Мемуары о будущем

Дмитрий Беляев

Вирусная эпидемия WannaCry — всему миру «хочется плакать»

Опубликовано: 19 мая 2017 года






В мае 2017 года стало известно о распространении вируса-вымогателя WannaCry (в переводе с английского — «хочется плакать») в 150 странах мира, в том числе в России.

Код этого вируса для компьютеров на ОС Windows был выложен в утечке WikiLeaks, среди прочих хакерских инструментов ЦРУ.

Этот вредонос известен под несколькими именами: WCry, WannaCry, WanaCrypt0r, WannaCrypt или Wana Decrypt0r. По данным FortiGuard Labs, он распространяется через предполагаемый эксплойт NSA под названием ETERNALBLUE, который был запущен онлайн в прошлом месяце хакерской группировкой The Shadow Brokers. ETERNALBLUE использует уязвимость в протоколе Message Block 1.0 (SMBv1) сервера Microsoft.

Несмотря на то, что код был «стерилизован», создатели вируса его модифицировали. Технология распространения вируса не требует никаких действий от пользователя — ни открытия файлов, ни чтения почты, ни перехода по ссылкам — только включённый компьютер с уязвимым Windows, подключённым к Интернету.

Атака происходит через сетевую уязвимость «Microsoftinfo-icon Security Bulletin MS17-010». Вирус шифрует файлы на зараженном компьютере, после чего требует отправить злоумышленникам от $300 до $600 в биткоинах. Заражению подвержены компьютеры, где не установлены обновления Windows и не стоит свежий антивирус

Ущерб

Программа-вымогатель WannaCry заблокировала не менее 200 тыс. компьютеров по данным на 15 мая. Зараженными оказались компьютеры МВД России, РДЖ, телеком-операторов «МегаФон» и «ВымпелКом». Атаки были также осуществлены на Сбербанк, Минздрав РФ и систему выдачи прав ГИБДД.

В Германии хакерской атаке подверглись системы крупнейшего железнодорожного оператора Deutsche Bahn.

В Великобритании под ударом оказались сервисы больниц.

В Японии среди жертв вируса оказались некоторые подразделения Nissan и Hitachi, в Китае нефтяной гигант PetroChina подтвердил, что пострадали платежные системы на некоторых его заправках.

Также пострадали несколько испанских компаний (телекоммуникационный гигант Telefonica, энергетическая фирма Iberdrola, поставщик коммунальных услуг Gas Natural), компания экспресс-доставки FedEx, компания Renault.

Создатели вируса-вымогателя WannaCry уже получили от своих жертв более $55 тыс. Пользователи создали ресурс, где в режиме реального времени можно проследить за перечислениями средств на счета злоумышленников.

Даже Президент России Владимир Путин прокомментировал вирусную атаку на компьютерные системы организаций вирусом WannaCry:

«Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило. Сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов, Россия здесь совершенно ни при чем. Мне странно слышать в этих условиях что-то другое».

Как остановить WannaCry

Первую волну вируса удалось остановить благодаря британскому программисту @MalvareTechBlog, который вместе с коллегой Дарианом Хассом обнаружил, что вирус обращается по адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com и решил зарегистрировать домен, чтобы проследить его активность. Как выяснилось, адрес был зашит в коде вируса на тот случай, если его потребуется остановить.

«Так что я могу добавить в свое резюме, что случайно остановил международную кибератаку», — написал @MalvareTechBlog.

Однако, как отмечается, это временный успех: как только хакеры изменят адрес в вирусе, атака продолжится.

Эксперт образовательного проекта «Кибербаталии», руководитель российской практики услуг по информационной безопасности компании PwC Роман Чаплыгин заявил, что зафиксировано более 300 новых штаммов вируса WannaCry.

Пояснение Аналитического центра Как объясняет генеральный директор компании Attack Killer (входит в ГК InfoWatchinfo-icon) Рустэм Хайретдинов, существует несколько классов вирусов по цели применения: «боевые» — как Stuxnet, атаковавший энергетические объекты в Иране и остановивший на какое-то время развитие ядерной программы в стране, «коммерческие» — которые пишутся с целью шантажа, грабежа, мошенничества, а также «информационные атаки» — которые производятся, чтобы продемонстрировать мощь и силу.

Трудно назвать атаки на больницу в Великобритании — позицией демонстрации силы, как и рассматривать WannaCry с точки зрения боевых вирусов — он вымогает деньги, таким образом, является образцом коммерческих вирусов.

«Атака шла на все уязвимые компьютеры и российские пользователи оказались наименее подготовленными к ней, и почему — предстоит ещё выяснить. Возможно, это сочетание нескольких факторов, например, большого распространения пиратских копий среди персональных пользователей, — комментирует Рустэм Хайретдинов.

— Пользователи таких копий намеренно отключают обновления, поэтому с большой вероятностью за два месяца после выхода патча они себе его не установили. Корпоративные пользователи в массе своей имеют легальные копии операционных систем, однако они и обновляются по-другому — через корпоративные центры обновления. Принятие решение об установке обновления и его техническая реализация в каждой компании это отдельный процесс, который вполне мог затянуться на пару месяцев из-за бюрократии или технических проблем».

Microsort выпустил патч для всех поддерживаемых систем и для неподдерживаемых Windows Server 2003, Windows XP SP2 и SP3.

Кстати, обычная тактика действия злоумышленников — сразу после выпуска патча изучать его с целью понимания принципов работы (реверсить), а поняв, какую уязвимость он закрывает, писать эксплойт (набор команд для эксплуатации этой уязвимости), пытаться атаковать непропатченных пользователей. Это редко занимает больше нескольких суток, поэтому и рекомендации вендора в этом случае — после публикации патча немедленно его установить, поскольку злоумышленники действуют быстро.

Скорость выпуска патча конкретно в этом случае никак бы не повлияла — злоумышленники использовали не «0-day» (уязвимость, к которой нет патча), а уже раскрытую уязвимость. Чтобы защититься от вируса достаточно установки обновления Microsoft или ручного отключения устаревших и практически не использующихся протоколов.

«В случае заражения вирусом WannaCry, есть возможность восстановления системы из резервных копий. По счастью, этот шифровальшик шифрует файлы немедленно после попадания на компьютер (обычно такие вирусы шифруют данные несколько дней, чтобы зашифрованные файлы попали и в резервные копии). Поэтому восстановление из резервных копий в случае с WannaCry возможно, — объясняет генеральный директор Attack Killer. — На мой взгляд, платить вымогателям — провоцировать их на новые преступления. К тому же, никто не гарантирует, что после перевода денег вам придет код расшифровки».

«Любые эпидемии, в том числе киберэпидемии, и появляются из-за несоблюдения гигиены. Люди перестают заниматься гигиеной, расслабляются и начинают тяжело болеть там, где всё могло обойтись мытьём рук перед едой», — считает Рустэм Хайретдинов.

Что нужно сделать

Добавим также, что ещё в марте Microsoft выпустила критический патч в бюллетене Microsoft Security Bulletin MS17-010, в нем устранялась уязвимость, используемая WannaCry.

Для противодействия этому вымогателю (защиты от WannaCry, WCry, WannaCrypt, Wana Decrypt0r) пользователям настоятельно рекомендуется выполнить следующие шаги:

  • Применить патч, опубликованный Microsoft на всех уязвимых узлах сети.
  • Изолировать связь с портами UDP 137/138 и TCP 139/445.
  • Регулярно создавать резервные копии данных и проверять целостность этих резервных копий.
  • Проверять всю входящую и исходящую электронную почту на предмет наличия вредоносного содержимого.
  • Установить автоматическое проведение регулярных проверок антивирусными программами.
  • Отключить макроскрипты в файлах, передаваемых по электронной почте.

Если ваша организация стала жертвой вымогателя WannaCry, выполните следующие действия:

  • Немедленно изолируйте зараженные устройства, удалите их из сети как можно скорее, чтобы предотвратить распространение вымогателей на сеть или общие диски.
  • Если ваша сеть была заражена, немедленно отключите все подключенные устройства. Это может обеспечить время для очистки и восстановления данных.
  • Резервные копии данных должны храниться в автономном режиме. Если обнаружено заражение, отсканируйте резервные копии, чтобы убедиться, что они свободны от вредоносного ПО.
  • Немедленно обратитесь в правоохранительные органы, чтобы сообщить о любых событиях, связанных с вымогательством, и получить помощь.

По материалам: anti-malware.ru



1 звезда2 звезды3 звезды4 звезды5 звезд (Еще никто не голосовал)
Loading ... Loading ...
Google Bookmarks Digg Reddit del.icio.us Ma.gnolia Technorati Slashdot Yahoo My Web News2.ru БобрДобр.ru RUmarkz Ваау! Memori.ru rucity.com МоёМесто.ru Mister Wong





Записи с теми же метками:

Комментарии:


  1. Комментатор: Дмитрий Беляев

    В продолжение темы:

    03.08.2017 [18:07]

    Авторы WannaCry вывели награбленные с помощью вируса средства

    Прошло двенадцать недель с тех пор, как вирус-вымогатель WannaCry атаковал компьютеры по всему миру, зашифровав на них файлы и потребовав от пользователей выкуп в размере от $300 до $600 в биткоиновом эквиваленте.

    С его помощью хакерам удалось собрать порядка $140 000, распределённых по трём биткоин-кошелькам, на которые жертвы переводили средства. При этом злоумышленники не спешили обналичивать их, понимая, что счета находятся под наблюдением правоохранительных органов. Однако минувшим вечером на кошельках было зафиксировано движение средств.

    Первые транзакции были осуществлены в 11:10 вечера среды по североамериканскому восточному времени (5:10 утра четверга по московскому времени).

    С первого кошелька было снято 7,34 BTC ($20 055), со второго — 8,73 BTC ($23 856), с третьего — 9,67 BTC ($26 434). То есть в сумме было выведено порядка $70 000.

    Спустя пять минут были произведены ещё три операции на 7, 10 и 9 биткоинов ($19 318, $27 514 и $24 698 соответственно).

    По прошествии десяти минут хакеры совершили последнюю транзакцию, выведя со второго кошелька оставшиеся 9,67 биткоина ($26 508).

    Скорее всего, переводы осуществлялись через так называемый биткоин-миксер, который не позволяет отследить пути конвертации криптовалюты в валюту реальную. Данный процесс является виртуальным аналогом отмывания денег в реальном финансовом мире.

    Источник

Оставить комментарий

:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:

ВНИМАНИЕ! Все комментарии, содержащие явные оскорбления (в адрес автора статьи или собеседника-комментатора), спам и очевидную рекламу сторонних ресурсов, будут удалены. Также не рекомендуется злоупотреблять матом (такие сообщения будут отмодерированы или удалены).


Другие материалы: