Вирус-шифровальщик. Что это было? Как сделать, чтобы этого больше не было?::Журнал СА 6.2017
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6143
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6856
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4139
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2978
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6283
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3434
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12336
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13969
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9100
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7053
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5362
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4594
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3402
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3129
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3379
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3000
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Вирус-шифровальщик. Что это было? Как сделать, чтобы этого больше не было?

Архив номеров / 2017 / Выпуск №6 (175) / Вирус-шифровальщик. Что это было? Как сделать, чтобы этого больше не было?

Рубрика: Безопасность /  Угрозы

Вирус-шифровальщик
Что это было? Как сделать, чтобы этого больше не было?

Зловред получил несколько имен: WanaCryptor, WannaCrypt, но в основном он стал известен как WannaCry. Мы публикуем подборку материалов, предоставленных журналу ведущими компаниями и экспертами в сфере ИТ-безопасности


«Лаборатория Касперского»: уроки WannaCry

По данным «Лаборатории Касперского», сегодня в среднем каждые 40 секунд компании сталкиваются с попытками атак программ-вымогателей

Вирус-шифровальщик Что это было? Как сделать, чтобы этого больше не было?Эта категория вредоносного ПО уже давно заняла верхние строчки самых актуальных угроз для бизнеса: количество программ-шифровальщиков, нацеленных на корпоративный сектор, в период 2015-2016 годов выросло почти в шесть раз по сравнению с 2014-2015 годами. И недавняя масштабная волна атак шифровальщика WannaCry лишь подтверждает эту тенденцию – за считанные дни и часы зловред смог поработить тысячи корпоративных устройств.

Скорость, с которой шифровальщик распространился по миру, впечатляет даже бывалых экспертов. Но все это говорит не столько об уникальных способностях зловреда, сколько опроколах в системах безопасности организаций. Эта печальная история – мощный стимул и повод задуматься о том, почему WannaCry так легко и беспрепятственно проник вкорпоративные сети по всему миру и что сделать, чтобы избежать подобных инцидентов в будущем.

«Windows опять просит обновиться? Отложить!»

Напомним, что WannaCry распространялся через незакрытую уязвимость в ОС Windows: наш анализ показывает, что атака инициируется посредством удаленного выполнения кода SMBv2 в Microsoft Windows. Этот эксплойт (под кодовым названием EternalBlue) был опубликован в интернете в дампе группы хакеров Shadowbrokers 14 апреля 2017 года, хотя компания Microsoft выпустила патч для закрытия уязвимости 14 марта.

За прошедший год шифровальщиками были атакованы 32% российских компаний, причем в 37% из них были зашифрованы значительные объемы данных. Потеряли все свои ценные данные либо так и не сумели восстановить доступ к значительной их части 31% компаний. А заплатить выкуп предпочли 15%

И вот тут-то и был корень всех проблем – как выяснилось, многие компании так и не установили обновления, закрывающие эту брешь. Одна из распространенных причин: администраторы после выхода обновления не торопятся «накатывать» его на боевые системы, ожидая первых отзывов коллег, так как остерегаются возможного негативного влияния самого патча на работоспособность машин.

Но вообще причин для промедления может быть множество: где-то практикуется установка обновлений вручную, где-то это делается раз в квартал, а где-то и вовсе основной мерой защиты от киберугроз избрали отключение доступа к интернету. Однако, как показала практика, все эти тактики не работают. И лучше бы доверить управление обновлениями технологиям, тем более что они сегодня доступны на рынке.

К примеру, в защитных решениях «Лаборатории Касперского» для корпоративного сектора, в частности в Kaspersky Security для бизнеса и Kaspersky Endpoint Security Cloud, предусмотрен модуль Kaspersky Systems Management, содержащий автоматические средства проверки системы, которые обнаруживают и устраняют известные уязвимости ипомогают в распространении необходимых обновлений и исправлений. Таким образом, как только производитель программного обеспечения сообщит об уязвимости и выпустит соответствующий патч для ее закрытия, защитная система «Лаборатории Касперского» автоматически об этом узнает и проведет обновление ПО.

Если бы компании своевременно воспользовались подобными технологиями, атаки WannaCry не получили бы такой размах и множество ценных данных осталось бы внеприкосновенности.

Важно понимать, что, хотя компьютеры с Windows, на которые не установлен патч и у которых службы SMB не защищены, могут подвергнуться удаленной атаке с использованием эксплойта EternalBlue и заразиться вымогателем WannaCry, отсутствие этой уязвимости на самом деле не мешает работе троянца. Тем не менее ее наличие является самым значительным фактором, вызвавшим вспышку заражений.

Для более надежной защиты в решениях «Лаборатории Касперского» присутствует модуль автоматической защиты от эксплойтов (Automatic Exploit Prevention). Он постоянно следит за тем, чтобы зловреды не смогли использовать уязвимости в программном обеспечении. В случае с WannaCry это также помогло бы.

Анализ атаки

Вредоносное ПО, используемое для атаки, шифрует файлы, а также устанавливает и запускает инструмент для дешифровки. Далее отображается требование выплатить $600 вбиткоинах вместе с кошельком для оплаты. Интересно, что размер выкупа в этом примере составляет $600, а первые пять платежей, пришедших на данный кошелек, – около $300. Это означает, что вымогатели повышают требования выкупа.

Инструмент по дешифровке составлен на разных языках, чтобы донести сообщение до пользователей во многих странах (см. рис. 1).

Рисунок 1. Список языков, которые поддерживает WannaCry

Рисунок 1. Список языков, которые поддерживает WannaCry

Обратите внимание, что «сумма будет повышена» после завершения обратного отсчета, а также для повышения срочности платежа есть другое предупреждение с угрозой, чтопользователь полностью потеряет свои файлы после определенного времени. Не все троянцы-вымогатели ведут подобный обратный отсчет.

Чтобы пользователь точно не пропустил предупреждение, WannaCry заменяет обои рабочего стола на инструкцию, как найти инструмент для дешифровки, установленный вредоносным ПО.

Образцы вредоносного ПО не содержат ссылок на какую-либо определенную языковую или кодовую страницу, кроме универсальной английской и латинской кодировки CP1252. Файлы содержат информацию о версии, украденной из случайных системных инструментов Microsoft Windows 7 (см. рис. 2).

Рисунок 2. Свойства файлов вредоносного ПО, используемых WannaCry

Рисунок 2. Свойства файлов вредоносного ПО, используемых WannaCry

Для удобства платежей в биткоинах вредоносное ПО перенаправляет пользователя на страницу с QR-кодом на btcfrog, которая ведет на их главный Bitcoin-кошелек 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94. Метаданные изображений не предоставляют никакой дополнительной информации.

Для управления и контроля вредоносная программа извлекает и использует исполняемый файл службы Tor со всеми необходимыми файлами зависимостей для доступа к сети Tor.

Что касается файлов пользователей, вымогатель шифрует файлы со следующими расширениями: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Если бы компании своевременно воспользовались технологиями «Лаборатории Касперского», атаки WannaCry не получили бы такой размах и множество ценных данных осталось бы в неприкосновенности

Расширения файлов, на которые нацеливается вредоносное ПО, содержат определенные кластеры форматов, включая:

  • Типичные расширения офисных файлов (.ppt, .doc, .docx, .xlsx, .sxi).
  • Менее типичные офисные форматы и расширения, характерные для определенных наций (.sxw, .odt, .hwp).
  • Архивы, мультимедиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv).
  • Электронную почту и базы данных электронной почты (.eml, .msg, .ost, .pst, .edb).
  • Файлы баз данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • Файлы с исходным кодом и проектами разработчиков (.php, .java, .cpp, .pas, .asm).
  • Ключи и сертификаты шифрования (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • Файлы графических дизайнеров, художников и фотографов (.vsd, .odg, .raw, .nef, .svg, .psd).
  • Файлы виртуальных машин (.vmx, .vmdk, .vdi).

После запуска троянец немедленно создает несколько процессов для изменения прав доступа к файлам и связи со скрытыми с помощью Tor серверами c2:

  • attrib +h .
  • icacls . /grant Everyone:F /T /C /Q
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • @WanaDecryptor@.exe fi
  • 300921484251324.bat
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe
  • C:\Users\xxx\AppData\Local\Temp\taskdl.exe

Вредоносное ПО создает мьютекс Global\MsWinZonesCacheCounterMutexA и выполняет команду:

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

В результате появляется всплывающее окно UAC (User account control – управление учетными записями пользователей), которое пользователь может заметить.

Для связи с серверами C&C вредоносное ПО использует скрытые службы Tor. Список доменов .onion внутри службы выглядит следующим образом:

  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • Xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion
  • sqjolphimrr7jqw6.onion

Как снизить риски: многоуровневая защита

В хорошем защитном решении должно быть предусмотрено несколько слоев защиты. Помимо классической сигнатурной проверки, то есть поиска потенциально опасной или еще неизвестной программы по антивирусным базам, защитная программа должна также обладать возможностями эвристической проверки – то есть уметь распознавать угрозу поповедению программы. Такой подход позволяет эффективно отражать новые и еще не известные угрозы.

В корпоративных защитных решениях «Лаборатории Касперского» эвристические технологии реализованы в рамках модуля «Мониторинг системы» (System Watcher), который следит за всеми программными процессами, сравнивая их поведение с моделями, характерными для вредоносного ПО. Обнаружив подозрительную программу, «Мониторинг системы» автоматически помещает ее в карантин. Кроме того, защитный модуль постоянно контролирует доступ к файлам, а при запросе доступа к ним сохраняет их временные копии. Поэтому если защита обнаружит попытку зашифровать какие-либо файлы, то временные резервные копии позволят вернуть данные в первоначальный вид.

Защитные возможности «Мониторинга системы» можно усилить, активировав технологию контроля программ и динамических белых списков, также предусмотренных в решениях «Лаборатории Касперского». Помимо блокировки программ из так называемого черного списка, в некоторых случаях можно ввести в действие режим «Запрет по умолчанию» иразрешить только программы из белого списка – проверенные и безопасные. Таким образом, шифровальщики будут блокироваться автоматически.

Наконец, важную роль в борьбе с новыми угрозами сегодня играют облачные технологии. Решения «Лаборатории Касперского» узнают о свежих, только что появившихся вредоносных программах из облачной инфраструктуры Kaspersky Security Network (KSN), которая объединяет более 60 миллионов пользователей по всему миру. В облако в режиме реального времени поступают анонимные данные обо всех детектах и потенциально опасных объектах, обнаруженных на устройствах, защищаемых продуктами компании. Кактолько хотя бы один компьютер, передающий данные в KSN, сталкивается с новой угрозой, информация о ней становится доступной всей защитной инфраструктуре «Лаборатории Касперского» и все пользователи продуктов компании автоматически получают обновленные антивирусные базы и избавляются от риска столкновения с новым зловредом.

Предупрежден – значит вооружен

Информационная безопасность сегодня превратилась из системы в процесс, который нужно постоянно контролировать и поддерживать в актуальном состоянии. При этом крайне важно уделять внимание не только предотвращению угроз на всех узлах и точках входа в ИТ-инфраструктуру компании, но также уметь прогнозировать и предвидеть возможные векторы атак и знать, какие места в корпоративной сети в наибольшей степени подвержены риску. Эти задачи уже невозможно решить лишь технологическими средствами, тут необходимы опыт и знания экспертов в области информационной безопасности.

В случае WannaCry пока не известно ни одного эпизода, когда после оплаты удалось расшифровать данные

Именно поэтому, помимо защитных решений, «Лаборатория Касперского» предлагает широкий набор экспертных сервисов – Kaspersky Security Intelligence. В рамках этих сервисов эксперты «Лаборатории Касперского» могут проанализировать текущее состояние ИТ-инфраструктуры компании, выявить ее наиболее уязвимые места и дать свои рекомендации поусилению защиты. Кроме того, организация может получать так называемые потоки данных – кастомизированные отчеты с информацией о наиболее актуальных для нее угрозах. Эти знания помогут скорректировать подход к обеспечению защиты.

Особое внимание также стоит уделить обучению сотрудников компании навыкам безопасной работы с ИТ-системами и озаботиться повышением их уровня осведомленности окиберугрозах. С этой задачей помогут справиться специальные образовательные сервисы «Лаборатории Касперского», которые предусматривают многоступенчатую систему тренингов для всего персонала организации. Человек – одно из самых уязвимых звеньев в цепочке защиты предприятия, и киберпреступники прекрасно это понимают.

Главное – не платить

Шифровальщики – актуальная для российского бизнеса проблема. По данным «Лаборатории Касперского», за прошедший год программами-шифровальщиками были атакованы 32% российских компаний, причем в 37% из них были зашифрованы значительные объемы данных. Потеряли все свои ценные данные либо так и не сумели восстановить доступ кзначительной их части 31% компаний. А заплатить выкуп предпочли 15%.

Основная проблема с шифровальщиками и вымогателями сегодня заключается в том, что зачастую жертвы соглашаются заплатить злоумышленникам, так как не видят другого способа вернуть доступ к своим ценным данным. И это подстегивает киберпреступную экономику, что подтверждается статистическими данными: мы наблюдаем рост числа атак ификсируем появление новых игроков на этом поле.

Мы настоятельно рекомендуем не платить злоумышленникам. Во-первых, это лишь мотивирует их и дальше совершать подобные атаки, а во-вторых, уплата выкупа отнюдь негарантирует, что доступ к зашифрованным данным будет восстановлен – киберпреступники могут «забыть» прислать ключ или вообще не иметь его. Их главная задача – собрать деньги, сохранность чужих данных их нисколько не волнует. Тем более в случае WannaCry нам пока не известно ни одного эпизода, когда после оплаты удалось расшифровать данные.

Кроме того, чаще всего последствия заражения шифровальщиком не ограничиваются только единовременной выплатой суммы, которую требуют киберпреступники. Сумма ущерба включает в себя также прибыль, потерянную в результате полной или частичной остановки операций (внутренних бизнес-процессов, финансовых транзакций), стоимость потерянных ценных данных (финансовых и проектных документов, баз данных о клиентах и партнерах и т.д.) и расходы на восстановление репутации. На размер ущерба также напрямую влияют недочеты в профилактической работе ИТ-персонала: нерегулярно обновляемое ПО, плохо администрируемые системы, огромное количество устаревших илиотсутствующих резервных копий, использование ненадежных паролей и т.д.

Так что лучше все-таки озаботиться проактивной защитой от угрозы вымогателей и начать играть на опережение. Как известно, проще предотвратить проблему, чем потом разбираться с ее последствиями.


InfoWatch: WannaCry – образец коммерческого вируса

Код этого вируса для компьютеров на ОС Windows был выложен в утечке WikiLeaks среди прочих хакерских инструментов ЦРУ. Несмотря на то что код был «стерилизован», создатели вируса его модифицировали

Технология распространения вируса не требует никаких действий от пользователя – ни открытия файлов, ни чтения почты, ни перехода по ссылкам – только включенный компьютер с уязвимым Windows, подключенным к интернету. Атака происходит через сетевую уязвимость Microsoft Security Bulletin MS17-010. Вирус шифрует файлы на зараженном компьютере, после чего требует отправить злоумышленникам от $300 до 600 в биткоинах. Заражению подвержены компьютеры, где не установлены обновления Windows и не стоит свежий антивирус.

Ущерб

Программа-вымогатель WannaCry заблокировала не менее 200 тысяч компьютеров, по данным на 15 мая. Зараженными оказались компьютеры МВД России, РЖД, телеком-операторов «МегаФон» и «ВымпелКом». Атаки были также осуществлены на Сбербанк, Минздрав РФ и систему выдачи прав ГИБДД.

В Германии хакерской атаке подверглись системы крупнейшего железнодорожного оператора Deutsche Bahn. В Великобритании под удар попали сервисы больниц.

Рекомендация любого вендора – после публикации патча немедленно его установить, поскольку злоумышленники действуют быстро

В Японии среди жертв вируса оказались некоторые подразделения Nissan и Hitachi, в Китае нефтяной гигант PetroChina подтвердил, что пострадали платежные системы нанекоторых его заправках.

Также пострадали несколько испанских компаний (телекоммуникационный гигант Telefonica, энергетическая фирма Iberdrola, поставщик коммунальных услуг Gas Natural), компания экспресс-доставки FedEx, компания Renault.

Создатели вируса-вымогателя WannaCry уже получили от своих жертв более $55 000. Пользователи создали веб-ресурс, где в режиме реального времени можно проследить заперечислениями средств на счета злоумышленников.

Позиция России

Президент России Владимир Путин прокомментировал вирусную атаку на компьютерные системы организаций вирусом WannaCry: «Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило. Сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов, Россия здесь совершенно ни при чем. Мне странно слышать в этих условиях что-то другое».

Первую волну вируса удалось остановить благодаря британскому программисту, который обнаружил, что вирус обращается по адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и решил зарегистрировать домен, чтобы проследить его активность. Как выяснилось, адрес был зашит в коде вируса на тот случай, если его потребуется остановить. Однако кактолько хакеры изменят адрес в коде, кибератака продолжится.

Эксперт образовательного проекта «Кибербаталии», руководитель российской практики услуг по информационной безопасности компании PwC Роман Чаплыгин заявил, чтозафиксировано более 300 новых штаммов вируса WannaCry.

Пояснение Аналитического центра

Как объясняет генеральный директор компании Attack Killer (входит в группу коспаний InfoWatch) Рустэм Хайретдинов, существует несколько классов вирусов по цели применения:

  • «боевые» – как Stuxnet, атаковавший энергетические объекты в Иране и остановивший на какое-то время развитие ядерной программы в стране,
  • «коммерческие» – которые пишутся в целях шантажа, грабежа, мошенничества,
  • а также «информационные атаки» – которые производятся, чтобы продемонстрировать мощь и силу.

Трудно назвать атаки на больницу в Великобритании позицией демонстрации силы, как и рассматривать WannaCry с точки зрения боевых вирусов – он вымогает деньги, таким образом, является образцом коммерческих вирусов.

«Атака шла на все уязвимые компьютеры, и российские пользователи оказались наименее подготовленными к ней, почему – предстоит еще выяснить. Возможно, это сочетание нескольких факторов, например большого распространения пиратских копий среди персональных пользователей, – комментирует Рустэм Хайретдинов. – Пользователи таких копий намеренно отключают обновления, поэтому с большой вероятностью за два месяца после выхода патча они себе его не установили. Корпоративные пользователи в массе своей имеют легальные копии операционных систем, однако они и обновляются по-другому – через корпоративные центры обновления. Принятие решения об установке обновления и еготехническая реализация в каждой компании – это отдельный процесс, который вполне мог затянуться на пару месяцев из-за бюрократии или технических проблем».

Microsort выпустил патч для всех поддерживаемых систем и для неподдерживаемых Windows Server 2003, Windows XP SP2 и SP3.

Обычная тактика действия злоумышленников – сразу после выпуска патча изучать его в целях понимания принципов работы (реверсить), а поняв, какую уязвимость он закрывает, писать эксплойт (набор команд для эксплуатации этой уязвимости), пытаться атаковать непропатченных пользователей. Это редко занимает больше нескольких суток, поэтому ирекомендации вендора в этом случае – после публикации патча немедленно его установить, поскольку злоумышленники действуют быстро.

Скорость выпуска патча конкретно в этом случае никак бы не повлияла – злоумышленники использовали не 0-day (уязвимость, к которой нет патча), а уже раскрытую уязвимость.

Чтобы защититься от вируса, достаточно установки обновления Microsoft или ручного отключения устаревших и практически не использующихся протоколов.

«В случае заражения вирусом WannaCry, есть возможность восстановления системы из резервных копий. По счастью, этот шифровальщик шифрует файлы немедленно после попадания на компьютер (обычно такие вирусы шифруют данные несколько дней, чтобы зашифрованные файлы попали и в резервные копии). Поэтому восстановление из резервных копий в случае с WannaCry возможно, – объясняет генеральный директор Attack Killer. – На мой взгляд, платить вымогателям – провоцировать их на новые преступления. К тому же никто не гарантирует, что после перевода денег вам придет код расшифровки».

«Любые эпидемии, в том числе киберэпидемии, и появляются из-за несоблюдения гигиены. Люди перестают заниматься гигиеной, расслабляются и начинают тяжело болеть там, где все могло обойтись мытьем рук перед едой», – считает Рустэм Хайретдинов.

Леонид ШапироЛеонид Шапиро, Team Lead, Professional Services, Russia & CIS, Radware

– Что именно, на ваш взгляд, послужило такому большому количеству заражений от уже такой известной угрозы, как шифровальщики?

– Мы столкнулись с мощной атакой, влияние которой распространилось по всему миру. Больше всего инфицированных компьютеров оказалось в России, Украине, Тайване, Индии. Среди пострадавших не только организации, например Министерство внутренних дел РФ, Национальная служба здравоохранения Великобритании, ряд университетов в Китае, испанская телекоммуникационная компания Telefonica, автоконцерн Renault, железнодорожная компания Deutsсhe Bahn, но и пользователи персональных компьютеров.

Атака нацелена на уязвимости в протоколе прикладного уровня SMB (Server Message Blocks), который используется для организации общего доступа к сетевым ресурсам. Уязвимость характерна для v1 этого протокола. Эта версия разработана в начале 80-x годов и, как мы имели возможность увидеть исходя из потрясающего успеха этой атаки, продолжает использоваться по сей день. При этом надо отметить, что технически потребность в SMBv1 отсутствует.

Компания Microsoft настоятельно рекомендовала отказаться от SMBv1 в 2013 году. Никакой потребности в этом протоколе давно нет. 14 марта 2017 года, то есть фактически за два месяца до массовой атаки, Microsoft объявила об обнаружении критической уязвимости в системе Microsoft Security Bulletin MS17-010 – Critical, позволяющей выполнять посторонний код удаленно, и выпустила соответствующий пакет обновления Security Update for Microsoft Windows SMB Server (4013389).

Radware опубликовал исчерпывающее исследование, посвященное этой атаке, с которым можно познакомиться тут: https://security.radware.com/ddos-threats-attacks/ddos-attack-types/wannacry-ransomware.

С моей точки зрения, успех злоумышленников, как это часто бывает, в первую очередь обусловлен недостатками организационного характера. Мы видим, что была выполнена атака на уязвимость старого прикладного протокола, использование которого должно было быть прекращено еще много лет назад, а уж если он продолжал использоваться, то по крайней мере следовало бы своевременно устанавливать рекомендованные производителем обновления. Наконец, можно было просто отключить File and Printer Sharing for Microsoft Networks, если доступ к ресурсам конкретной системы предоставлять не нужно.

– Что ваша компания как специалист по ИБ может посоветовать ИТ-специалистам, чтобы обезопасить свои компании от угроз такого типа?

– Своевременное обновление вычислительных систем позволило бы избежать последствий этой атаки. Необходимо анализировать публикации профильных источников длясвоевременного выявления уязвимостей вашей инфраструктуры. В частности, Radware регулярно публикует отчет ERT об обнаруженных проблемах безопасности и методах противодействия им.

И, разумеется, мы настоятельно рекомендуем использование современных комплексных систем противодействия, нацеленных на отражение всех классов атак, применяемых злоумышленниками для деструктивного воздействия на вашу инфраструктуру.

– Какие еще угрозы можно ожидать в ближайшем будущем и как к ним приготовиться?

– Интенсивное развитие интернет-технологий и появление интернета вещей в сочетании с недостаточным вниманием как разработчиков, так и пользователей систем приводит кзначительному росту уязвимостей вычислительных систем и, как следствие, к росту количества, впрочем, как и качества DDoS-атак, изощренных атак на веб-приложения и иных подобных действий злоумышленников.


«Доктор Веб»: пользователи программных продуктов Dr.Web были и остаются в безопасности

Множество компьютеров по всему миру оказалось заражено опасным червем WannaCry. Пострадали правительственные и коммерческие организации, а также частные лица. Специалисты компании «Доктор Веб» тщательно изучают эту вредоносную программу, но уже сейчас готовы поделиться некоторыми результатами своего исследования

Самая первая известная Dr.Web модификация троянца (Wanna Decryptоr 1.0) поступила на анализ в вирусную лабораторию «Доктор Веб» 27 марта 2017 года в 07:20 и в тот же день в11:51 была добавлена в вирусные базы. Шифровальщик Trojan.Encoder.11432 [1], известный как WannaCry, начал активно распространяться в пятницу вечером, а к выходным поразил компьютеры крупнейших организаций по всему миру. «Доктор Веб» получил его образец 12 мая в 10:45 и добавил в вирусные базы Dr.Web. До добавления записи в базу троянец определялся Dr.Web как BACKDOOR.Trojan.

Вячеслав МедведевВячеслав Медведев, ведущий аналитик отдела развития компании «Доктор Веб»

– Что именно, на ваш взгляд, послужило такому большому количеству заражений от уже такой известной угрозы, как шифровальщики?

– Не такому уж и большому. Вспомним эпидемии начала века, ту же Мелиссу. Конфикер. Ситуация точно соответствует фразе «ну вот никогда не было, и вот опять». Ажиотаж отэтой угрозы связан в первую очередь с тем, что пострадали знаковые компании, а во-вторых, под удар попали те люди, которые обычно не заражались. Не бухгалтеры, которые кликали по ссылке, а обычные сотрудники, которые, может быть, и писем-то обычно не получают. Включая тех, кто уверен, что «я по ссылкам не кликаю, поэтому не заражусь никогда».

– Что ваша компания как специалист по ИБ может посоветовать ИТ-специалистам, чтобы обезопасить свои компании от угроз такого типа?

– Вспоминать про ст. 293 УК РФ (халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного илинебрежного отношения к службе либо обязанностей по должности). Атака данного шифровальщика связана с тем, что в интернете или локальной сети (для вторичного заражения) были доступны компьютеры без установленных обновлений и с неиспользуемыми, но доступными сервисами. Как можно такие компьютеры выставлять в интернет? Онеобходимости данных действий говорится на всех конференциях и во всех стандартах безопасности. Почему все эти рекомендации не исполнялись? Ну ладно, устаревшие ОС. Ноотключить на них использование SMBv1 в соответствии с рекомендацией от Microsoft от прошлого сентября кто запрещал?

– Какие еще угрозы можно ожидать в ближайшем будущем и как к ним приготовиться?

– Атаки на редко защищаемые системы (Линукс, Андроид), атаки на сетевое оборудование. И все также будут атаки через безграмотность пользователей.

Вредоносная программа, известная под названием WannaCry, представляет собой сетевого червя, способного заражать компьютеры под управлением Microsoft Windows без участия пользователя. Антивирус Dr.Web детектирует все компоненты червя под именем Trojan.Encoder.11432. Его распространение началось примерно в 10 утра 12 мая 2017 года. Червь атакует все компьютеры в локальной сети, а также удаленные интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445. Обосновавшись наинфицированном компьютере, червь самостоятельно пытается заразить другие доступные машины – этим и объясняется массовость эпидемии. Сама вредоносная программа имеет несколько компонентов, троянец-энкодер – лишь один из них.

Сетевой червь

Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, червь завершает свою работу. Некоторые СМИ сообщали, что эпидемию WannaCry удалось остановить, зарегистрировав этот домен: к моменту начала распространения троянца он был свободен якобы из-заоплошности злоумышленников. На самом деле анализ троянца показывает, что он будет работать и распространяться на компьютерах, имеющих доступ к локальной сети, но неимеющих подключения к интернету. Поэтому об остановке эпидемии говорить пока преждевременно.

После запуска троянец регистрирует себя в качестве системной службы с именем mssecsvc2.0. При этом червь чувствителен к параметрам командной строки: если указан какой-либо аргумент, он пытается настроить автоматический перезапуск службы в случае возникновения ошибки. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Успешно стартовав на инфицированной машине, червь начинает опрашивать узлы, доступные в локальной сети зараженной машины, а также компьютеры в интернете сослучайными IP-адресами. Он пытается соединиться с портом 445. Если ему удалось установить соединение, червь предпринимает попытку заразить эти компьютеры сиспользованием уязвимости в протоколе SMB.

Дроппер

Дроппер – это компонент, предназначенный для установки в операционную систему вредоносного исполняемого файла. Дроппер червя WannaCry содержит большой защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приема биткоинов, а также архив с программами для работы в сети Tor. Дроппер запускается из тела червя, устанавливается в систему, после чего пытается запустить свою копию в виде системной службы со случайным именем. Если это не удается, он выполняется, как обычная программа. Основная задача дроппера – сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.

Троянец-шифровальщик

Энкодер Trojan.Encoder.11432 шифрует файлы со случайным ключом. В файле сохраняются сведения о длине зашифрованного ключа, сам зашифрованный ключ, информация о типе шифрования и размере исходного файла. В процессе шифрования создается файл f.wnry – в нем сохраняется список файлов, которые троянец может расшифровать в тестовом режиме.

Троянец содержит в себе авторский декодер, который удаляет на зараженном компьютере теневые копии и отключает функцию восстановления системы. Он меняет обои Рабочего стола Windows на графический файл следующего содержания (см. рис. 3). Затем он распаковывает приложения для работы с сетью Tor (или скачивает их из сети) и соединяется сonion-серверами, адреса которых указаны в конфигурации троянца. Оттуда он получает имя кошелька для приема криптовалюты Bitcoin и записывает его в конфигурацию. Дляобмена данными с onion-серверами Trojan.Encoder.11432 использует собственный протокол.

Рисунок 3. Внешний вид обоев рабочего стола Windows при заражении троянцем WannaCry

Рисунок 3. Внешний вид обоев рабочего стола Windows при заражении троянцем WannaCry

Декодер позволяет расшифровать несколько тестовых файлов, список которых хранится в файле f.wnry. Приватный ключ, необходимый для их расшифровки, хранится в одном изкомпонентов вредоносной программы. Поэтому их можно расшифровать даже без использования самого троянца. Однако расшифровка тестовых и всех остальных файлов выполняется с использованием разных ключей. Следовательно, никаких гарантий успешного восстановления поврежденных шифровальщиком данных даже в случае оплаты выкупа не существует.

К сожалению, пока расшифровка поврежденных Trojan.Encoder.11432 файлов не представляется возможной.

Признаки заражения

Признаками заражения червем WannaCry являются:

  • наличие системной службы mssecsvc2.0 (видимое имя – Microsoft Security Center (2.0) Service);
  • наличие файла троянца-энкодера C:\WINDOWS\tasksche.exe, предыдущий экземпляр вредоносной программы хранится в файле C:\WINDOWS\qeriuwjhrf.
Вредоносная программа, известная под названием WannaCry, представляет собой сетевого червя, заражающего компьютеры под управлением Microsoft Windows без участия пользователя

Что делать в случае заражения:

  • во избежание распространения инфекции изолировать зараженные машины и ПК с ценными данными от компьютерных сетей;
  • сохранить резервную копию информации на отдельные носители, которые после этого должны храниться отключенными от любых компьютеров.

С предварительным техническим описанием червя можно ознакомиться по ссылке [2].

Чтобы исключить попадание этого троянца на ваши компьютеры, мы рекомендуем следующее:

  • установить обновление для вашей операционной системы MS17-010, а также все текущие обновления безопасности;
  • обновить антивирус;
  • закрыть с помощью брандмауэра атакуемые сетевые порты (139, 445);
  • отключить атакуемый и уязвимый сервис операционной системы;
  • запретить установку и запуск нового ПО (исполняемых файлов);
  • убрать лишние права пользователей (права на запуск и установку нового ПО);
  • удалить ненужные сервисы в системе;
  • запретить доступ к сети Tor.
  1. https://vms.drweb.ru/search/?q=Trojan.Encoder.11432.
  2. https://vms.drweb.ru/virus/?i=15306951&lng=ru.

Group-IB: эта история показала, насколько уязвим современный цифровой мир

В мае 2017 года всего за сутки вирус-шифровальщик WanaCryptor атаковал 200 тысяч компьютеров в 150 странах мира [1]. Он прошелся по сетям университетов и школ в Китае, заводов Renault во Франции, телекоммуникационной компании Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД РФ не смогли выдавать водительские права

За разблокировку компьютеров преступники требовали сравнительно небольшой выкуп – от $300 до 600 и за день заработали всего $42 000. Мы знаем об этом доподлинно, ведь биткоин-кошельки устроены таким образом, что их содержимое (но не принадлежность) видно любому. Сумма для киберпреступного мира смехотворная, и она указывает наперелом в человеческом восприятии шифровальщиков как явления: люди больше не готовы платить за расшифровку – при 200 тысячах заражений деньги заплатили всего 100-150человек. Возможно, данная атака, с учетом ее показательности, станет одновременно пиком и концом эпохи шифровальщиков.

Однако в целом история WanaCryptor наглядно показала, насколько уязвим современный цифровой мир.

WanaCryptor – целевая атака (APT)?

Нет, хотя APT-инструменты явно были задействованы. С чисто технической точки зрения, WanaCryptor – достаточно простое вредоносное ПО. Оно атакует все хосты, доступные влокальной сети, и сканирует интернет, чтобы обнаружить уязвимые хосты и там.

Успешное распространение этой вредоносной программы в глобальном масштабе – следствие появления в открытом доступе кибероружия и его использования преступными группировками: WanaCryptor использует EternalBlue, предположительно эксплойт АНБ США, выложенный в утечке ShadowBrokers 14 апреля.

Александр ИванюкАлександр Иванюк, директор по продуктовому и технологическому позиционированию компании Acronis

По мнению ведущих экспертов ИТ-сообщества, 2016 год стал годом программ-вымогателей. Недавние события с атакой WannaCry показывают, что и в будущем году нас ждут всеболее изощренные атаки, к которым необходимо готовиться уже сейчас.

Вот пара простых советов, которые помогут вам в защите данных:

  • Не скачивайте файлы и не переходите по ссылкам, содержащимся в письмах от незнакомых адресатов или на небезопасных сайтах. Именно так программы-вымогатели проникают в наши компьютеры и мобильные устройства.
  • Установите Windows 7 или Windows 10 и обязательно включите автоматическое обновление. Напомню, что для шифрования данных WannaCry использовал уязвимости ранних версий Windows.
  • Для эффективной защиты данных используйте передовые интегрированные решения, сочетающие в себе технологии резервного копирования и безопасного хранения данных, которые реализованы в одном продукте и обеспечивают восстановление данных в любой ситуации. Решения, оснащенные технологией Active Protection, которая детектирует программы-вымогатели, останавливают их атаки и автоматически восстанавливают потерянные данные.

Хотя с тактической точки зрения эта атака достаточно продвинутая, в целом в ней нет ничего нового. Mirai, ботнет IoT, стоящий за исторически значимой DDoS-атакой на блог KrebsOnSecurity в сентябре 2016 года, был создан с использованием схожих подходов к распространению и сокрытию вируса.

Несколько других особенностей WanaCryptor:

  • Саморепликация: вирус распространяется на другие компьютеры как компьютерный червь. Он запускает два потока: первый сканирует LAN на порте 445 и ищет уязвимые хосты, второй пытается использовать уязвимость на случайных IP- адресах со скоростью 1000 IP-адресов в минуту.
  • Целевое шифрование: вредоносное ПО выбирает для шифрования наиболее чувствительные документы – электронную почту, ключи шифрования и сертификаты, файлы исходных кодов, архивы, файлы MS Office, виртуальные машины, базы данных.
  • Защита от исследования: он устанавливает TOR для связи с сервером командными серверами (C&C).

Кто в первую очередь под угрозой?

  • Все компании, на компьютерах которых не установлен патч безопасности MS17-010 [2].
  • Крупные компании – чем больше компьютеров в локальной сети, тем больше хостов может быть подвержено заражению.
  • Пользователи пиратского ПО, не поддерживаемого Microsoft.

А домашние пользователи?

Только если они запустят вирус вручную или имеют доступ к интернету через локальную сеть провайдера. Настроенные по умолчанию домашние маршрутизаторы не позволяют445-му порту, который вредоносные программы используют для самораспространения, быть доступным «снаружи».

Я установил патч MS17-010, теперь я в безопасности?

Да, только если не станете запускать вредоносный файл вручную. В этом случае файлы на компьютере будут зашифрованы, даже если патч уже установлен.

Что если я использую версию Windows, не поддерживаемую обновлениями безопасности Microsoft?

Microsoft выпустила специальную серию обновлений безопасности для Win Server 2003 и Win XP [3]. Установите их как можно скорее, иначе у вас могут возникнуть неприятности.

Почему в первую очередь были затронуты госорганы (правоохранительные органы, здравоохранение и т.д.)?

У нас нет информации, которая указывала бы на то, что именно правительственные органы были целью злоумышленников. Вредоносная программа сканирует и может заразить ЛЮБЫЕ хосты, вне зависимости от их принадлежности.

Остановилась ли эпидемия?

Массовая атака была остановлена, когда исследователь из Великобритании зарегистрировал домен [4], к которому вредоносная программа обращалась, начиная свою деятельность.

Вредоносная программа запускалась при условии, что домен не зарегистрирован. Сейчас, когда домен зарегистрирован, установленная вредоносная программа обращается к нему и, получив ответ, прекращает любую деятельность. Однако организациям, использующим прокси-серверы, этот kill switch не поможет, так как WanaCryptor не сможет достичь домена.

Возможно, данная атака, с учетом ее показательности, станет одновременно пиком и концом эпохи шифровальщиков

Единственный надежный способ защититься от щифровальщиков – установить обновления безопасности операционной системы и не запускать вредоносное программное обеспечение вручную.

Зачем вредоносному ПО была нужна такая функция kill switch?

Можем только догадываться. Наше мнение: это «выключатель» для авторов программы на случай, если ситуация выйдет из-под контроля.

Можно ли изменить вредоносное ПО, чтобы снова запустить его?

Киберпреступникам потребуется совсем немного времени, чтобы модифицировать WanaCryptor и снова запустить атаку. Таким образом, сейчас лишь временная передышка. Кто-то(предположительно не разработчик оригинальной WanaCryptor) уже загрузил в VirusTotal новую версию вируса без функции kill switch.

Что надо сделать, чтобы защититься от подобных атак?

  • Устанавливайте обновления системы и патчи систем безопасности ВОВРЕМЯ.
  • Если в корпоративной сети остались непропатченные ПК, не позволяйте сотрудникам подключать к сети ноутбуки, принесенные из дома.
  • Регулярно создавайте резервные копии своих систем.
  • Внедрите политику «нулевого доверия» и организуйте тренинг по информационной безопасности для ваших сотрудников.
  • Рассмотрите возможность отключения SMB [5] в качестве временной меры.
  • Подпишитесь на уведомления технической безопасности Microsoft [6].
  • Создание мьютексов MsWinZonesCacheCounterMutexA и Global\MsWinZonesCacheCounterMutexA0 предотвратит запуск вируса.

В данном конкретном случае решения по сетевой безопасности, запускающие подозрительные файлы в «песочнице» типа Group-IB TDS, доказали свою эффективность. Система киберразведки Group-IB заранее информировала клиентов компании об уязвимости, используемой WanaCryptor.

Мы не рекомендуем платить выкуп, так как:

  • таким образом вы помогаете преступникам;
  • у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Проинструктируйте своих сотрудников

Если вы заметили, что ваш компьютер значительно замедляет работу и начинают появляться файлы со странными расширениями, немедленно выключите его. Таким образом выпредотвратите дальнейшее шифрование файлов.

  1. http://www.latimes.com/world/europe/la-fg-europe-computer-virus-20170514-story.html.
  2. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
  3. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks.
  4. https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html.
  5. https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012.
  6. https://technet.microsoft.com/en-us/security/dd252948.
Павел Кузьмич, директор лаборатории компьютерной криминалистики при Университете ИТМО

– Заражает ли вирус компьютеры и другие устройства индивидуальных пользователей?

– Да, вирус может заражать и компьютеры пользователей. Скорее всего, сотрудники тех организаций, где зафиксировали заражение, использовали компьютеры для получения почты и «серфинга» в интернете и, не убедившись в безопасности полученных писем и открываемых сайтов, загрузили на них вредоносное ПО. Такой способ мошенничества нельзя назвать новым: проблема так называемых вирусов-шифровальщиков актуальна уже несколько лет, притом цену в $300 можно считать вполне «гуманной». Так, к нам в лабораторию полтора года назад обратилась одна организация, у которой за расшифровку только одного файла с клиентами злоумышленники потребовали $700 в тех же биткоинах.

– Что сделать, чтобы не попасть под действие вируса?

– Во-первых, внимательно относиться к тому, куда заходишь в интернете. Во-вторых, внимательно смотреть почту и, перед тем как открывать какие-либо файлы в письмах, все-таки убедиться, что это не мошенническое письмо. Очень часто вирусы распространяются в файлах, приложенных к письмам якобы от Ростелекома, где сотрудник якобы высылает счет на оплату. Часто стали приходить такие же мошеннические письма от имени Сбербанка, а также судебных приставов. Для того чтобы не стать жертвой злоумышленников, стоит внимательно смотреть, куда ведет ссылка в письме, а также какое расширение имеет файл, приложенный к письму. Ну и немаловажно хотя бы иногда делать резервные копии важных документов на отдельные съемные носители.

– Значит ли это, что сейчас заблокированы все базы атакованных организаций? Смогут ли ими воспользоваться злоумышленники в своих целях? Пострадают ли персональные данные из этих баз?

– Думаю, что говорить про блокирование работы, конечно, не стоит: скорее всего, это проблема отдельных рабочих мест. Однако тот факт, что сотрудники различных ведомств используют рабочие компьютеры не только для работы в интернете, несколько настораживает. Вполне возможно, что таким образом могли быть скомпрометированы конфиденциальные сведения их клиентов – в случае коммерческих организаций, а также и большие объемы персональных данных – в случае с ведомствами государственными. Стоит надеяться на то, что на данных компьютерах такие сведения не обрабатывались.

– Скажется ли ситуация на абонентах «МегаФона»? Опасно ли пользоваться сейчас мобильным интернетом?

– Скорее всего, нет, так как инфраструктурные элементы сети, безусловно, защищены от такого рода атак. Более того, с высокой долей вероятности можно говорить о том, чтоданный вирус рассчитан на уязвимости в ОС производства компании Microsoft, а сетевое оборудование в подавляющем большинстве управляется либо собственной операционной системой, либо операционными системами семейства Linux.

– Что происходит, когда вирус попадает в систему? Как понять, что компьютер заражен?

– Чаще всего заражение и активная фаза работы вируса – шифрование данных – проявляются в виде значительного снижения производительности компьютера. Это является следствием того, что шифрование – крайне ресурсоемкий процесс. Также это можно заметить при появлении файлов с непонятным расширением, но обычно на этом этапе уже поздно предпринимать какие-либо действия.

– Можно ли будет восстановить заблокированные данные?

– Зачастую восстановить невозможно. Раньше ключ был единым на всех зараженных, но после того, как вирус был пойман и расшифрован, а типовые коды стали широко известны (их можно найти на форумах производителей антивирусного программного обеспечения), злоумышленники стали шифровать каждый раз информацию новым ключом. Кстати, применяют вирусы сложный вариант шифра – чаще всего это асимметричное шифрование, – и взломать такой шифр очень сложно, крайне затратно по времени и ресурсам, чтофактически становится невозможным.

– Как долго вирус будет распространяться по интернету?

– Думаю, что до момента, пока его авторы будут его распространять. А это будет происходить, пока распространителей не поймают правоохранительные органы или пока пользователи не перестанут открывать письма с вирусами и не начнут внимательнее относиться к своим действиям в интернете.

Кстати

Ущерб от глобальной вирусной атаки WannaCry превысил миллиард долларов

Глобальная кибератака с использованием вируса WannaCry нанесла ущерб на 1 млрд долларов. Об этом пишет McClatchyDC со ссылкой на экспертов компании по информационной безопасности KnowBe4.

Пострадали крупные организации по всему миру. Ущерб связан с потерей данных, снижением производительности, перебоями в работе, репутационными потерями и рядом других факторов, уточняет издание.

Кто стоит за заразившим весь мир и проникнувшим в сети МВД вирусом-вымогателем?

Вирус-вымогатель WanaCryptor 2.0 (он же WannaCry) начал активно распространяться 12 мая. Хакерская программа шифрует информацию и требует выкуп, по разным данным, от$300 до 600. Предполагается, что создатели WannaCry взяли за основу вредоносную программу АНБ США Eternal Blue.

13 мая сообщалось, что распространение вируса-вымогателя удалось приостановить случайно. При этом программисты предупредили, что, если хакеры изменят код, вредоносное ПО вновь заработает.

Ранее заместитель секретаря Совета безопасности России Олег Храмов рассказал (https://lenta.ru/news/2017/05/22/ne_nanes), что WannaCry не нанес серьезного ущерба объектам критически важной информационной инфраструктуры страны. По его словам, критических последствий удалось избежать благодаря государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

По информации западных СМИ, за атакой могут стоять не только злоумышленники. В разное время утверждалось о возможной причастности России (https://lenta.ru/news/2017/05/13/shadow_brokers) или КНДР (https://lenta.ru/news/2017/05/16/tozhemogut).

Источник: lenta.ru


DriverPack: 47% пользователей Windows остаются под угрозой

DriverPack проанализировала информацию о более чем 43 млн компьютеров по всему миру и пришла к выводу, что почти половина пользователей Windows все еще могут стать новыми жертвами вируса WannaCrypt

Кто в зоне риска

По данным компании DriverPack, наибольшей угрозе подвержены пользователи операционных систем младше Windows 10, не установившие последнее обновление от Microsoft иоставляющие открытыми порты SMB. По аналитическим данным компании, более чем 18% пользователей работают на нелицензионной ОС Windows, что автоматически ставит ихпод угрозу, у 23% отключен сервис Windows Update, а еще на 6% компьютеров установлены устаревшие операционные системы, для которых обновления не выпускаются впринципе. Так как было проанализировано более 40 млн компьютеров по всему миру, аналитики компании сделали вывод, что полученные данные хорошо отражают реальное положение дел. Таким образом, по оценке специалистов DriverPack, под угрозой атаки WannaCrypt находится почти каждый второй пользователь Windows.

Как защитить компьютер и данные?

Для того чтобы защитить компьютеры пользователей от WannaCrypt, сотрудники компании DriverPack разработали специальное решение, которое в один клик устанавливает обновление, устраняющее уязвимость системы перед данным вирусом. Это происходит путем установки последнего патча для Windows и отключения поддержки SMB 1.0, спомощью которой червь и проникал на компьютеры. На сегодняшний день это самый надежный способ обезопасить систему от вирусов-шифровальщиков.

Антивирус – не панацея

WannaCrypt опасен тем, что антивирус в большинстве случаев не сможет уберечь от него компьютер. Дело в том, что злоумышленники распространяют зловред в обход антивируса, используя критическую уязвимость в протоколе SMBv1 системы безопасности MS17-010. Однако были зафиксированы случаи, когда WannaCrypt отправлялся по почте илисоциальным сетям; в таких случаях качественный антивирус сможет спасти компьютер от заражения.

Не только для корпораций

Первая волна вируса прошлась в основном по офисам, и этому есть два объяснения. Во-первых, корпоративные компьютеры находятся в активной локальной сети и используют настройки сетевого окружения, которые наиболее уязвимы к вирусу. Во-вторых, отсутствие постоянного доступа сотрудников к рабочим файлам блокирует бизнес-процессы всей компании, и поэтому подобные проблемы требуют незамедлительного решения.

Однако это не значит, что обычные пользователи не подвергаются риску. Как раз наоборот, ведь в корпорациях уже есть отлаженные системы защиты данных, файрволы исобственные ИТ-специалисты, в то время как большинство рядовых пользователей не уделяют должного внимания сетевой безопасности и потому могут стать для преступников легкой добычей.

Опасность не миновала

Однако после появления WannaCrypt стало известно, что некий одиночка из Британии нашел в коде зловреда уязвимость и смог остановить распространение вируса, однако в скором времени появилась обновленная версия шифровальщика и – что еще хуже – множество вирусов-последователей и подражателей, которые всячески пытаются обойти новые меры безопасности. Если 12 мая количество зарегистрированных атак, по оценке антивируса Avast, приблизилось к 50 тысячам, то к 16 мая оно перевалило за 300 тысяч!

Как происходит заражение?

Если в прошлом все вирусы по неосторожности запускал сам пользователь, кликая по незнакомым ссылкам или запуская программы, то сейчас вирус действует и активирует себя самостоятельно, используя уязвимость в протоколе SMBv1 системы MS17-010.

Согласно официальному бюллетеню безопасности, эта уязвимость существует еще со времен Windows Vista и в более поздних версиях. Однако последствия атаки оказались настолько серьезными, что компания Microsoft пошла на беспрецедентный шаг – выпустила обновление даже для снятой с поддержки Windows XP. Это значит, что под угрозой атаки находятся все компьютеры с открытым протоколом SMB и без последних обновлений. Причем владельцам таких ПК достаточно просто выйти в интернет, чтобы вирус проник на ихмашины.


Комментарии
 
  22.06.2017 - 04:16 |  beralex

Весьма эффективная защита заключается в следующем:
1. Всегда имейте актуальную резервную копию всех необходимых данных.
2. Не используйте продукты Microsoft. Что-то я не слышал, чтобы от подобных атак пострадали, например, пользователи Linux Mint... Или я не прав ;-) ?

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru