WannaCry

WannaCry (також відомий як WCry^[5], WCrypt, WannaCrypt, WNCRY, і WanaCrypt0r 2.0^[6]) — комп'ютерний вірус, що вражає операційну систему Microsoft Windows шляхом шифрування файлів. Вірус атакував урядові та комерційні установи з 12 травня 2017 року^[7]. Одними з перших були атаковані комп'ютери Іспанії, згодом вірус поширився на інші країни. Від вірусу також постраждали комп'ютери приватних осіб. Використовується як засіб здирництва.

WannaCry
Знімок екрану зараженої системи, де ілюстровано «записку викупу» даних.
Дата	12 травня 2017 – 15 травня 2017 рр. (початковий спалах)[1]
Місце	По всьому світу
Причина	WannaCry хробак
Результат	Понад 200,000 жертв та понад 300,000 комп'ютерів, заражених[2][3][4]
Арешт(и)	None
Підозрювані	Lazarus Group
Докази	Жодних
Медіафайли у Вікісховищі

WannaCry

Підтип	Програма-вимагач
Місце походження	Пхеньян, Північна Корея
Автор(и)	Lazarus Group

Станом на 17 червня 2017 року інфіковано комп'ютери 150 країн, кількість інфікованих комп'ютерів перевищила 500 000.^[8] Вимога переказати гроші перекладена 28 мовами світу.

Метод атаки

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією протягом 3 днів здійснити оплату ключа дешифрування в біткойнах в еквіваленті суми $300 для розблокування даних. Якщо потрібна сума не надійде, то сума автоматично буде збільшена вдвічі. На 7 день вірус знищить дані.

Повідомлення виводиться мовою держави, де розташовується ПК: у Великій Британії — англійською, в Іспанії — іспанською. Розмір викупу скрізь однаковий. Заражено десятки тисяч комп'ютерів у всьому світі.^[9]

Атака стала можливою через відому вразливість ОС Windows під назвою Microsoft Security Bulletin MS17-010 (EternalBlue)^[10] Компанія Майкрософт, виробник ОС Microsoft Windows рекомендувала оновити свою ОС. Про ранні версії WannaCrypt було відомо ще в лютому 2017 року. Майкрософт 14 березня випустила оновлення, що нейтралізує вразливість. Сама вразливість використовувалася Агентством національної безпеки США. Хакери опублікували кілька готових інструментів АНБ у вільному доступі.^[5] Майкрософт пішла на нестандартний крок і вирішила випустити патч також для Windows XP, Windows 8 і Windows Server 2003, які вже не підтримуються компанією і тому не отримували оновлень безпеки.^[11][12] Станом на 13 травня патч є для таких версій: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10 і Windows Server 2016, також доступні оновлення ядер для інших версій ОС.

Вірус змінює розширення інфікованого файлу на «.WNCRY». Зашифровані файли також містять на початку файлу рядок «WANACRY!».^[6]

За повідомленням компанії Avast Antivirus (виробника антивірусу), її антивірус ловить всі модифікації вірусу, однак вони радять оновити й Windows.^[6]

У Великій Британії інфікування комп'ютерів в лікарнях стало можливим через те, що близько 1000 ПК дотепер використовують стару версію Windows XP^[13].

Перебіг подій

12 травня 2017 року вірус Wannacrypt поширився світом. Атаки зазнали багато країн, але найбільше інфікованих комп'ютерів у кількох — в Україні, Росії, Тайвані, Британії, Іспанії^[14], Німеччині.

Спочатку були атаковані ПК в Іспанії, компанії Telefónica, Gas Natural, Iberdrola, що займається постачанням електрики, Centro Nacional de Inteligencia, банк Santander і філія консалтингової компанії KPMG.^[5] Атаки розпочалися вдень 12 травня

У Великій Британії було інфіковано комп'ютери в лікарнях (NHS trusts),^[13] а в Іспанії — іспанська телекомунікаційна компанія «Telefónica», одна з найбільших телефонних компаній у світі (четверта за кількістю абонентів). У Росії були атаковані міністерства, Сбербанк і МегаФон.^[15] У Німеччині були інфіковані комп'ютери Deutsche Bahn.

Увечері 13 травня видання Медуза повідомило, що зловмисники встигли заробити близько 6000 дол.^[16]

МВС Росії спочатку спростовувало зараження своїх ПК вірусом, хоча пізніше підтвердило. Ірина Вовк, офіційний представник МВС Росії заявила: «Серверні ресурси МВС Росії не піддавалися зараженню завдяки використанню інших операційних систем і вітчизняних серверів з російським процесором „Ельбрус“».^[17] Кількість заражених ПК склала близько 1000, що становить близько 1 % всіх комп'ютерів МВС.^[17] В деяких областях РФ мережа МВС тимчасово не працювала.

Станом на 13:20 13 травня, за даними сайту MalwareTech botnet tracker,^[8] інфіковано 131 233 комп'ютерів у всьому світі, з них онлайн — 1145.

Вдень 13 травня французький автовиробник Renault оголосив, що зупинив роботу своїх заводів, щоб перевірити свої ПК.^[18] Інший автозавод — Nissan Motor Manufacturing UK (Тайн і Вір, Англія) також зупинив виробництво через вірус.^[19]

По обіді 13 травня англійський програміст Маркус Хатчінс зареєстрував домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com [Архівовано 29 березня 2022 у Wayback Machine.], до якого звертається вірус і таким чином заблокував його роботу.^[20]

Атрибуція атаки

Спочатку відповідальними за хакерську атаку британське видання The Telegraph назвало угрупування Shadow Brokers, пов'язану з російськими урядовими структурами^[21][22][23].

Проте вже в червні 2017 року британський Національний центр з кібербезпеки (англ. National Cyber Security Centre) поклав відповідальність за атаку на КНДР^[24]. В грудні того ж року уряд Сполучених Штатів оприлюднив власні висновки, згідно яких відповідальність лежить на угрупуванні Lazarus Group, за яким стоїть уряд КНДР^[25].

Див. також

• Хакерські атаки на Україну (2017)
• EternalBlue

Примітки

1. The WannaCry ransomware attack was temporarily halted. But it’s not over yet. Архів оригіналу за 28 жовтня 2017. Процитовано 18 січня 2020.
2. Ransomware attack still looms in Australia as Government warns WannaCry threat not over. Australian Broadcasting Corporation. Архів оригіналу за 15 травня 2017. Процитовано 15 травня 2017 року.
3. Кемерон, Делл. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. Gizmodo. Архів оригіналу за 9 квітня 2019. Процитовано 13 травня 2017 року.
4. Shadow Brokers threaten to release Windows 10 hacking tools. The Express Tribune. 31 травня 2017 року. Архів оригіналу за 10 липня 2017. Процитовано 31 травня 2017 року.
5. Всесвітня кібератака: вірус охопив комп'ютери з WINDOWS, які не оновилися — ЗМІ. Архів оригіналу за 13 травня 2017. Процитовано 13 травня 2017.
6. Ransomware that infected Telefonica and NHS hospitals is spreading aggressively, with over 50,000 attacks so far, today. Архів оригіналу за 5 травня 2019. Процитовано 13 травня 2017.
7. Кіберзагроза: WANNACRY атакував системи головного залізничного оператора Німеччини. Архів оригіналу за 16 травня 2017. Процитовано 13 травня 2017.
8. WCRYPT [Архівовано 13 травня 2017 у Wayback Machine.], MalwareTech botnet tracker
9. Як вірусом-здирником заражаються комп'ютери по всьому світу. Карта [Архівовано 13 травня 2017 у Wayback Machine.], ТСН, 12 травня 2017
10. "Лабораторія Касперського": вірус-здирник атакував 74 країни світу, РФ постраждала найбільше. ТСН. Архів оригіналу за 13 травня 2017. Процитовано 13 травня 2017.
11. Surur (13 травня 2017). Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003. Архів оригіналу за 29 травня 2020. Процитовано 13 травня 2017.
12. MSRC Team. Customer Guidance for WannaCrypt attacks. microsoft.com. Архів оригіналу за 21 травня 2017. Процитовано 13 травня 2017.
13. Hern, Alex; Gibbs, Samuel (13 травня 2017). What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian. London. ISSN 0261-3077. Архів оригіналу за 12 травня 2017. Процитовано 13 травня 2017.
14. Масштабна хакерська атака вивела з ладу десятки тисяч комп'ютерів в усьому світі. Архів оригіналу за 17 травня 2017. Процитовано 13 травня 2017.
15. У Росії масштабний вірус-вимагач атакував комп'ютери міністерств, «Сбербанку» та «Мегафона» [Архівовано 13 травня 2017 у Wayback Machine.], ТСН, 13 травня 2016
16. Стало відомо, скільки грошей заробили автори вірусу-здирника WANNACRY. Архів оригіналу за 13 травня 2017. Процитовано 13 травня 2017.
17. Російський процесор «Ельбрус» врятував сервери МВС від вірусу-здирника, який атакував комп'ютери по всьому світу. Архів оригіналу за 16 травня 2017. Процитовано 13 травня 2017.
18. Renault остановил несколько заводов после кибератаки [Архівовано 21 жовтня 2017 у Wayback Machine.], gazeta.ru, 13 травня 2016
19. Sharman, Jon (13 травня 2017). Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France. www.independent.co.uk. Архів оригіналу за 16 травня 2017. Процитовано 14 травня 2017.
20. Комп’ютерний вірус, що уразив світ, вдалося зупинити. Стало відомо як (Відео). Архів оригіналу за 15 травня 2017. Процитовано 13 травня 2017.
21. The Telegraph: Robert Mendick. Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency (12.05.2017). Архів оригіналу за 12 травня 2017. Процитовано 14 травня 2017.
22. Українська правда: ЗМІ повідомляють про російський слід у масштабній вірусній атаці. Архів оригіналу за 15 травня 2017. Процитовано 14 травня 2017.
23. УНІАН: Масштабна атака вірусу-здирника: ЗМІ знайшли російський слід. Архів оригіналу за 16 травня 2017. Процитовано 14 травня 2017.
24. Gordon Corera (16 June 2017). NHS cyber-attack was 'launched from North Korea'. BBC News. Архів оригіналу за 19 грудня 2017. Процитовано 19 грудня 2017.
25. Dustin Volz (DECEMBER 19, 2017). U.S. blames North Korea for 'WannaCry' cyber attack. Reuters. Архів оригіналу за 19 грудня 2017. Процитовано 19 грудня 2017.

Посилання

• Ransom: Win32/Wannacrypt.A!rsm [Архівовано 23 червня 2017 у Wayback Machine.] at Microsoft Malware Protection Center