В среду 28 марта троян-вымогатель WannaCry, вызвавший эпидемию мирового масштаба весной прошлого года, был обнаружен на компьютерах компании Boeing. Известие спровоцировало панику среди сотрудников производителя самолетов, однако, как выяснилось позже, серьезного ущерба вредонос не нанес.

О заражении сообщил главный инженер Boeing Commercial Airplane Майк Вандервел (Mike VanderWel). Специалист написал, что “вирус быстро распространяется из Северного Чарльстона” и уже поразил оборудование для сборки лонжеронов модели 777. При этом Вандервел выразил опасение, что зловред может попасть в системы функционального тестирования самолетов и оттуда распространиться на ПО, отвечающее за их управление.

Вымогатель WannaCry проникает на компьютеры при помощи эксплойта EternalBlue, использующего уязвимость сетевого протокола Windows SMB, пропатченную еще в марте 2017 года. Попав на устройство, зловред шифрует хранящиеся на нем файлы, добавляя им расширение .WCRY, создает в каждой папке сообщение с требованием выкупа в биткойнах и выводит его на рабочий стол компьютера.

Первую эпидемию вымогателя удалось остановить благодаря несовершенству самой программы. Эксперт из Великобритании Маркус Хатчинс (Marcus Hutchins) обнаружил в коде адрес домена, к которому постоянно обращается WannaCry. При получении положительного ответа зловред прекращает работу. Аналитик зарегистрировал домен и тем самым остановил дальнейшее распространение трояна.

Правда, обойти такой “рубильник” несложно — достаточно поменять адрес в коде. Кроме того, как поясняет Мунир Хахад (Mounir Hahad) из Juniper Threat Labs, этот способ работает только при активном подключении к Интернету и не может остановить деятельность шифровальщика внутри локальной сети.

К вечеру среды выяснилось, что проблема затронула лишь немногие компьютеры Boeing, а сообщение о парализованном оборудовании для сборки модели 777 оказалось ложным. Не подтвердились и опасения, что зловред перекинется на ПО для управления самолетами. По словам Джейка Уильямса (Jake Williams), основателя компании Rendition Infosec, WannaCry запускается только на устройствах на базе Windows, тогда как на воздушном транспорте используют более гибкие и стабильные системы.

Тем не менее, произошедший инцидент можно расценивать как сигнал о реальной опасности для промышленности. По словам Уильямса, троян способен нанести серьезный ущерб производству: многие предприятия работают под Windows, а ключевое оборудование управляется Windows Embedded. Попав в технологическую сеть, WannaCry может остановить ее работу на продолжительное время. За последние полгода к эксперту уже обращались две компании, пострадавшие от вымогателя. Одна из них бездействовала в течение 24 часов, вторая — в течение 4 суток. При этом в обоих случаях систему пришлось восстанавливать с нуля: расшифровать файлы так и не удалось.

Категории: Вредоносные программы, Главное