WannaCry: самая громкая атака-шифровальщик и урок для бизнеса

Один непропатченный сервер — этого хватило, чтобы встали заводы, остановились поезда, отключились больницы. Именно так в 2017 году вирус WannaCry парализовал сотни компаний.

Что произошло

Весной 2017 года мир оказался свидетелем одной из самых масштабных кибератак в истории. Вирус-шифровальщик WannaCry поразил сотни тысяч компьютеров, нарушив работу государственных учреждений, заводов, больниц, транспортных компаний. Событие стало тревожным сигналом для бизнеса: уязвимость в одной системе может остановить целую отрасль.

Краткое описание атаки вирусом WannaCry

12 мая 2017 вирус WannaCry начал стремительно распространяться по корпоративным сетям. Он использовал уязвимость в Windows, которая была закрыта обновлением. Однако оказалось, что установили его далеко не все.

Больше всего заражений зафиксировано в России, Украине и Индии. Всего за несколько дней вирус поразил около 500 тысяч устройств — от домашних ПК до систем частных компаний и государственных структур в более чем 200 странах.

Заражение WannaCry происходило автоматически — пользователю не нужно было открывать письмо или что-то скачивать. После проникновения вирус шифровал файлы и требовал выкуп в биткойнах.

WannaCry распространялся по протоколу SMBv1, используя эксплойт EternalBlue, якобы разработанный АНБ США и утекший в сеть незадолго до атаки. Эта деталь особенно взволновала специалистов по ИБ: злоумышленники использовали инструменты уровня разведслужб против обычных компаний.

Как вирус WannaCry парализовал компании по всему миру

Вирус атаковал быстро и агрессивно. За первые часы от WannaCry пострадали крупные организации в разных странах. Национальная служба здравоохранения Великобритании (NHS) приостановила приём пациентов, остановились сборочные линии Renault и Honda, временно не работали системы Deutsche Bahn, FedEx, МВД России.

По сути, вирус вызвал цифровой паралич. Отдельные компьютеры могли быть не важны сами по себе, но заражение WannaCry происходило по цепочке — критически важные процессы просто переставали работать. Некоторые компании потеряли данные навсегда, кто-то платил выкуп, а кто-то неделями восстанавливался из резервных копий.

Почему атака WannaCry вошла в историю ИБ

WannaCry стал поворотной точкой по нескольким причинам:

1. Во-первых, он показал, к чему приводит игнорирование критических обновлений.
2. Во-вторых, дал понять: даже крупные компании с ИБ-отделами могут оказаться беззащитны от вирусов.
3. И, наконец, стал примером того, как госинструменты могут попасть в руки киберпреступников.

Атака была массовой, быстрой, технично продуманной, практически не требовала участия человека. Именно эта автоматизация сделала её такой разрушительной. После WannaCry бизнес начал относиться к киберрискам серьёзнее. Но, как показывает практика, не везде и не сразу.

Как работал WannaCry

Атака выглядела пугающе простой. Пользователи даже не успевали понять, что произошло: один включённый компьютер в сети — и через несколько минут файлы на десятках машин заблокированы. На полное  заражение WannaCry требовалось не больше трех минут. Вирус действовал без участия человека, используя старую, но всё ещё открытую брешь в системе.

Уязвимость в Windows (EternalBlue и SMBv1)

Основной удар WannaCry был нанесён через уязвимость в протоколе SMBv1 — это старый способ обмена файлами в локальной сети, встроенный в Windows. Хотя Microsoft предупредила о проблеме за два месяца до атаки и выпустила патч, его проигнорировали сотни тысяч систем по всему миру.

Мы разработали для вас полное руководство по управлению уязвимостями, читайте его в нашем материале.

Эксплойт EternalBlue и бэкдор DoublePulsar, разработанные, по данным СМИ, АНБ США, оказались в открытом доступе после взлома хакерской группой Shadow Brokers. Они позволяляют злоумышленнику выполнять код на удалённом компьютере без авторизации — то есть фактически брать управление системой под свой контроль. WannaCry встроил этот эксплойт в свой механизм заражения, сделал его автоматическим.

Самораспространение вируса по сети

В чем принцип работы вируса WannaCry: после заражения одной машины он начинал сканировать сеть на наличие других уязвимых компьютеров с целью заражения. Делал это без поиска конкретной цели — просто «переползал» на всё, до чего дотягивался. Никакого взаимодействия с пользователем не требовалось.

Найдя уязвимый компьютер, вирус пытался использовать уязвимость EternalBlue. Если атака проходит успешно, он устанавливал бэкдор DoublePulsar, через который затем загружаелся основной исполняемый модуль WannaCry. Перед каждой попыткой эксплуатации программа проверяет, установлен ли DoublePulsar на целевой машине. Если он уже есть, загрузка происходит напрямую через него без повторной атаки.

Это ключевое отличие от предыдущих шифровальщиков: сообщения с вирусами обычно приходили по почте или через ссылки. WannaCry пошёл дальше — сам находил жертву и проникал внутрь без приглашения. Распространение напоминало поведение компьютерных червей начала 2000-х, только с новым уровнем автоматизации.

Шифрование файлов и требование выкупа

Как только вирус получал доступ, он запускал процесс шифрования. Все файлы с определёнными расширениями становились нечитаемыми, к ним добавлялось расширение .WNCRY. На экране появлялось сообщение: «Система заблокирована, файлы зашифрованы, для восстановления нужно заплатить $300–$600 в биткойнах.»

Время шло — сумма увеличивалась. Через несколько дней злоумышленники обещали удалить ключи и сделать восстановление невозможным. Не было ни гарантий, ни поддержки. Просто обратный отсчёт и адрес биткоин-кошелька.

Некоторые компании решались заплатить хакерам, но даже после этого не всегда получали доступ к своим данным. Основной урок — нельзя полагаться на честность вымогателей. Бэкапы и оперативные обновления оказываются куда дешевле и надежнее.

Вирус не выбирал по отраслям или странам. Он атаковал всех, кто оказался не готов. Главной мишенью WannaCry стали не конкретные бизнесы, а техническая безалаберность: старое ПО, слабая внутренняя организация и иллюзия, что «нас это не коснётся».

Бизнесы с устаревшими системами

Наиболее уязвимыми для WannaCry оказались организации, где по-прежнему использовались старые версии Windows — XP, 7 и Server 2003. Такие системы часто не поддерживаются производителем, не получают обновлений, но продолжают использоваться в медицине, промышленности, банках и транспорте.

Причины разные: критические приложения, не совместимые с новыми ОС, дорогостоящая модернизация, нехватка бюджета или просто отсутствие ИТ-стратегии. Всё это создало благодатную почву — вирус не взламывал защиту, он просто заходил в открытые двери.

Проблемы с обновлениями и сегментацией сети

Даже в компаниях с актуальными ОС обновления часто не устанавливали вовремя. Администраторы ждали так называемое «окно обслуживания» — период, когда можно временно остановить систему для технических работ без риска сорвать бизнес-процессы. Такие окна бывают нечасто: раз в месяц, а иногда и реже. Некоторые обновления месяцами зависали в тестовой среде, другие — просто игнорировались, потому что никто не следил за публикациями критичных бюллетеней безопасности.

Второй фактор — слабая сегментация. Когда сеть построена «плоско», заражение одного компьютера приводит к моментальному распространению вируса на других. Без VLAN-ов, ограничений на трафик, внутренних межсетевых экранов и контроля доступа остановить WannaCry было практически невозможно.

Примеры компаний, пострадавших от WannaCry

Одна из самых обсуждаемых жертв червя — британская Национальная служба здравоохранения (NHS). Больницы отменяли операции, закрывались приёмные, медперсонал вел записи вручную, не имея доступа к медицинским картам. Всё потому, что в сети оставались старые Windows XP без обновлений.

Автопроизводитель Renault приостановил производство на нескольких заводах в Европе. Системы управления логистикой и производственными линиями оказались недоступны. Аналогичная ситуация была у Honda, FedEx, Deutsche Bahn, Telefónica, нескольких российских банков и даже МВД РФ.

Общий знаменатель — недооценка базовых принципов ИБ. Все эти компании оказались в ситуации, когда старый сервер или один незакрытый порт поставили под угрозу весь бизнес-процесс.

Уроки для ИТ и ИБ специалистов

Прошло более 7 лет с момента атаки WannaCry, но её последствия до сих пор вспоминают на ИБ-конференциях и внутри корпоративных аудитов. Это не просто инцидент из прошлого — это наглядный пример, как техническая мелочь перерастает в бизнес-кризис.

Обновления критичны — даже если «всё работает»

Атака WannaCry — пожалуй, самый очевидный, но до сих пор игнорируемый урок. Системы нужно обновлять регулярно, вне зависимости от того, насколько стабильно они работают. «Не трогай, если не ломается» — стратегия, которая рано или поздно приводит к потерям.

Патчи по безопасности — это не новые функции, а защита существующих процессов. Не стоит ждать удобного момента: кибератаки его не выбирают.

Вред от атаки — не только технический

Когда шифруется сервер — это не просто техническая проблема. Это остановка операций, простаивающее производство, срывы контрактов, штрафы, потеря клиентов и репутации. ИБ-инциденты напрямую влияют на деньги, особенно в отраслях с высокой ценой простоя.

Нужно, чтобы все пользователи понимали: защита информации — не абстрактная задача ИТ-отдела, а часть управления рисками. Чем раньше это осознают на уровне бизнеса, тем меньше шансов увидеть повторение сценария WannaCry у себя.

Шифровальщики — угроза, которая легко возвращается

После WannaCry были и NotPetya, и Ryuk, и LockBit. Векторы немного меняются, но суть одна: автоматическое заражение, блокировка данных, требование выкупа. Актуальные обновления, резервное копирование, сегментация сети и контроль доступа — по-прежнему главные меры защиты.

Важно не просто поставить антивирус. Без регулярного пересмотра уязвимостей, тестирования планов реагирования и вовлечённости руководства, защита будет формальной. Вирусы умеют ждать — они найдут слабое место.

История с WannaCry показала: одной слабости хватит, чтобы остановить бизнес. Но у большинства таких рисков есть простое решение. Ниже — те самые меры, которые действительно работают. Их можно начать внедрять уже сегодня, без дорогостоящих проектов и бесконечных совещаний.

Патч-менеджмент и контроль версий

У каждого ПО и оборудования есть жизненный цикл, в рамках которого поставщик выпускает патчи. Их нужно не «где-то учитывать», а системно внедрять. Автоматическая установка обновлений, отдельная тестовая среда, учёт устаревших версий и жёсткие сроки внедрения критичных патчей — базовый минимум.

Не стоит ждать, пока что-то сломается или в систему попадет вирус. Программы вроде WSUS, SCCM, Ansible, OpenVAS и даже простые скрипты PowerShell дают полный контроль за версионностью, если грамотно выстроен процесс.

Резервное копирование и план восстановления

Резервные копии должны быть не «где-то на сервере», а проверены, актуальны и доступны для восстановления. Причём в режиме, близком к боевому. Минимум — ежедневный бэкап критичных систем с хранением копий на изолированных носителях (offline или immutable-хранилищах).

План восстановления должен быть документирован и протестирован. Сценарии: заражение, потеря файла, сбой системы, полное шифрование — у каждого случая своя процедура. Без неё даже наличие копий не спасёт: в критический момент теряется время, а значит — деньги.

Аудит уязвимостей и базовая сегментация сети

Большинство сетей заражается не потому, что атакующий — гений, а потому, что никто не искал слабые места. Регулярный аудит уязвимостей (сканеры, пентесты, ручная проверка) позволит заранее найти место, через которое зайдёт вирус. Особенно в старом софте, веб-сервисах, удалённом доступе и устаревших протоколах.

Сегментация — способ остановить распространение WannaCry и других. Внутренние VLAN, разграничение доступа по ролям, брандмауэры между подсетями — даже базовые настройки сильно сокращают зону поражения. Главное — не допускать, чтобы ИБ-политика ограничивалась только периметром.

Просвещение сотрудников и реагирование на инциденты

Сотрудники — первая и последняя линия обороны. Даже при WannaCry многие заражения начинались с обычного запуска вредоносного файла. Людям нужно объяснять, как работает фишинг, почему нельзя тянуть файлы из мессенджеров, зачем нужен VPN и чем опасна флешка «от клиента».

Узнайте, как кибергигиена защищает систему и применяйте ее в своей организации.

Но обучение — не всё. Важно уметь реагировать. Инцидент-менеджмент — это не только SOC и SIEM. Это журнал событий, ответственный дежурный, понятный порядок действий и контакт с ИТ. Чем быстрее начинается локализация — тем меньше ущерб. Даже без полной автоматизации, если команда знает, что делать — шансов на катастрофу гораздо меньше.

Почему WannaCry до сих пор актуален

Кажется, что с момента атаки прошло уже много лет, в ИБ всё изменилось, угроз стало больше, инструменты — сложнее. Но WannaCry всё ещё появляется в отчётах антивирусов и сканеров уязвимостей. Этот случай остаётся классическим примером того, как игнор безопасности превращается в проблему всей компании.

Уязвимость до сих пор встречается в компаниях

Да, в 2025 году в сетях до сих пор можно встретить открытый SMBv1, старые версии Windows и системы без критических обновлений. Особенно в технологическом сегменте, на объектах критической инфраструктуры, в медицине и госсекторе. Причины те же: «нельзя обновлять», «работает — не трогаем», «устарело, но ещё нужно».

WannaCry этим и опасен — он не зависит от чего-то нового. Вирус заражает там, где давно пора было навести порядок. Не нужно быть хакером, достаточно запустить сканер и дождаться момента.

Аналоги атаки продолжают использовать те же приёмы

Методы, использованные в WannaCry, никуда не делись. Их повторяли в NotPetya, BadRabbit, SamSam, Snake и других шифровальщиках. Использование старых протоколов, массовое распространение вируса внутри сети, автоматическое шифрование, требование выкупа в криптовалюте — всё это применяется до сих пор.

Изменился интерфейс, суммы и география. Но подход тот же: эксплойт + слабая архитектура = результат. И пока компании не закрывают базовые дыры, риск заражения остаётся реальным.

Кейс, который легко объясняет важность ИБ-мер

WannaCry — простой, понятный и пугающе наглядный пример. Его легко объяснить топ-менеджменту, ИТ-отделу, сотрудникам на обучении. Он показывает, как из одного забытого патча вырастает международный кризис. И при этом — как легко было избежать заражения.

Кейс — это реальная история из жизни, которая уже случилась и может повториться. Именно это делает его таким важным даже спустя годы.

Главное

WannaCry стал не просто одной из самых масштабных атак в истории, а настоящим шоком для всей индустрии. Он разрушил миф о том, что киберугрозы — это взлом «по заказу» или атаки на гигантов. Вирус показал: достаточно одной незакрытой уязвимости, чтобы остановить производство, парализовать больницу или лишиться контроля над критичной системой.

Главная особенность WannaCry — простота. Он не использовал социальную инженерию, не требовал кликнуть по ссылке, не маскировался под бизнес-письмо. Он просто сканировал сеть, искал дыры и шифровал всё подряд.

С проблемой  столкнулись не только те, кто сэкономил на ИБ, но и те, кто формально соблюдал требования, но не довёл процессы до конца. Не обновлённая система, открытый порт, устаревший протокол или резервная копия, которую никто не проверял — всё это оказалось достаточным, чтобы вирус нанес реальные убытки.

Из атаки выросли три ключевых вывода для бизнеса:

1. Киберугрозы — это не только технический риск, но и бизнес-фактор.
2. Базовые меры защиты (обновления, сегментация, резервирование) работают, если они реализованы системно.
3. Обучение и план реагирования не менее важны, чем файервол и антивирус.

Даже сегодня, в 2025 году, WannaCry не исчез, потому что исчезают не вирусы — исчезают компании, которые к ним не готовы. Современные атаки стали умнее, но всё ещё используют старые уязвимости. А значит, история может повториться.

Чтобы этого не случилось, нужно помнить: информационная безопасность — это не проект и не продукт, а ежедневная работа. И опыт WannaCry — тот самый случай, когда ошибку уже кто-то совершил за вас. Осталось только извлечь урок.