Масштабная кибератака, обрушенная неизвестными хакерами на корпоративные сети частных компаний и государственных учреждений в 99 странах, показала, насколько хрупка современная инфраструктура, "завязанная" на компьютерной связи.

Уязвимость в сервисе SMB в ОС Windows, который предназначен для переписывания файлов с компьютера на компьютер в локальной сети, привела к тому, что вирус смог размножаться в пределах корпоративных сетей самостоятельно, копируя сам себя с машины на машину. Хакеры воспользовались Eternal Blue – механизмом распространения ПО, эксплуатирующего упомянутую уязвимость. Этот механизм в свое время был разработан Агентством национальной безопасности США в целях борьбы с хакерскими атаками, но в результате сам стал прекрасным инструментом для хакеров – им осталось лишь "прицепить" к нему вирус, шифрующий содержимое жесткого диска и предлагающий заплатить выкуп.

Сначала вирус проникает в организацию по электронной почте под видом бухгалтерского или иного служебного документа, и, будучи открыт один раз не слишком бдительным работником, начинает "стремительным червем" самостоятельно расползаться по локальной корпоративной сети через протокол совместного доступа к файлам и принтерам.

Хотя "Майкрософт" выпустил в марте "заплату", ликвидирующую эту уязвимость, во многих организациях до сих по не установили нужное обновление.

Дело в том, что во многих организациях плановые обновления ОС устанавливаются раз в квартал. Там, где перезагрузка компьютеров крайне нежелательна, например, в больницах, с обновлениями зачастую тянут месяцами. Кроме того, во многих медицинских организациях работа до сих пор ведется на Windows XP. Что касается России и Китая - там, как отмечают компьютерные специалисты, стоит масса пиратских версий ОС Windows, и обновления на них отключены либо недоступны.

Сегодня производитель Windows даже пошел на беспрецедентный шаг, выложив соответствующее обновление для Windows XP, поддержка которого была прекращена еще в 2014 году.

Около 45 тысяч компьютеров (по данным компании Avast) были поражены вирусом, заблокировавшим машины и зашифровавшим все данные на них. Хакеры неплохо разбираются в маркетинге – жертвам шантажа предлагают связаться с "конторой" прямо через интерфейс программы-вируса, обещая скидки для бедных и удвоение суммы выкупа 15 мая – то есть через два дня.

Выкуп электронные шантажисты требуют в биткоинах – электронной валюте, местонахождение владельцев которой отследить невозможно, сумма выкупа пока что эквивалентна 300 долларам за разблокировку компьютера. Из-за этого курс биткоина резко упал за последние сутки – если 12 мая он составлял 1857 долларов, то сегодня опустился до 1640.

Пока неизвестно, согласился ли кто-то из атакованных заплатить выкуп за разблокировку компьютеров. Вполне возможно, что каким-то из частных компаний, а возможно, и госучреждений, украденные данные дороже принципов и они предпочтут выкупить свою информацию у кибершантажистов.

Англичане, которым нужны медицинские услуги, не могут получить доступ к серверам здравоохранительной системы – их заблокировал вирус. Операции, в том числе и на сердце, откладываются, очереди аннулируются, 16 британских больниц оказались под ударом.

Американская курьерская служба Fedex, испанский банк BBVA, испанский сотовый оператор "Телефоника", несколько университетов, отделения международной бухгалтерской фирмы KPMG и многие другие оказались беспомощны без своих намертво заблокированных компьютеров.

Французской автомобильной компании "Рено" пришлось остановить заводы – вредоносная программа завладела компьютерной системой и техническая служба компании пока "оценивает размер нанесенного ущерба".

В Германии нарушилось железнодорожное сообщение – хакеры заблокировали компьютеры железнодорожного концерна Deutsche Bahn, отключив табло на вокзалах и автоматы по продаже билетов.

В России вирус взял в заложники множество компьютеров и учреждений. Атаке подверглись РЖД, МВД, сотовые операторы, банки. Из-за блокировки компьютерной системы МВД прекращена выдача водительских прав, невозможны также любые операции, касающиеся автомобилей и требующие компьютерной регистрации. Пострадали также сотовые операторы "Вымпелком", "Мегафон" и МТС. Им пришлось отключать компьютерные сети, чтобы предотвратить распространение вируса и локализовать его.

Неизвестно, сколько еще систем по всему миру парализовала бы эта атака, если бы не блогер, пишущий под псевдонимом @malwaretechblog в "Твиттере". Анализируя вместе с коллегой Дарианом Хассом код вируса, он заметил, что каждый экземпляр программы, перед тем, как начать работать, пытается зайти на определенный сайт – домен с названием, состоящим из множества случайных символов: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Как выяснил программист, этот домен не был зарегистрирован. Он решил его зарегистрировать, потратив 10 долларов, и посмотреть, что из этого выйдет.

Оказалось, что название домена – ключ, останавливающий распространение вируса. Если вредоносной программе удается зайти на этот сайт (то есть домен существует), она прекращает работу и саморазмножение.

Название домена было своего рода сигналом для вируса, который заложили в него создатели. Когда им потребовалось бы остановить "нашествие", они сами зарегистрировали бы этот адрес. Но любитель-программист из Южной Англии опередил их, случайно остановив эпидемию.

Впрочем, специалисты полагают, что создатели вируса изменят код и продолжат атаковать уязвимые системы в разных странах. Вместе с тем, теперь им будет сложней это сделать, поскольку подавляющая часть системных администраторов, а также обычных пользователей после сегодняшней атаки установила "заплату", предотвращающую самостоятельное распространение вируса в локальной сети.