Более 190 000 (по некоторым данным 230 000) машин всего за несколько дней были заражены вымогателем WannaCry — за расшифровку файлов злоумышленники просят $300.

​

Откуда растут ноги
В апреле группировка The Shadow Brokers опубликовала порцию слитых у АНБ документов, среди которых находились эксплоиты для протокола SMB( как v1, так и v2).

Microsoft закрыли все перечисленные уязвимости ещё в марте этого года в бюллетени MS17-010. Так почему же тогда эта атака стала успешной?

Работает — не трогай
Всё просто — не все любят своевременно обновлять ПО. В очередной раз, отключив все обновления сразу после установки операционной системы, эникейщик, которому дали задачу поднять корпоративную сеть, поставил под удар целую компанию. И ведь тысячи их!

На самом деле проблема имеет куда больший масштаб, чем вы можете себе представить — огромное количество просто морально устаревших машин все ещё работают и даже доступны в сети. Стоит ли вообще говорить о том, что огромное количество самых разных терминалов всё ещё работают на Windows XP?

А почему посредственный то?
Несмотря на достаточно сложную структуру вымогателя, он использует всем известные методы работы и зашаренные наработки других разработчиков, попутно приправленные доступными любому эксплоитами Агенства Национальной Безопасности США.

​

Очень забавен тот факт, что killswitch домен разработчиком малвари даже не был приобретен — его зарегистрировал независимый исследователь, известный как MalwareTech, временно приостановив вирусную кампанию.

Подводя итоги
Достигнуть таких масштабов заражения позволила банальная человеческая халатность — ну потратили бы лишний час на обновление системы и не было бы никаких проблем.

Microsoft пришлось дублировать обновление, устраняющее уязвимости в протоколе SMB. Ладно уж дублировать (хотя на самом деле не ладно), даже для XP выпустить обновление! И всё из-за отсутствия должного отношения к безопасности как у пользователей, так и у администраторов корпоративных (и не только) сетей.