Помните Wannacry? Wannacry стал одним из самых распространённых случаев вредоносного программного обеспечения (ПО) за всю историю. Эта вымогательская программа блокирует (или шифрует) все файлы вашего компьютера и требует заплатить выкуп в Bitcoin (в размере эквивалентном $300). Было заражено уже более 200 000 компьютеров более чем в 150 странах. И даже несмотря на такие устрашающие цифры, ущерб был незначительным, и злоумышленникам удалось собрать всего $100 000. Так что же всё-таки делает Wannacry таким опасным и способствует его распространению? Итак, Wannacry шифрует файлы на вашем компьютере. Как только файлы будут зашифрованы, вы не сможете открыть их без расшифровки, для которой требуется специальный ключ. Но штука в том, что ключ есть только у самого хакера. И он требует за него деньги. Так что, пока вы не заплатите, все ваши документы, изображения, динамические таблицы и другие важные файлы (резервные копии которых вы, скорее всего, не создали) будут для вас недоступны. Экран Wannacry после блокировки файлов вашего компьютера Это вредоносное ПО распространяется так быстро благодаря уязвимости в защите, известной как EternalBlue и предположительно обнаруженной Агентством национальной безопасности (NSA). Уязвимость EternalBlue присутствовала в старых версиях системы Microsoft Windows. После её обнаружения компанией Microsoft был выпущен патч, решающий эту проблему, но обновление было установлено не на все компьютеры. Не обновлённые системы так и остались уязвимыми. Чтобы заразить свой компьютер, жертве даже не обязательно открывать фишинговое сообщение. Распространение вымогательского ПО происходит автоматически через уязвимость в протоколе, который помогает компьютерам с установленной системой Windows обмениваться данными с другими компьютерами в локальной вычислительной сети. Несмотря на всю изощрённость Wannacry, и у этой вредоносной программы нашлись свои слабые стороны Основным слабым местом Wannacry оказался выключатель, обнаруженный британским экспертом в области безопасности Маркусом Хутчинсом (Marcus Hutchins), также известным под ником MalwareTech. Он выяснил, что вредоносное ПО периодически обращается к определённому домену (URL). Если домен отвечает сообщением Success (например, если домен зарегистрирован), то вредоносное ПО прекращает работу. Маркус Хутчинс URL домена выглядел абсолютно бессмысленно: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Почему же вредоносная программа обращалась именно по этому URL? Очевидно, разработчик программы хотел иметь выключатель на случай, если созданный им монстр выйдет из-под контроля. Но, к сожалению для хакера, вышеупомянутый эксперт Маркус Хутчинс обнаружил этот выключатель. И что же сделал Маркус после этого? Он зарегистрировал домен и помог притормозить распространение червя. Пока домен не был зарегистрирован, он не отправлял ответа Success вредоносному ПО, поэтому программа продолжала работать в своём нормальном режиме. Но как только Маркус зарегистрировал домен, программа получила сообщение Success и прекратила работу, то есть расшифровала все файлы. К сожалению, решение оказалось лишь временным, так как появились другие, новые версии Wannacry, которые обращались по другому URL, а у некоторых из них и вовсе не было никакого выключателя. Итак, какие уроки были извлечены из этой атаки? Обновления и патчи для вашего программного обеспечения создаются не просто так. Во избежание появления уязвимостей всегда следует обновлять операционную систему до последней версии и устанавливать все необходимые патчи. Всегда следует создавать резервную копию важных для вас файлов, и делать это нужно как можно чаще. В этом случае, даже если файлы будут зашифрованы вредоносной программой, у вас всегда будет их резервная копия, сохранённая в каком-либо безопасном месте. Какое отношение всё это имеет к Monero? Группа исследователей отследила активность по трём известным Bitcoin адресам, связанным с Wannacry. В результате выяснилось, что хакеры обменивали Bitcoin на Monero. Почему они использовали Monero? Monero является анонимной криптовалютой, а это означает, что практически невозможно отследить перемещение монет. В случае с Monero также невозможно проверить баланс по какому-либо определённому адресу. В отличие от Bitcoin, который считается псевдоанонимной валютой (все транзакции и баланс на счетах можно просмотреть), Monero использует механизм, называемый «кольцевыми подписями», который обеспечивает анонимность транзакций. А разве не нужно регистрироваться на биржах, где вся личная информация верифицируется? Когда вы впервые попадаете на биржу, обычно требуется регистрация, и вам приходится предоставлять свои личные данные для соблюдения правил KYC и AML. Но существуют службы, не требующие регистрации. В случае с вымогательской программой Wannacry хакеры использовали службу под названием ShapeShift, с которой можно работать и без регистрации. ShapeShift подтвердила, что хакеры использовали службу для обмена Bitcoin на Monero, и полностью сотрудничала с правоохранительными органами, которые расследовали это дело. Но теперь уже, пожалуй, поздно ловить хакеров. Используется ли Monero в первую очередь в незаконных целях? Monero считается одной из лучших и самой распространённой из анонимных монет. Использование Monero также является источником для споров относительно «анонимности в криптовалютном пространстве». Благодаря своим анонимным свойствам Monero широко используется теми, кто ищет финансовой анонимности. Но это не означает, что все транзакции Monero проводятся исключительно в незаконных целях. Cypherpunks (группа пользователей, во многом ответственная за изобретение и популяризацию криптовалют) выразила суть дела наилучшим образом: Карта Monero Одной из ценных карт в игре Крипто карты является Monero. К настоящему моменту уже примерно понятно, почему монета «прижимает палец к губам». Пожалуйста, поделитесь этой статьёй, если она понравилась вам. Источник: Why Hackers Love Monero More Than Bitcoin Перевод: Mr. Pickles (@v1docq47) Редактирование: Agent LvM (@LvMi4) Коррекция: Kukima (@Kukima)