- Global Voices по-русски - https://ru.globalvoices.org -

Почему половина заражённых вирусом-вымогателем WannaCry компьютером находится в Китае?

Категории: Восточная Азия, Китай, горячие новости, гражданская журналистика, технологии, Advox
[1]

Сеть государственной безопасности Китая поражена вирусом-вымогателем Wanna Cry. Фото Weibo с помощью Letscorp.

[В данной статье приведены ссылки на источники на китайском языке, если не указано иное].

Китай — одна из стран, более остальных пострадавших от вируса-вымогателя, известного под названием «WannaCry», запущенного 12 мая и поразившего более 230 тысяч компьютеров в 99 странах всего за один день.

Китайский национальный центр поддержки компьютерной сети подтвердил [2], что по состоянию на 14 мая половина поражённых IP-адресов была расположена в Китае. Атакам подверглись более 30 тысяч организаций, включая университеты, пункты иммиграционного контроля и нефтесборные пункты.

Вирус-вымогатель [3] [анг], предположительно использующий уязвимость «Eternal Blue», разработанную Агентством национальной безопасности (АНБ) США, поражает компьютеры, на которых установлена операционная система Microsoft Windows, и лишает пользователей доступа к своему компьютеру с помощью шифрования файлов. За снятие шифрования от пользователей требуют заплатить 300 долларов США в биткойнах. При подключении к Интернету через порт 445 (порт для протоколов обмена документами) может быть атакован любой компьютер c операционной системой Windows, если на нём не установлен пакет обновлений системы безопасности, выпущенный в марте 2017 года.

Вирус-вымогатель на некоторое время был нейтрализован с помощью «аварийной кнопки», изобретённой британским исследователем, но 14 мая появилась его новая версия [4] [анг].

Китайские пользователи компьютеров оказались наиболее уязвимыми к атакам, поскольку они часто пользуются нелицензионными (то есть пиратскими) или устаревшими версиями ОС Windows, не проходящими обновления системы безопасности.

Ситуацию усугубило и то, что многие пользователи не знали о предстоящей хакерской атаке, поскольку об угрозе безопасности сообщило очень небольшое число местных СМИ.

Хотя во избежание возможных массовых атак на компьютеры с Microsoft Windows большинство китайских провайдеров интернет-услуг заблокировали порт 445, чаще всего использующийся ОС Windows для обмена файлами, многие публичные организации, в том числе университеты, отделения органов государственной безопасности и нефтесборные пункты не сделали этого.

Больше всех пострадали университетские кампусы. Атаке подверглись учебные заведения по всей стране, в том числе университет Цинхай, «Бэйда», Шанхайский университет транспорта и Шаньдунский университет. Большое количество студенческих работ и исследовательских проектов были (и остаются) зашифрованы вирусом-вымогателем. Местные СМИ сообщили [5], что:

截至到5月13日20点,国内有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招…

По состоянию на 20:00 13 мая сотни тысяч компьютеров в 29.372 организациях поражены вредоносным ПО. Хакерская атака затронула 4341 образовательную организацию…

Государственное новостное издание «Синьхуа» процитировало [2] сообщение Национального центра поддержки компьютерной сети о следующем:

截至14日10时30分,国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个,其中中国境内IP约1.8万个。

По состоянию на 10:30 14 мая Национальный центр поддержки компьютерной сети обнаружил 2.423.000 IP-адресов, подвергшихся атаке в результате взлома через уязвимость Eternal Blue; число IP-адресов, поражённых вирусом, превышает 35.000 [по всему миру], в пределах Китая поражено около 18.000 IP-адресов.

Помимо образовательного сектора из-за заражения системы государственной безопасности была парализована работа нескольких пунктов иммиграционного контроля [6].

Чиновники из органов государственной безопасности города Сяншуй, провинция Цзянсу, сообщили в социальных сетях о том, что система иммиграционного контроля подверглась хакерской атаке, из-за чего пришлось приостановить работу местного иммиграционного пунка. Пользователи сети сообщили, что отделения иммиграционного контроля в Шанхае и в пекинском районе Чаоян также закрыты из-за поражения вредоносным ПО.

В полночь 13 мая была парализована работа большого количества автоматов выкачивания нефти; по состоянию на 12:00 14 мая работы по восстановлению системы не были завершены.

После создания вируса «WannaCry2.0», который нельзя остановить так называемой «аварийной кнопкой», власти Китая опубликовали предупреждения на главных сетевых порталах, в крупнейших СМИ и университетских сетях, пытаясь таким образом остановить распространение вируса.

До настоящего момента не проведена оценка причин столь массового поражения китайских компьютеров вредоносным ПО. Официальные СМИ предполагают [7], что распространение вируса вызвано студентами университетов, использующих внутренние сети для того, чтобы играть в онлайн-игры. Но это не объясняет причин поражения, помимо всего прочего, информационных систем государственной безопасности и нефтесборных пунктов.