комплексный момент.

Так деньги люди зарабатывают уже достаточно давно. Раньше это начиналось с Qiwi-кошелька: «Отправь деньги на Qiwi, сообщи номер на чеке, который тебе распечатают, и ИНН на чеке и будет паролем для дешифровки». Со временем злоумышленники, видимо, поняли, что биткоины — более удобное средство. Основная проблема злоумышленников сейчас, на мой взгляд, заключается в том, что они не подсчитали распространяемость своего продукта, и он слишком хорошо разошелся. Думаю, что сейчас в связи с этим у них будут большие проблемы, потому что, я уверен, кошельки и движение средств по биткоину будут внимательно наблюдать и ждать ошибки с их стороны, чтобы их выследить.

— То есть найти авторов вируса будет несложно?

— Это зависит от того, совершат ли они ошибки. Всю схему я здесь раскрывать не буду, потому что это может помешать их поиску. Этот подход, этот механизм шифрования используется довольно массово и достаточно часто. Раньше, как правило, шифровалась бухгалтерия предприятия, механизм распространения был следующий: человек получал письмо на е-mail со вложенной ссылкой «вам счет на оплату». Он кликал, и если на компьютере у пользователя, который проходил по ссылке, стояли соответствующие права и операционная система соответствующей версии Windows, то его компьютер шифровался, его друзьям также по е-mail отсылались подобные письма и дальше требовались деньги. По сути, это все то же самое, что было несколько лет назад, и происходит постоянно. Просто механика распространения была использована некая иная. С одной стороны, мошенники используют биткоины — очевидно, что усложнится процесс выявления злоумышленников. С другой стороны, они используют более быстрые механизмы распространения вируса.

— В том, что пострадали компьютеры МВД, есть угроза безопасности для страны? Есть вероятность, что произошла утечка информации?

— Я думаю, что утечка информации вряд ли произошла. А угроза... Если сотрудники по какой-то причине не делали бэкапы и халатно относились к своим обязанностям, то вполне возможно, что угроза есть. Я бы, честно говоря, в отношении таких сотрудников, провел бы служебное расследование. Тот, кто хранит какие-то особо важную для страны информацию и не делает резервные копии, не очень относится к вопросам безопасности. Но я надеюсь, что реальной угрозы для безопасности страны нет. Единственное, что это создало некие временные неудобства. И критическая информация, во-первых, всегда дублируется, во-вторых, ее просто нет на компьютерах. А если она и есть, то я уверен, что с большой долей вероятности, она не пострадала.

— Такого масштаба атаки уже были реализованы раньше, с финансовой точки зрения, или это самая большая атака за последнее время?

— Мне сложно сказать о масштабе этой атаки. Я не считаю, что она самая большая или гигантская. Были вредоносы более страшные и более сильные уязвимости, которые позволяли распространять вредоносные программы значительно быстрее и эффективнее. Это очевидно.

Просто здесь сошлось то, что пользователю не просто устанавливается на компьютер каким-то очень эффективным методом вредная программа, а то, что этот компьютер фактически становится непригодным к пользованию, что вызывает соответствующую реакцию. Потому мошенники, создатели вредоносов, как правило, стараются создать другие механики. Т. е. программа точно так же зачастую эффективно внедряются на компьютеры, но она не блокирует его работу, она пытается другим способом монетизировать пользователя — она меняет ему рекламу, например, делает еще какие-то действия и спокойно живет с пользователем. В конечном итоге злоумышленник зарабатывает на пользователе гораздо больше, чем подобные агрессивные механики.

— Сколько в итоге удалось заработать злоумышленникам?

— Во время беседы с вами я посмотрел: беглый осмотр показывает, что злоумышленниками используются три биткоин-адреса. Суммарно на них числится 15 биткоинов.

— Если перевести на сегодняшний курс (96 806,4 рубля), то это почти 1,5 миллиона рублей. Не такая уж и большая сумма. Выходит, не все захотели дешифровывать свои компьютеры?

— Я думаю, пик будет завтра-послезавтра, заражения еще только начались, судя по интенсивности транзакций. С одного компьютера злоумышленник получает от 300 до 600 долларов.

— Можно проследить, из каких стран шли поступления? В новостях фигурировали и Великобритания, и Испания.

— Нужно посмотреть, кому принадлежит биткоин-адрес, скорее всего, они принадлежат каким-то биржам, обменным пунктам.

— Как думаете, будут те, кто просто махнет рукой и выбросит свои компьютеры?

— Некоторые не делали бэкапов, у них какая-то важная деятельность — у них просто нет выхода, они будут платить.

— А кто-то, кроме тех, кто запустил вирус, может дешифровать пораженные компьютеры?

— Возможно, теоретически решение какое-то есть. Но это будет зависеть от многих нюансов.

Печать
Нашли ошибку в тексте?
Выделите ее и нажмите Ctrl + Enter
Комментарии (47) Обновить комментарииОбновить комментарии
Анонимно
13.05.2017 19:02

Вкладывать надо в реальный сектор экономики, например в сельское хозяйство. Коровники строить, а не рональдиньо вызывать на день и сабантуи в италиях проводить.

  • Анонимно
    13.05.2017 18:04

    Ждём роста курса биткоинов.

  • Анонимно
    13.05.2017 18:04

    Да, выбрасывайте Винду на помойку вместе с Андроидом)))

  • Не Аноним
    13.05.2017 18:05

    Носик не прав, мартовское обновление WIndows не полностью закрывает уязвимость в протоколе

    • Анонимно
      13.05.2017 18:14

      Полностью закрывает. Более того, MS выпустили обновление даже для XP. Так что пострадали балбесы. А вообще - великая глупость хранить все данные в одном месте.

  • Анонимно
    13.05.2017 18:27

    а нам то что делать?

    • Анонимно
      13.05.2017 19:16

      Подождать пару дней, обычно за такой срок успевают написать декрипторы.

      • Анонимно
        13.05.2017 21:02

        Декриптора не будет, расходимся. Уже писали. А вообще, должны быть очень уж криворукие вирмейкеры, чтобы можно было декриптовать.

      • Анонимно
        13.05.2017 22:49

        Не на все шифровальщики есть дескрипторы

    • Анонимно
      13.05.2017 19:22

      А вы кто?

  • Анонимно
    13.05.2017 19:02

    Вкладывать надо в реальный сектор экономики, например в сельское хозяйство. Коровники строить, а не рональдиньо вызывать на день и сабантуи в италиях проводить.

    • Анонимно
      13.05.2017 21:30

      Какие коровники, какое сельское хозяйство?! Пора бы поумнеть, посмотреть бы на тот же Сингапур, или Японию. Развивать нужно наукоемкие производства и технологии! Они не зависят от погоды и нефти.
      Применительно к Татарстану, у нас зона рискованного земледелия, вот и гадает наш министр, вырастет - не вырастет. Нравится такая рулетка - пожалуйста, играйте, бюджет большой.

      • Анонимно
        14.05.2017 19:08

        Правильно, мясо и молоко из-за границы, а своих крестьян уничтожить как класс? Так? Да вы недалёкий человек.

        • Анонимно
          16.05.2017 11:54

          Вы похоже довольно близкий человек ) Мир шагает вперед 7 милыми шагами, а вы про методики 5 тысячелетней давности. В каменный век предлагаете вернутся?

  • Анонимно
    13.05.2017 19:16

    Копии файлов сохраните в носителях, независимых от компьютера (в флешках, во внешних жестких дисках и т.д.). Для операционной системы и программ создавайте бэкапы. Компьютеры (особенно с Windows XP) , желательно, пока шум не утихнет не подключать к интернету, и даже к локальной сети.

  • Анонимно
    13.05.2017 19:18

    Я конечно не специалист в этом, но что будет если данный (аналогичный) вирус пройдется по банкам. Многие давно перешли на безнал, что они будут делать своими карточками, несколько дней, или недель пока все это не нормализуется ?

    • Анонимно
      13.05.2017 19:50

      коволол или новопасит, дозировки смотреть в инструкции

  • ПанАлекс
    13.05.2017 19:24

    А что если что этот вирус запущен для того, чтобы все установили мартовское и майское обновление Винды? Уж слишком бурно СМИ и интернет реагируют - были же атаки и на миллионы компьютеров, но шума сейчас много больше. Не говоря уж о точных условиях его попадания:
    - через почту
    - статический IP
    - попав во внешний комп он старается войти во внутреннюю сеть и заразить менее защищенные от внутренней угрозы
    - Майкрософт знает через какую уязвимость атакует вирус и объявила что "перекрыла" обновлениями его - но это разве не явная отмазка чтобы саму МС не признавали виновной?
    Еще что известно, прошу...

    • Анонимно
      13.05.2017 21:19

      Дешифратора пока нет, возможно и не будет.
      Касперский пропустио вирус, что очень огорчает.
      Обновление винды март 2017 закрывало проблему.
      Атака проводилась через сервер SMBv1, на 445 порту. Те кто сидел за роутером не пострадали.
      Пока это самая масштабная атака крипто-вируса в истории

      • Не Аноним
        13.05.2017 23:16

        Есть случаи когда пострадали те, кто был за роутером. Причину точную пока не называли (возможно на самом роутере был проброс, либо роутер в режиме бриджа)
        Если верить секлабу, то уязвимость в протоколе SMBv2.

      • Анонимно
        15.05.2017 08:34

        все новые вирусы проходят любой авнтивирус

    • Анонимно
      13.05.2017 21:28

      Тогда можно сказать что это для того чтобы все перешли на Linux. Вирус кстати шифрует преимущественно файлы Microsoft Office, а вот файлы OpenDocument не трогает. Толи из за уважения хакеров к открытым програмным продуктам, толи просто от того что пользователи этих самых продуктов все равно не заплатят.

      • Анонимно
        13.05.2017 21:49

        Шифрует фото, видео, текстовые файлы, базы данеых, все что предствляет ценность. Не вводите людей в заблуждение

        • Анонимно
          13.05.2017 22:46

          OD тоже шифрует. Вы наверное из под Линукса вирус открывали, там он вообще не работает )

    • Анонимно
      15.05.2017 08:34

      все направлено против пиратских копий винды и все...кто не стаивт обновления те у кого пиратская винда и все а мвд и прочие давно б ы перешли на убунту и не знали б ы проблем

  • Анонимно
    13.05.2017 20:32

    У меня был опыт заражения компьютера вирусом-шифровальщиком. Интернет сказал, что файлы расшифровке не подлежат. Испорчено, так испорчена. Да здравствует бэк-ап.

  • Анонимно
    13.05.2017 20:46

    Apple акции значит взлетят))) выбрасывайте уязвимую тормозную Винду

    • Анонимно
      14.05.2017 00:14

      OS X не так просто установить на обычные ПК, плюс подавляющее большинство отечественных программ написано под Windows и в некоторых случаях (банк-клиенты, СЭД и тд) безальтернативно.

  • Анонимно
    13.05.2017 21:28

    Да здравствует линуск с нормальной политикой доступа, репозиториями свободой выбора де, и прочими ништяками

  • Анонимно
    13.05.2017 22:49

    надо было ставить linux :)

  • Анонимно
    14.05.2017 08:44

    а что делать тем у кого виндовс 7 и до 10 не обновился т.к. производитель решил что эта марка ноутбука обновляться не будет (ссылка на сайт производителя после сбоя обновления и официальный ответ сони там, ноутбук 2011года)?? обновления и поддержки 7 уже нет...

  • Анонимно
    14.05.2017 22:04

    Была такая атака в 2012,у нас бухгалтер запустил файл с вирусом на компьютере в итоге часть файлов оказалась зашифрованном, но были бекапы на отдельном диске так что легко отделались. Заметил очень интересную особенность: файлы с атрибутом только для чтения не пострадали т.к. не хватило прав и второе: через месяц на форуме доктор веба отправив зашифрованный .doc файл как запрос на помощь получил декриптор правда уже не актуально было, но он работал. Правда и в том что не все можно дешифровать.

    • Анонимно
      16.05.2017 11:06

      Это не атака, а банальнейшее заражение. Самостоятельное заражение - бухгалтером, запускавшим все подряд.

  • Анонимно
    14.05.2017 23:14

    Я работаю в филиале московской компании. Все компьютеры у нас на ХР. Адреса на мыло сделали нам москвичи, мой с моей длиннющей татарской фамилией. Диктовать его очень сложно, поэтому я иногда по телефону диктую личный, содержащий до собаки только цифры. На него партнеры шлют письма. И вот в пятницу я на него получаю письмо с вложением якобы от партнера с требованиями оплатить услуги, а перечень услуг во вложении. Спасло меня то, что мы не оплачиваем услуги, мы продаем товары. Я быстро удалил письмо, не вскрывая приложенные файлы. Теперь у меня вопрос к специалистам. Как произошло заражение вирусом в таком большом количестве компьютеров?

    • Анонимно
      15.05.2017 08:39

      потому что хр не поддерживается и двано надо перейти на семерку хотя бы...кто заразил из юзеров по локалке вирус махом заразил всех

      ситуация у вас или выдуманная или дурная к вирусу отношения не имеет.

  • Анонимно
    15.05.2017 10:51

    отследить биткоины невозможно - если на выходе "миксер".
    расшифровать нельзя - если используется "асимметрия".

    бекапы рулят :)

  • Анонимно
    16.05.2017 19:25

    /Достаточно, чтобы компьютер просто был подключен к сети и имел статический белый адрес. Компьютер заражается автоматически./
    А вот это ерунда. Если протокол Samba отключён в роутере, а он по умолчанию отключён в подавляющем большинстве роутеров, заражение по локальной сети не получится, нужен дроппер.

Оставить комментарий
Анонимно
Все комментарии публикуются только после модерации с задержкой 2-10 минут. Редакция оставляет за собой право отказать в публикации вашего комментария. Правила модерирования
[ x ]

Зарегистрируйтесь на сайте БИЗНЕС Online!

Это даст возможность:

Регистрация

Помогите мне вспомнить пароль