В Windows нашли неубиваемый вирус‐вымогатель. WannaCry мутировал и вернулся?

Исследователи в области кибербезопасности обнаружили вирус-шифровальщик Djvu, который невозможно удалить. Он активно распространяется в Сети, полностью подчиняя себе атакованные им устройства. О новом типе вируса сообщает портал Bleeping Computer. Эксперты провели анализ опасной программы и выяснили, что захват компьютера происходит после того, как пользователи качают так называемые кряки — программы для взлома лицензионных игр и софта. Также вирус идет в комплекте с приложениями для блокировки рекламных баннеров в браузере.

При установке этих программ юзеры одновременно открывают четыре файла, которые в несколько шагов подчиняют атакованную машину. Сначала один из них провоцирует поддельное сообщение об обновлениях системы Windows. Ничего не подозревая, пользователь активирует обновление и фактически дает все ключи управления компьютером хакерам.

Затем вредоносный софт получает доступ к персональным данным и шифрует их. В финале жертва обнаруживает файл с контактами вымогателей. Цену расшифровки хакеры не называют. Однако они обещают сделать скидку на выкуп, если пользователь обратится к ним за помощью в ближайшее время. Вдобавок Djvu способен зашифровать новые файлы: программа создает специальные «задания» для системы. Это делает вирус крайне живучим и сложным для удаления. Кроме того, после получения денег хакеры могут заново зашифровать информацию на устройстве и еще раз потребовать выкуп.

Пока эксперты по кибербезопасности не нашли способ расшифровать код без помощи хакеров. Единственное, что им удалось выяснить, это тип вредоносной программы, которая была создана на базе известного вируса STOP. Они призвали всех жертв Djvu объединиться на специальном форуме и вместе искать путь по возвращению своих данных.

Подобного вида вирусы сложно устранить без участия их разработчика, сходятся во мнении опрошенные «360» IT-аналитики. «Жертва самостоятельно вряд ли сможет расшифровать данные, поскольку ключи шифрования представляют собой длительную последовательность битов, которые угадать или подобрать практически невозможно. Поэтому у пользователей не остается никакого другого выхода, кроме как заплатить», — подчеркнул в разговоре с «360» генеральный директор Zecurion Алексей Раевский.

При этом зачастую крупные антивирусные компании занимаются подбором ключей для более-менее популярных вирусов, говорит эксперт по информационной безопасности ЗАО «Монитор Безопасности» Тарас Татаринов. «Как правило, специалисты находят способ деактивизировать вирус в течение пары месяцев после появления шифровальщика. Затем они размещают ключи на своих сайтах, и жертва с помощью них может вернуть свои данные», — объяснил собеседник «360».

Заморить «червяка»

Первые вирусы-шифровальщики появились еще десять лет назад. К примеру, прародителем современной вредоносной программы можно считать вирусы семейства Trojan. Но достаточно простой алгоритм кодирования не сделал его особо опасным, так как поврежденные файлы юзеры могли лечить обычным антивирусом. В результате хакеры забросили этот способ заработка ввиду его малой прибыльности.

Между тем пик популярности вирусов-вымогателей пришелся на 2016–2017 годы. Тогда мошенникам удалось совершить масштабную кибератаку на пользователей и компании по всему миру с помощью вредоносной программы WannaCry. По подсчетам аналитической компании McClatchy, WannaCry парализовал работу более 200 тысяч пользователей в 150 странах, а общий ущерб от акции хакеров превысил один миллиард долларов. К концу 2017 года ажиотаж вокруг этого вируса поутих и в Сети практически исчезли упоминания о заражениях WannaCry.

Впрочем, в ноябре 2018-го специалисты по кибербезопасности начали вновь фиксировать активность WannaCry. Сотрудники «Лаборатории Касперского» отметили, что по итогам прошлого года вирус опять стал самым распространенным. По их подсчетам, в течение второго полугодия 2018-го шифровальщик был лидером по числу кибератак на компьютеры клиентов компании, а доля нападений при помощи него составляет порядка 29% от общего числа. К примеру, жертвой вируса в конце прошлого года стал сервер Московской канатной дороги. Сотрудники аттракциона сразу же остановили движение и оперативно высадили всех пассажиров в целях безопасности. По факту кибератаки возбудили уголовное дело, но организаторов так и не нашли.

Чтобы не попасть в руки хакеров, опрошенные «360» эксперты советуют своевременно обновлять антивирусные приложения на всех устройствах, имеющих доступ в Сеть. Также они рекомендуют внимательно следить за источником информации и не скачивать файлы с подозрительных серверов.