Понедельник вируса-вымогателя WannaCrypt ударил по Китаю; Microsoft сравнивает случившееся с кражей «Томагавков»

В пятницу, 12 мая, десятки тысяч компьютеров по всему миру оказались заблокированы вирусом WannaCrypt. Сложнее всего оказалось Великобритании, где вирус заразил компьютеры в больницах, и России (пострадали как минимум МВД и салоны «Мегафона»). На выходных ситуация успокоилась, но специалисты предупреждали: в понедельник может начаться новая волна. «Медуза» рассказывает, что произошло 15 мая и накануне.

Вирус-вымогатель ударил по Китаю. Эксперты отмечали, что вирус начал активно блокировать компьютеры, когда в Азии уже был вечер — и многие работники успели выключить компьютеры и уйти домой. В понедельник распространение WannaCrypt продолжилось: в одном только Китае заражены оказались 40 тысяч организаций, в том числе четыре тысячи научных. Общее число зараженных компьютеров местная компания по защите информации оценивает в «сотни тысяч».

Кроме того, на выходных вирус поразил компьютеры государственной нефтегазовой компании PetroChina — из-за этого на ряде заправок не работали электронные платежи. Вирус также обнаружили в Южной Корее, Тайване, Индии и Австралии. В Японии заражено две тысячи компьютеров из 600 разных мест; среди жертв — Nissan и Hitachi. Одно заражение произошло в Новой Зеландии.

В мире уже 200 тысяч зараженных компьютеров, сообщили в Европоле. Вирус обнаружен на компьютерах 150 стран. На биткоин-кошельки злоумышленников перечислили больше 50 тысяч долларов (обычно вирус требует с каждой жертвы по 300 долларов).

Вирус приостановили бессмысленным доменом. Помогло ненадолго. В субботу анонимный специалист по безопасности, ведущий твиттер @MalwareTechBlog, смог приостановить распространение WannaCrypt, просто зарегистрировав бессмысленный домен. Оказалось, что вирус проверял существование этого домена, и если запрос оказывался удачным, прекращал активность. На следующий день появилась обновленная версия вредоносной программы, которая уже не обращается к домену.

Microsoft: ситуация похожа на кражу «Томагавков». 14 мая президент корпорации Брэд Смит опубликовал письмо, в котором раскритиковал власти за привычку не раскрывать найденные ими уязвимости — а WannaCrypt использовал «дыру» в Windows, о которой знали в АНБ США; публично о ней стало известно благодаря хакерам из группировки The Shadow Brokers. Смит напрямую сравнивает последствия этой утечки с последствиями потенциальной кражи крылатых ракет «Томагавк» у властей США.

Владимир Путин: вирус не нанес российским учреждениям существенного ущерба. Президент сказал, что Россия не имеет отношения к созданию WannaCrypt: «Сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов, Россия здесь совершенно ни при чем».

Способа восстановить зашифрованные вирусом данные пока нет. Пострадавшим советуют не платить злоумышленникам и попытаться восстановить данные из резервных копий, либо дождаться, пока выйдет программа-расшифровщик. В Сети уже есть несколько программ, авторы которых обещают вернуть информацию — но только если вам повезло и вирус не успел удалить незашифрованные версии файлов. Важно: мы не испытывали эти программы и не можем гарантировать, что они не причинят дополнительный вред компьютеру.