Сегодня 18 ноября 2017
18+
Теги → wannacry
Быстрый переход

Остановивший WannaCry хакер отрицает вину в создании банковского трояна

Британский исследователь кибербезопасности Маркус Хатчинс (Marcus Hutchins), который помог остановить распространение вируса-вымогателя WannaCry, в федеральном суде не признал себя виновным в создании банковского трояна Kronos.

nbcnews.com

nbcnews.com

Хатчинс был арестован 3 августа в Лас-Вегасе вслед за конференциями Black Hat и Defcon. Суд Восточного округа штата Висконсин предъявил ему обвинения по шести статьям. Предполагается, что вместе с неназванным сообщником Хатчинс рекламировал банковский вирус на чёрном онлайн-рынке AlphaBay. В обвинении говорится, что 11 июня 2015 года они продали троян примерно за $2 тысячи в цифровой валюте.

В акте утверждается, что подсудимый, известный в Сети под псевдонимом MalwareTech, «распространял электронными способами рекламу электронного, механического или другого устройства, зная и имея причину знать, что конструкция такого устройства делает его в первую очередь полезным для тайного перехвата электронных сообщений». Также Хатчинса обвинили в продаже такого устройства.

За пределами федерального суда Милуоки, в котором исследователь объявил себя невиновным, его адвокат Марсия Хофманн (Marcia Hofmann) сказала, что подсудимый «намерен решительно защищаться от этих обвинений, а когда обнаружатся улики, мы уверены, что он будет полностью оправдан».

securityintelligence.com

securityintelligence.com

В июле 2014 года исследователи IBM сообщили, что вредоносное ПО можно было купить на российских нелегальных форумах за $7 тысяч. Оно позиционировалось как способ кражи паролей и других финансовых данных, отправляемых через крупные браузеры. В рекламе Kronos утверждалось, что троян способен обходить антивирусную защиту и браузерные меры безопасности.

В ожидании судебного разбирательства Хатчинс будет жить в Лос-Анджелесе. Его перемещения будут отслеживаться с помощью GPS-устройства.

За создание банковского трояна арестован хакер, который помог остановить WannaCry

В среду Маркус Хатчинс (Marcus Hutchins), автор блога в сфере кибербезопасности MalwareTech, был арестован в Лас-Вегасе за «участие в создании и распространении банковского трояна Kronos». Об этом сообщил представитель Министерства юстиции США.

nbcnews.com

nbcnews.com

12 июля 2017 года суд Восточного округа штата Висконсин предъявил Хатчинсу обвинения по шести статьям. Речь идёт о злонамеренных действиях, совершённых с июля 2014 года по июль 2015 года. Сообщается, что он занимался разработкой вредоносного программного обеспечения и распространял его по Интернету.

Разработанный Хатчинсом троян похищал учётные записи и личную информацию пользователей и помещал на их компьютеры вредоносный код. Ранее в этом году эксперт в сфере безопасности стал известен как человек, который помог остановить распространение кибератаки WannaCry, нанёсшей значительный ущерб предприятиям в более чем 150 странах. Лишь недавно авторам вируса-вымогателя удалось вывести награбленные средства.

Вирус блокировал компьютеры и за расшифровку файлов требовал жертву перевести на счёт хакеров от $300 до $600 в биткоинах. Вредоносной программой были заражены сотни тысяч компьютеров по всему миру, включая Россию. Из-за ущерба, например, некоторые больницы в Великобритании вынуждены были прекратить обслуживать пациентов.

Хатчинс, который также является исследователем вредоносного ПО в компании Kryptos Logic, обнаружил в коде WannaCry незарегистрированное доменное имя и выкупил его за $11. Тем самым он остановил распространение вируса.

Авторы WannaCry вывели награбленные с помощью вируса средства

Прошло двенадцать недель с тех пор, как вирус-вымогатель WannaCry атаковал компьютеры по всему миру, зашифровав на них файлы и потребовав от пользователей выкуп в размере от $300 до $600 в биткоиновом эквиваленте. С его помощью хакерам удалось собрать порядка $140 000, распределённых по трём биткоин-кошелькам, на которые жертвы переводили средства. При этом злоумышленники не спешили обналичивать их, понимая, что счета находятся под наблюдением правоохранительных органов. Однако минувшим вечером на кошельках было зафиксировано движение средств.

12 мая это окно увидели пользователи многих компьютеров по всему миру

12 мая это окно увидели пользователи многих компьютеров по всему миру

Первые транзакции были осуществлены в 11:10 вечера среды по североамериканскому восточному времени (5:10 утра четверга по московскому времени). С первого кошелька было снято 7,34 BTC ($20 055), со второго — 8,73 BTC ($23 856), с третьего — 9,67 BTC ($26 434). То есть в сумме было выведено порядка $70 000. Спустя пять минут были произведены ещё три операции на 7, 10 и 9 биткоинов ($19 318, $27 514 и $24 698 соответственно). По прошествии десяти минут хакеры совершили последнюю транзакцию, выведя со второго кошелька оставшиеся 9,67 биткоина ($26 508).

Скорее всего, переводы осуществлялись через так называемый биткоин-миксер, который не позволяет отследить пути конвертации криптовалюты в валюту реальную. Данный процесс является виртуальным аналогом отмывания денег в реальном финансовом мире.

Honda остановила автозавод в Японии после атаки вируса WannaCry

Компания Honda Motor сообщила в среду, что на этой неделе она была вынуждена остановить на день производство на местном автомобилестроительном заводе после того, как в компьютерной сети был обнаружен вирус WannaCry, атаковавший в прошлом месяце компьютеры многих пользователей по всему миру.

REUTERS/Arnd Wiegmann

REUTERS/Arnd Wiegmann

Производство было остановлено в понедельник на заводе Honda в Саяме, находящемся к северо-западу от Токио, где ежедневно выпускается около 1000 различных моделей автомобилей, включая Accord, Odyssey Minivan и Step Wagon.

В пресс-службе компании сообщили, что вирус был обнаружен в компьютерных сетях в воскресенье, появившийся несмотря не предпринятые усилия по обеспечению безопасности после того, как в середине мая он вызвал широкомасштабные сбои на заводах, в больницах и магазинах по всему миру.

honda.co.jp

honda.co.jp

По словам представителя Honda, производство на других заводах автопроизводителя не пострадало от атаки вируса, и во вторник работа на заводе в Саяме была возобновлена.

Конкурент японского автопроизводителя альянс Renault–Nissan тоже был атакован этим вирусом в прошлом месяце, из-за чего компаниям альянса пришлось приостановить производство на заводах в Японии, Великобритании, Франции, Румынии и Индии.

В организации атаки вымогателя WannaCry подозревается Северная Корея

К организации масштабной атаки опасного шифровальщика WannaCry могут быть причастны киберпреступники, связанные с Северной Кореей. К такому выводу пришли эксперты Подразделения национальной компьютерной безопасности в составе Центра правительственной связи Великобритании.

Напомним, что 12 мая пользователи и организации по всему миру пострадали от масштабной атаки вымогателя WannaCry. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300–600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

WannaCry атаковал пользователей по всему миру. По количеству заражений лидируют Россия, Украина и Индия. В Великобритании были инфицированы компьютеры в больницах (NHS trusts).

Британские эксперты, как сообщают сетевые источники, пришли к выводу, что атака WannaCry могла быть организована киберпреступной группировкой Lazarus Group. Это сообщество сетевых злоумышленников, предположительно, имеет северокорейское происхождение.

По данным «Лаборатории Касперского», Lazarus Group известна с 2009 года, а с 2011 года она заметно активизировалась. Группа ответственна за такие известные атаки, как Troy, Dark Seoul (Wiper), WildPositron. Мишенями группировки были предприятия, финансовые организации, радио и телевидение. Кроме того, группа Lazarus ответственна за атаку на Sony Pictures в 2014 году. 

Microsoft выпустила обновления для Windows XP и других старых систем в связи с растущим риском кибератак

В прошлом месяце Microsoft неожиданно выпустила для Windows XP обновление, которое должно было помочь в борьбе с вирусом-вымогателем WannaCry. Компания прекратила поддержку операционной системы ещё в апреле 2014 года. Но теперь она сделала беспрецедентный ход и включила Windows XP в еженедельный раунд обновлений.

«При анализе обновлений за этот месяц были выявлены некоторые уязвимости, которые повышают риск кибератак со стороны правительственных организаций, иногда называемых государственными деятелями, или других похожих организаций, — заявила Эдриэн Холл (Adrienne Hall), генеральный менеджер по антикризисному управлению Microsoft. — Чтобы устранить этот риск, вместе с регулярными вторничными обновлениями мы предоставляем дополнительные обновления безопасности. Они доступны всем клиентам, включая тех, кто использует старые версии Windows».

Microsoft выпускает обновления для Windows XP, Vista и других не поддерживаемых и поддерживаемых версий операционной системы в связи с растущим риском атак наподобие WannaCry. Компания отметила, что это не должно восприниматься как отход от стандартной политики обслуживания. Это исключение, вызванное тем, что правительственные организации могут использовать новые уязвимости для проведения атак на системы Windows.

Редмондцы не уточнили, кто намекнул на потенциальные атаки. Это могут быть хакеры из группировки Shadow Brokers, которая известна взломом информационных систем Агентства национальной безопасности США (АНБ).

Если вы всё ещё пользуетесь Windows XP, то обновления стоит установить немедленно — несмотря на то, что большинство пострадавших от WannaCry компьютеров работали на Windows 7.

Ошибки в WannaCry помогут вернуть зашифрованные файлы

«Лаборатория Касперского» провела глубокий анализ опасного шифровальщика WannaCry и обнаружила в его архитектуре ошибки, которые помогут частично вернуть закодированные файлы.

Напомним, что 12 мая пользователи и организации по всему миру пострадали от масштабной атаки вымогателя. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300–600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Переименованные оригинальные файлы, которые можно восстановить из директории %TEMP%

Переименованные оригинальные файлы, которые можно восстановить из директории %TEMP%

Эксперты «Лаборатория Касперского» выяснили, что в процессе работы зловред читает содержимое оригинального файла, шифрует его и сохраняет в файл с расширением «.WNCRYT». После окончания процесса шифрования WannaCry перемещает файл с расширением «.WNCRYT» в файл «.WNCRY» и удаляет оригинальный файл. При этом логика операций удаления может меняться в зависимости от расположения и свойств оригинальных файлов.

Если файл находится на рабочем столе или в папке «Документы», то перед удалением поверх него будут записаны случайные данные. В этом случае способов восстановить содержимое исходного файла нет.

При кодировании данных в других папках оригинальные файлы перемещаются в директорию %TEMP%\%d.WNCRYT, где %d — это числовое значение. Эти файлы содержат первоначальные данные, поверх которых ничего не пишется, — они просто удаляются с диска. Поэтому существует высокая вероятность, что оригинальные файлы можно будет вернуть при помощи программ восстановления данных. Важно также отметить, что исходные файлы удаляются небезопасно — это повышает шансы на успешное восстановление.

Оригинальные файлы с защитой от записи не зашифровываются

Оригинальные файлы с защитой от записи не зашифровываются

Более того, в WannaCry содержится ошибка обработки файлов с защитой от записи. Если на заражённом компьютере есть такие файлы, то вымогатель их не зашифрует вообще: будут созданы зашифрованные копии каждого такого файла, а сами оригиналы лишь получат атрибут «скрытый». В таком случае их восстановление не составит особого труда. 

Эксперты оценили ущерб от WannaCry в $1 млрд

Вирус-вымогатель WannaCry, шифрующий файлы на заражённых компьютерах под управлением операционных систем Windows и требующий выкуп от $300 в биткоиновом эквиваленте, атаковал Интернет две недели назад. Уже тогда многие эксперты предрекали серьёзный ущерб, который несёт с собой данная программа. И вот, наконец, появились предварительные оценки убытков от упомянутой атаки, охватившей, по разным данным, от 200 до 300 тысяч компьютеров по всему миру.

В компании KnowBe4, занимающейся вопросами информационной безопасности, полагают, что ущерб, причинённый WannaCry в первые четыре дня его активности, может превысить $1 млрд. Эта сумма складывается из потерь по причине простоев и снижения производительности, трат на восстановление повреждённых данных и обучение персонала для предотвращения подобных инцидентов в будущем, а также других прямых или косвенных расходов. Не секрет, что от WannaCry наиболее серьёзно пострадали не простые пользователи, а организации — как коммерческие, так и государственные.

При этом сами вымогатели «заработали» на выкупах чуть более 50 биткоинов, что по текущему курсу криптовалюты к доллару США (1 BTC = $2735) эквивалентно сумме, немного превышающей $137 000. По мнению экспертов, это достаточно мало для атаки такого масштаба, а значит не исключено, что финансовый вопрос на данном этапе интересовал хакеров не в первую очередь. В таком случае следует опасаться новых, более разрушительных вирусных эпидемий.

KnowBe4 также приводит данные из отчёта Cybersecurity Ventures, согласно которым суммарный ущерб от вирусов-вымогателей за последние два года вырос в 15 раз и продолжает увеличиваться в среднем на 350 % в год.

Глава Минкомсвязи: WannaCry не виноват в сбое в сети «МегаФона»

В минувшую пятницу, 19 мая, абоненты оператора сотовой связи «МегаФон» в Москве, Самаре, Казани, Нижнем Новгороде и в других крупных городах ощутили на себе все «прелести» глобального технического сбоя, результатом которого явилась невозможность совершать голосовые вызовы и отправлять SMS. По Интернету сразу же поползли слухи о том, что данный сбой якобы стал следствием атаки вируса-вымогателя WannaCry, которая произошла ровно за неделю до этого. Однако пресс-служба телекоммуникационной компании данную информацию не подтвердила, а теперь связь инцидента с вредоносной программой опроверг и глава Минкомсвязи Николай Никифоров.

megafon.ru

megafon.ru 

Как передаёт информационное агентство РИА «Новости» со ссылкой на интервью Никифорова телеканалу «Россия 24», имевшие место технические неполадки никак не связаны с нашумевшим вирусом и были вызваны проблемами с программным обеспечением Hewlett Packard. При этом министр отметил, что данный сбой стал одним из крупнейших в истории сотовой связи в РФ и назвал это тревожным знаком. Но всё же он призвал не драматизировать ситуацию, отметив, что технические службы оператора смогли оперативно устранить неисправность и восстановить работоспособность сети.

Николай Никифоров (фото с сайта Минкомсвязи)

Николай Никифоров (фото с сайта Минкомсвязи)

Аналогичного мнения глава Минкомсвязи придерживается и относительно WannaCry. По его словам, которые приводит РИА «Новости», «различного рода вирусные компьютерные эпидемии возникали и много лет до того, но просто компьютеров становится всё больше, всё больше из них подключены к сети, на всё большей скорости». 

Дешифратор WannaCry создан, но не всё так просто

Чтобы уберечься от вируса-вымогателя WannaCry, нужно не так уж много — установить необходимые обновления для Windows (или специальный патч для систем, которые более не поддерживаются) и соблюдать простые правила безопасности в Сети. Однако что делать, если компьютер уже пострадал от вредоносной программы, и файлы на нём оказались зашифрованы, а их резервных копий нет? Платить киберпреступникам эксперты по безопасности категорически не советуют — во-первых, эти действия будут только поощрять злоумышленников; во-вторых, нет никакой гарантии, что таким способом можно действительно вернуть доступ к информации, и перечисленная сумма (а это не менее $300) не окажется потраченной зря. Впрочем, на сегодняшний день уже существуют программы, которые позволяют дешифровать закодированные вирусом данные без уплаты выкупа. Одна из них называется WannaKey, но работает она только под Windows XP. Французский исследователь Бенджамин Делпи (Benjamin Delpy) создал на её базе собственный инструмент, который называется WannaKiwi и подходит не только для Windows XP, но также и для Windows Server 2003 и Windows 7. Кроме того, теоретически приложение должно работать на Windows Vista, 2008 и 2008 R2.

Принцип, по которому действует WannaKiwi, аналогичен алгоритму WannaKey. Он основан на том, что после активации вредоносной программы простые числа ключа шифрования сохраняются в компьютере, и WannaKiwi может их найти и по ним восстановить сам ключ. Однако, чтобы это сработало, необходимо применить WannaKiwi как можно скорее после заражения, и при этом не перезагружать компьютер. Если данные условия не будут соблюдены, то необходимые для «реконструкции» ключа компоненты, скорее всего, окажутся перезаписаны, и утилита Бенджамина Делпи окажется бессильна.

Впрочем, пока борцы за компьютерную безопасность искали «лекарство» от WannaCry, вирусописатели также не сидели сложа руки. На днях исследователи обнаружили новый «штамм» вредоноса, который использует тот же механизм распространения, что и пресловутый WannaCry, наделавший немало шума больше недели тому назад. Ему дали название EternalRocks, и он также основан на эксплойте EternalBlue, созданным Агентством национальной безопасности США, но попавшим в руки хакеров. При этом EternalRocks использует ещё шесть инструментов, в том числе EternalChampion, EternalRomance и DoublePulsar. Как утверждают источники, все они также были разработаны в АНБ, и благодаря ним новый вирус сможет распространяться быстрее и поражать большее количество компьютеров. Правда, пока найденные образцы не представляют какой-либо угрозы, так как не содержат в своём коде деструктивных элементов, таких как, к примеру, шифровальщик файлов. Однако это не значит, что впоследствии злоумышленники не смогут удалённо запустить данные механизмы на заражённых машинах.

Две трети пострадавших от вымогателя WannaCry компьютеров использовали Windows 7

Львиная доля компьютеров, пострадавших от опасного шифровальщика WannaCry, функционировала под управлением операционной системы Windows 7. К такому выводу, как сообщает Reuters, пришли специалисты BitSight.

Напомним, неделю назад, 12 мая, пользователи и организации по всему миру пострадали от масштабной атаки вымогателя WannaCry. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES — из-за этого восстановление зашифрованных файлов практически невозможно.

По данным BitSight, количество жертв WannaCry превышает 300 тыс. На двух третях (67 %) пострадавших компьютеров применялась операционная система Windows 7 без установленных обновлений безопасности. Ещё примерно 15 % инфицированных ПК полагались на новейшую платформу Windows 10. Оставшиеся 18 % компьютеров-жертв использовали другие версии Windows.

Половина всех интернет-адресов, которые подверглись атакам шифровальщика WannaCry, расположены в Китае и России — 20 % и 30 % соответственно. От своих жертв в качестве выкупа злоумышленники получили более 80 тысяч долларов США.

Эксперты предупреждают, что в ближайшее время могут появиться усовершенствованные модификации WannaCry, которые теоретически будут ещё опаснее. Поэтому специалисты настоятельно рекомендуют пользователям, ещё не загрузившим апдейт Microsoft, как можно скорее установить обновление MS17-010, закрывающее лазейку для вредоносной программы. 

Утилита ESET поможет проверить ПК на предмет защиты от шифратора WannaCry

Компания ESET выпустила специальную утилиту, которая поможет проверить рабочие станции на предмет защиты от атак вредоносной программы WannaCry.

Масштабная атака WannaCry была зафиксирована в конце прошлой недели. По последним данным, от этого шифратора пострадали пользователи и организации в 150 странах по всему миру. К сожалению, в настоящее время расшифровка повреждённых зловредом файлов не представляется возможной из-за использования гибридного алгоритма шифрования RSA+AES.

Вымогатель распространяется при помощи эксплойта EternalBlue для сетевой уязвимости в Microsoft Windows. За созданием этого инструмента, предположительно, стоит Агентство национальной безопасности США.

Несмотря на то, что Microsoft уже выпустила обновление MS17-010, закрывающее критическую уязвимость, которую эксплуатирует этот эксплойт, многие компьютеры остаются незащищёнными. Утилита ESET как раз и призвана помочь в предотвращении возможного проникновения WannaCry в систему.

Для проверки компьютера необходимо скачать архив, распаковать его и запустить VerifyEternalBlue.vbs. Простой скрипт извлекает из системы список установленных обновлений и ищет те, которые закрывают уязвимость. Достаточно исполнить скрипт, подождать около минуты и получить статус патча. Установить отсутствующее обновление MS17-010 можно отсюда.

ESET также отмечает, что создатели WannaCry получили от своих жертв уже больше 80 тысяч долларов США. Однако реальный ущерб от действий шифратора на порядки больше. 

Анатомия WannaCry: анализ опасного шифровальщика

«Доктор Веб» обнародовал предварительные результаты анализа вредоносной программы WannaCry, поразившей компьютеры под управлением Windows по всему миру.

Напомним, что в пятницу, 12 мая, была зафиксирована масштабная атака вымогателя. Зловред кодирует файлы распространённых форматов и требует выкуп в размере до 600 долларов США в биткоинах. Причём WannaCry использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Как сообщает «Доктор Веб», WannaCry — это сетевой червь, способный заражать Windows-компьютеры без участия пользователя. Зловред атакует все системы в локальной сети, а также удалённые интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445.

Вредоносная программа состоит из нескольких компонентов. После запуска троян регистрирует себя в качестве системной службы с именем mssecsvc2.0. Далее червь начинает опрашивать узлы, доступные в локальной сети заражённого ПК, а также компьютеры в Интернете. В случае успешного соединения зловред предпринимает попытку заразить эти компьютеры с использованием уязвимости в протоколе SMB.

В состав WannaCry входит дроппер — компонент, предназначенный для установки в операционную систему вредоносного исполняемого файла. В случае WannaCry дроппер содержит большой защищённый паролем ZIP-архив, в котором хранится зашифрованный файл с трояном-энкодером, обои рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приёма биткойнов, а также архив с программами для работы в сети Tor. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.

Собственно энкодер WannaCry шифрует файлы со случайным ключом. Троян содержит в себе авторский декодер, который удаляет на заражённом компьютере теневые копии и отключает функцию восстановления системы. Декодер позволяет расшифровать несколько тестовых файлов — приватный ключ, необходимый для их расшифровки, хранится в одном из компонентов вредоносной программы. «Однако расшифровка тестовых и всех остальных файлов выполняется с использованием разных ключей. Следовательно, никаких гарантий успешного восстановления повреждённых шифровальщиком данных даже в случае оплаты выкупа не существует», — говорит «Доктор Веб».

Более подробно с результатами исследования можно ознакомиться здесь

Эпидемия вымогателя WannaCry: обновлённая информация

«Лаборатория Касперского» рассказала о ситуации с эпидемией опасного шифровальщика WannaCry по состоянию на начало текущей недели.

Напомним, что в пятницу, 12 мая, пользователи и организации по всему миру пострадали от масштабной атаки вымогателя. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300–600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Анализ сетевых журналов, как отмечает «Лаборатория Касперского», даёт основания предполагать, что вымогатель WannaCry начал распространяться в четверг, 11 мая. Установить точное число заражений сложно. Оценить ситуацию позволяют данные с сервера, соединение с которым было запрограммировано в большинстве версий WannaCry (так называемый киллсвитч). В настоящее время на сервере Malwaretech, собирающем перенаправления с киллсвитч-кода, зарегистрировано более 200 тысяч уведомлений о заражении. Вместе с тем это число не включает в себя заражения внутри корпоративных сетей, где для подключения к Интернету требуется прокси-сервер. То есть реальное число жертв может быть больше.

Количество попыток атак WannaCry, зарегистрированных «Лабораторией Касперского» в минувший понедельник, 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы. Это позволяет предположить, что контроль над процессом заражения почти установлен. Кроме того, существенно сократилось количество обращений к порту 445, через который троян проникает в систему. Это также говорит в пользу того, что атака идёт на убыль.

Тем не менее, угроза заражения остаётся. Так, 13–14 мая появились как минимум две модификации зловреда. «Лаборатория Касперского» полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя — скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах. 

Между тем технический центр «Интернет» сообщает, что за кибератакой WannaCry могут стоять хакеры из Северной Кореи. Инженер корпорации Google Нил Мехта провёл анализ кода зловреда и пришёл к выводу, что некоторые его фрагменты имеют много общего с кодом инструментов, использованных ранее в атаках кибершпионской группировки Lazarus, которая, предположительно, связана с правительством КНДР. Впрочем, другие эксперты пока не спешат с выводами о происхождении WannaCry.

Microsoft обвинила государственные агентства в сокрытии уязвимостей

Microsoft попала под перекрёстный огонь прессы за то, что не выпустила вовремя обновления для своих старых операционных систем, поддержка которых была давно прекращена. Теперь в блоге президент и главный юрист Microsoft Брэд Смит (Brad Smith) попытался переложить ответственность на плечи других сторон, которые тоже частично виновны в катастрофических последствиях атаки WannaCrypt: не только собственно злоумышленников, но также на медленно обновляющие свои системы компании и на правительственные службы, которые используют обнаруженные уязвимости в своих целях, давая им возможность распространиться в огромной массе ПО.

Говоря о компаниях, не обновляющих программное обеспечение до последних версий, Microsoft отметила, что безопасность является совместной ответственностью разработчиков ПО, выпускающих заплатки, и клиентов, которые их устанавливают.

«Так как киберпреступники становятся всё более искушёнными, для пользователей не остаётся иной возможности противостоять атакам, как вовремя обновлять свои системы. В противном случае им буквально приходится бороться с современными проблемами при помощи инструментов из прошлого. Эта атака — мощное напоминание, что основы информационных технологий вроде поддержания компьютеров актуальными и своевременного обновления — высокая ответственность каждого, этот принцип должны поддерживать все высшие руководители предприятий», — отметил он.

Многие компании, конечно, предпочитают обновляться только после всестороннего тестирования заплаток — Microsoft это понимает, но отмечает, что её методики тестирования и анализа уже достаточно совершенны для быстрого развёртывания обновлений в индустрии информационных технологий.

Коснувшись же вопроса коллекционирования специальными правительственными службами уязвимостей в ПО для своих нужд, Брэд Смит отметил, что дыры в безопасности уже неоднократно попадали из рук правительственных агентств в публичное пространство и приносили серьёзный ущерб. Получается странная ситуация, когда действия правительства приводят к атакам злоумышленников.

Называя WannaCrypt сигналом, господин Смит снова призвал правительства разных стран соблюдать «Цифровое женевское соглашение», которое призывает учитывать риски для гражданского населения в практике накопления уязвимостей и сообщать о них производителям ПО, а не использовать или продавать их. Microsoft обещает со своей стороны делать всё необходимое для защиты пользователей.