Расшифровка wannacry: Эпидемия шифровальщика WannaCry: что произошло и как защититься
Эпидемия шифровальщика WannaCry: что произошло и как защититься
(Пост обновлен 17 мая)
12 мая началась эпидемия трояна-шифровальщика WannaCry — похоже, происходит это по всему миру. Эпидемией мы это называем потому, что очень уж велики масштабы. За один только день мы насчитали более 45 000 случаев атаки, но на самом деле их наверняка намного больше.
Что произошло?
О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более 300 000 компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.
Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.
Что такое WannaCry?
В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.
В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.
WannaCry: эксплойт и способ распространения
Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.
Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.
После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.
Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.
WannaCry: шифровальщик
WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.
Уберполезный пост! Что такое трояны-вымогатели и шифровальщики, откуда они, чем грозят и как с ними бороться: https://t.co/mQZfXSEuiz pic.twitter.com/RlhAs9bdSx
— Kaspersky (@Kaspersky_ru) October 20, 2016
Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.
После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.
Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.
Как регистрация домена приостановила заражение и почему это еще не все
Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.
Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.
Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.
Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.
К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.
Способы защиты от WannaCry
К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.
Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:
- Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы. Лень делать бэкапы самостоятельно — воспользуйтесь встроенным модулем в Kaspersky Total Security, он умеет автоматизировать этот процесс.
- Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.
- Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.
- Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.
У нас есть отдельный пост с советами для бизнес-пользователей.
Программа-вымогатель WannaCry: что нужно знать о ней
Уязвим ли ваш компьютер для троянца-вымогателя WannaCry? Мы подробно проанализировали эту атаку, и готовы поделиться с вами тем, что нам удалось выяснить.
В этой статье мы узнаем:
- Что такое вирус-вымогатель WannaCry
- Как работает атака с его использованием
- Последствия атаки
- Как защитить свой компьютер от вредоносных программ-вымогателей
Что такое вирус-вымогатель WannaCry
WannaCry является примером крипто-вымогателей — типа вредоносных программ, используемых киберпреступниками для получения выкупа.
Вымогатели либо зашифровывают ценные файлы, чтобы вы не могли их прочитать, либо блокируют ваш компьютер, чтобы вы не могли его использовать.
Вымогатели, которые шифруют ценные файлы на компьютере так, что пользователь не может получить к ним доступ, называются шифровальщиками. Вымогатели, которые просто блокируют нормальную работу компьютера или смартфона, называются блокировщиками.
Как и другие типы крипто-вымогателей, WannaCry берет ваши данные «в заложники», и обещает вернуть их за выкуп.
WannaCry предназначен для компьютеров с Windows. Он шифрует данные и требует уплаты выкупа в биткойнах за их расшифровку.
Что из себя представляла атака с использованием WannaCry
Атака WannaCry была обнаружена в мае 2017 года и носила глобальный характер.
Вымогатель атаковал компьютеры Windows, зашифровывал файлы пользователей и требовал выкуп в биткойнах за их расшифровку.
Если бы не продолжающееся использование устаревших компьютерных систем и слабое понимание необходимости регулярного обновления программного обеспечения, ущерба, вызванного этой атакой, можно было бы избежать.
Как работает атака WannaCry
Киберпреступники, стоящие за атакой, воспользовались уязвимостью, присутствующей в операционной системе Microsoft Windows, используя эксплойт, который предположительно был разработан Агентством национальной безопасности США.
Этот эксплойт под кодовым названием EternalBlue был опубликован в Интернете группой хакеров Shadow Brokers за месяц до начала атаки WannaCry.
При этом Microsoft выпустила патч для закрытия уязвимости почти за два месяца до начала атаки WannaCry. К сожалению, многие пользователи и организации не обновляют свои операционные системы регулярно и поэтому стали жертвами атаки.
Пользователи, которые вовремя не установили патч, оказались незащищенными и подверглись атаке с использованием эксплойта EternalBlue.
Сначала пользователи предположили, что атака вымогателя WannaCry распространялась через фишинговую рассылку (фишинговая рассылка — это электронные спам-сообщения, содержащие зараженные ссылки или вложения, с помощью которых пользователей обманом привлекают для загрузки вредоносных программ). Впоследствии выяснилось, что WannaCry распространялся через уязвимости EternalBlue и бэкдора DoublePulsar, с помощью которого устанавливался шифровальщик.
Что происходило, если жертва отказывалась платить выкуп
Сначала злоумышленники требовали выкуп в размере $300 биткойнов, а затем увеличили свои «аппетиты» до $600 биткойнов. Если в течение трех дней денег не поступало, жертва получала сообщение о том, что ее файлы будут безвозвратно удалены.
Мы советуем пользователям не поддаваться шантажу. Не платите выкуп, поскольку нет никакой гарантии, что вы получите свои данные назад. Кроме того, каждый платеж убеждает киберпреступников в эффективности их бизнес-модели и, таким образом, повышает вероятность будущих атак.
Этот совет оказался полезным в случае с WannaCry, поскольку в коде, использованном в атаке, имелись ошибки. Когда жертвы уплачивали выкуп, злоумышленники не могли связать оплату с компьютером конкретной жертвы.
Есть определенные сомнения в том, что кому-то удалось вернуть свои файлы. Большинство исследователей утверждали, что это маловероятно, однако, компания F-Secure заявила, что такие случаи были. Все это должно послужить серьезным напоминанием о том, почему не нужно платить выкуп, если вы подверглись атаке вымогателей.
Последствия атаки WannaCry
В результате атаки вымогателя WannaCry пострадали более 230 000 компьютеров по всему миру.
Одной из первых жертв стала испанская телекоммуникационная компания Telefónica. К 12 мая тысячи больниц Великобритании вынуждены были отказывать в приеме пациентам.
Нападению подверглись треть больниц Соединенного Королевства. Сообщается, что машины неотложки перенаправлялись по другим адресам, а люди, нуждавшиеся в срочной помощи, ее не получали. По некоторым оценкам, атака обошлась организациям здравоохранения в колоссальную сумму — 92 миллионов фунтов стерлингов после отмены 19 000 приемов пациентов.
Вымогатель орудовал далеко за пределами Европы – были выведены из строя компьютерные системы в 150 странах мира. Атака WannaCry имела серьезные финансовые последствия: убытки в глобальном масштабе оцениваются в 4 миллиарда долларов.
Защита от программ-вымогателей
Теперь вы знаете, как развивалась атака вымогателя WannaCry, и какие последствия она имела. Давайте рассмотрим, как вы можете защитить себя от вымогателей.
Вот несколько советов:
Регулярно обновляйте свое программное обеспечение и операционную систему
Пользователи компьютеров стали жертвами атаки WannaCry, потому что они не обновили свою операционную систему Microsoft Windows.
Если бы они регулярно обновляли свои операционные системы и вовремя установили патч, выпущенный Microsoft за два месяца до атаки, беды бы не случилось.
Этот патч закрывал уязвимость, которую EternalBlue использовал для заражения компьютеров вымогателем WannaCry.
Обязательно обновляйте программное обеспечение и операционную систему. Это важный способ защиты от программ-вымогателей.
Не проходите по подозрительным ссылкам
Если вы открываете незнакомое электронное письмо или заходите на сайт, который не вызывает доверия, не переходите по ссылкам. Нажатие на непроверенные ссылки может привести к загрузке вирусов-вымогателей.
Не открывайте вложения в электронных письмах от неизвестных отправителей
Не открывайте вложения электронной почты, если вы не уверены в их безопасности. Вы знаете отправителя и доверяете ему? Вам понятно, что это за вложение? Вы ждали получения этого прикрепленного файла?
Если во вложении вас просят включить макросы для его просмотра, ни в коем случае не делайте этого. Не включайте макросы и не открывайте вложения – это самый часто используемый способ распространения крипто-вымогателей и других типов вредоносных программ.
Не скачивайте ничего с недоверенных сайтов
Скачивание файлов с неизвестных сайтов увеличивает риск загрузки программ-вымогателей. Для скачивания файлов пользуйтесь только надежными ресурсами.
Не пользуйтесь чужими USB-устройствами
Не вставляйте чужие USB-накопители или другие съемные устройства для хранения данных в свой компьютер. Они могут быть заражены троянцами-вымогателями.
Используйте безопасное VPN-соединение при подключении через общественный Wi-Fi
Соблюдайте осторожность при использовании общедоступного Wi-Fi: в этот момент ваша компьютерная система становится более уязвимой для атак.
Используйте безопасное VPN-соединение, чтобы защитить себя от риска заражения вредоносными программами при подключении через общедоступный Wi-Fi.
Установите защитное ПО
Для обеспечения безопасности вашего компьютеры при работе в Интернете, установите защитное ПО. Выбирайте комплексное решение, которое защищает от многих сложных угроз, такое как поведенческий анализатор «Мониторинг системы» (System Watcher «Лаборатории Касперского».
Регулярно обновляйте защитное ПО
Чтобы ваше защитное решение обеспечивало максимальную защиту вашего компьютера (включая все последние исправления системы безопасности), регулярно обновляйте его.
Создавайте резервные копии ваших данных
Регулярно создавайте резервные копии данных на внешнем диске или в облачном хранилище. Если вы станете жертвой программ-вымогателей, ваши данные будут в безопасности. Не забудьте отключить внешнее запоминающее устройство от компьютера после выполнения резервного копирования. Если этого не сделать, крипто-вымогатели смогут зашифровать данные на этих устройствах.
Хотите спать спокойно, обеспечив себе надежную защиту от троянцев-вымогателей? Скачайте Kaspersky Total Security.
Другие стать по теме:
Найден способ расшифровки файлов после атаки WannaCry — «Хакер»
Специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика WannaCry. К сожалению, данный метод работает только для операционной системы Windows XP и далеко не во всех случаях, однако это уже лучше, чем ничего.
I got to finish the full decryption process, but I confirm that, in this case, the private key can recovered on an XP system #wannacry!! pic.twitter.com/QiB3Q1NYpS
— Adrien Guinet (@adriengnt) May 18, 2017
Гинье опубликовал на GitHub исходные коды инструмента, который он назвал WannaKey. Методика исследователя, по сути, базируется на эксплуатации достаточно странного и малоизвестного бага в Windows XP, о котором, похоже, не знали даже авторы нашумевшей вымогательской малвари. Дело в том, что при определенных обстоятельствах из памяти машины, работающей под управлением XP, можно извлечь ключ, необходимый для «спасения» файлов.
Исследователь объясняет, что во время работы шифровальщик задействует Windows Crypto API и генерирует пару ключей – публичный, который используется для шифрования файлов, и приватный, которым после выплаты выкупа файлы можно расшифровать. Чтобы жертвы не смогли добраться до приватного ключа и расшифровать данные раньше времени, авторы WannaCry шифруют и сам ключ, так что он становится доступен лишь после оплаты.
После того как ключ был зашифрован, его незашифрованная версия стирается с помощью стандартной функции CryptReleaseContext, что в теории должно удалять его и из памяти зараженной машины. Однако Гинье заметил, что этого не происходит, удаляется только «маркер», указывающий на ключ.
Специалист пишет, что извлечь приватный ключ из памяти возможно. Сам Гинье провел ряд тестов и успешно расшифровал файлы на нескольких зараженных компьютерах под управлением Windows XP. Однако исследователь пишет, что для удачного исхода операции необходимо соблюсти ряд условий. Так как ключ сохраняется только в энергозависимой памяти, опасаться нужно не только того, что любой процесс может случайно перезаписать данные поверх ключа, а память перераспределится, но также нельзя выключать и перезагружать компьютер после заражения.
«Если вам повезет, вы сможете получить доступ к этим областям памяти и восстановить ключ. Возможно, он все еще будет там, и вы сможете использовать его для расшифровки файлов. Но это срабатывает не во всех случаях», — пишет исследователь.
Неизвестно, как много компьютеров под управлением Windows XP было заражено WannaCry, и какой процент пользователей ни разу не перезагружал и не выключал ПК после заражения. Напомню, что суммарно от атак шифровальщика пострадали сотни тысяч машин, более чем в ста странах мира. Тем не менее, Гинье надеется, что его методика может пригодиться хотя бы некоторым пользователям.
Другие эксперты уже подтвердили, что в теории инструмент Гинье должен работать. Так, известный криптограф и профессор университета Джонса Хопкинса Мэтью Грин (Matthew Green), пишет, что способ должен работать, хотя в текущих обстоятельствах все это больше похоже на лотерею. Еще один известный специалист, сотрудник компании F-Secure, Микко Хайппонен (Mikko Hypponen) задается вопросом «зачем использовать для уничтожения ключей функцию, которая не уничтожает ключи?», однако соглашается с тем, что баг можно попытаться использовать для восстановления зашифрованных файлов.
WannaCry — что это было и как не заразиться опасным вирусом шифровальщиком — Ferra.ru
Идти на уступки преступникам считается плохой практикой в любой ситуации, ведь так вы только провоцируете их на новые попытки обобрать вас. С другой стороны, порой информация стоит гораздо дороже 300 долларов. Однако несмотря на то, что сотни людей всё же поддались соблазну перевести злоумышленникам деньги, и те собрали уже несколько десятков тысяч долларов, нет ни одного зарегистрированного случая возвращения данных. Скорее всего, у преступников просто нет технической возможности отслеживать, владелец какого заблокированного компьютера совершил платёж.
Кто пострадал?
Как обычно, жертвами стали пользователи Windows. Но, конечно, не все. Если у вас Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 или Windows Server 2016 и, что самое важное, ваша ОС настроена на автоматические обновления, то ваш компьютер вне опасности. Другие версии, включая Windows XP, Windows 8, Server 20003, уже не поддерживаются Microsoft и не получают обновлений, в том числе закрывающих критические уязвимости. Однако еще целых 7 процентов Windows-пользователей «сидят» на XP. Не все из них паранойики и скряги. Часть — корпорации, которые используют софт, не работающий адекватно на более новых системах. Впрочем, в этот раз Microsoft пошла на уступки и выпустила патч для уже неподдерживаемых ОС, который закрывает ту самую уязвимость, через которую червь проникает в ваш ПК.
В общей сложности атаки WannaCry были зарегистрированы в 73 странах. В России с вирусом-шифровальщиком столкнулись «Сбербанк», «Мегафон» и МВД, в Британии — городские больницы, работа которых была серьёзно нарушена, в Испании — телекоммуникационная компания Telefonica. Также сообщения с требованием выкупа можно было увидеть на цифровых табло на станциях электричек в Германии, а Renault даже пришлось остановить несколько фабрик во Франции.
Кто виноват?
Конечно, в первую очередь нужно винить создателеь WannaCry. Но не только их усилия привели к подобной ситуации. В основе зловреда WannaCry используется эксплойт (код, использующий уязвимость; позже многие эксплойты становятся основой вирусов) под кодовым названием EternalBlue. Информация об этом эксплойте была в утечках из Агенства Национальной Безопасности США — спецслужба, вероятно, планировала использовать уязвимость в своих целях. А EternalBlue, в свою очередь, эксплуатировал уязвимость в SMB-протоколе (он отвечает за «Сетевое окружение») для того, чтобы распространяться среди компьютеров, которые еще не были вовремя обновлены необходимой «заплаткой» от Microsoft.
Мы все не раз слышали о страстном желании различных правительств получать доступ ко всей информации любыми способами, как с помощью требований к IT-компаниям сотрудничать и предоставлять возможность «взламывать» их устройства, так и без их участия. И тут, как с военными складами — если их ограбят террористы и унесут оружие в неизвестном направлении, никто не сможет чувствовать себя в безопасности.
Кто всех спас?
Не обошлось и без героя, усилиями которого удалось если не предотвратить, то заметно притормозить дальнейшее распространение WannaCry. Им стал 22-летний британский программист Маркус Хатчис, известный в твиттере под псевдонимом MalwareTech. Он выяснил, что вирус сначала обращается к несуществующему домену в интернете и только потом начинает процесс зашифровки данных и блокировки компьютера. В противном случае, если связь с сайтом установлена, вирус деактивируется.
кто виноват и что делать — «Хакер»
Содержание статьи
В последние недели атаки вымогателя WannaCry – одна из наиболее популярных тем в СМИ по всему миру. Компании подсчитывают убытки, обычные пользователи паникуют, ИБ-специалисты пытаются разработать дешифровщик и занимаются анализом вируса, а представители индустрии и спецслужб обвиняют в происшедшем друг друга. Чем же WannaCry так отличался от других угроз, почему спровоцировал такую волну обсуждений и, главное, как защититься от подобных атак и быть к ним готовым?
Шифровальщики – это не новость
Начнем с того, что ни WannaCry в частности, ни вымогательское ПО в целом – это вовсе не новое явление. Программы блокирующие или затрудняющие работу с операционной системой появились более десяти лет назад, и за прошедшие годы они не претерпели никаких революционных изменений. Шифровальщики и локеры всех мастей всегда стремились к одному — сделать нормальную работу с ОС невозможной (шифруя файлы пользователя, блокируя экран смартфона, не позволяя загрузить операционную систему и так далее), а за разблокировку зараженного компьютера или мобильного устройства всегда требовали выкуп.
WannaCry версия 2.0
WannaCry, также известный под названиями Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt, был обнаружен отнюдь не в середине мая 2017 года, когда начались атаки, взбудоражившие весь мир. Впервые вирус был замечен специалистами еще в феврале 2017 года, но не произвел на них большого впечатления, по сути, являясь совершенно заурядным вымогателем, каких в настоящее время насчитываются десятки, если не сотни.
Хакерские инструменты АНБ
Почему началась эпидемия, если WannaCry – это рядовой вымогатель? Дело в том, что в середине мая 2017 года разработчики WannaCry выпустили вторую версию вредоноса, после чего тот стал распространяться со скоростью лесного пожара и посеял в сети настоящую панику.
Такой эффективности авторам WannaCry удалось добиться благодаря тому, что они в буквальном смысле взяли на вооружение эксплоиты из арсенала спецслужб.
Еще летом 2016 года группа хакеров, называющих себя The Shadow Brokers, сумела похитить хакерский инструментарий у специалистов АНБ. Долгое время хакеры тщетно пытались продать попавшее в их руки «кибероружие», но им не удалось провести аукцион или найти прямого покупателя, после чего, в апреле 2017 года, группировка опубликовала украденные данные совершенно бесплатно, в открытом доступе.
Именно готовыми инструментами из арсенала АНБ (а точнее эксплоитами ETERNALBLUE и DOUBLEPULSAR) и воспользовались создатели WannaCry, превратив заурядного с технической точки зрения шифровальщика в SMB-червя, от которого на данный момент пострадали уже более 400 000 устройств и сотни организаций по всему миру.
Количество зараженных устройств уже превышает 400 000
Уязвимость в протоколе SMB
Инструменты ETERNALBLUE и DOUBLEPULSAR никак не улучшали функциональность самого шифровальщика, но они позволили WannaCry распространяться через уязвимость в протоколе SMB (Server Message Block).
О том, что в SMB были обнаружены большие проблемы, ][ предупреждал еще в январе и феврале 2017 года. Более того, в марте 2017 года, задолго до того, как WannaCry начал эксплуатировать уязвимости в SMB, компания Microsoft выпустила исправление, представив бюллетень безопасности MS17-010, который полностью устранял проблему. Отметим, что ][ сообщал о выходе этих важных патчей еще в марте, а в апреле текущего года еще раз заострил внимание на том, что Microsoft закрыла большинство брешей, которые эксплуатировало АНБ.
Наряду с другими изданиями и специалистами мы неоднократно предупреждали о том, что вскоре «киберарсенал» АНБ могут начать использовать хакеры. Однако зачастую компании и пользователи не спешат устанавливать обновления, применяют давно устаревшее ПО и мало тревожатся о собственной безопасности.
Халатное отношение к безопасности
Паника, которую породили атаки WannaCry – это прямое следствие повсеместного халатного отношения к безопасности. Пользователи искреннее полагают, что не открывая подозрительные письма и не переходя по подозрительным ссылкам, они не могут заразиться вирусом. WannaCry напомнил всему миру, что это не так.
Благодаря тому, что шифровальщик использует ETERNALBLUE и DOUBLEPULSAR, достаточно просто включить уязвимый компьютер, подключенный к интернету. Жертве не придется посещать вредоносные сайты, открывать подозрительные почтовые вложения и вообще что-либо делать. Заражение произойдет автоматически, через эксплуатацию уязвимости в SMB.
К сожалению, ошибочное мнение, которое можно описать словами «зачем я нужен каким-то хакерам, зачем им вообще меня ломать?», очень популярно даже в наши дни. Чтобы понять все глубину этого заблуждения, достаточно осознать, что практически любая информация – это деньги. И речь идет не только о секретах крупных компаний и предприятий, или средней стоимости ворованной банковской карты на черном рынке.
Хакеров интересуют все
Как показала практика, пользователи готовы откупаться от злоумышленников, которые зашифровали все файлы на их жестком диске, и платить за «спасение» своих фотографий, рабочих документов, коллекций любимой музыки и других «никому не нужных» вещей.
Также никто не отменял и того факта, что практически любое зараженное устройство, будь то компьютер, роутер, мобильный гаджет или нечто иное, может стать частью крупного ботнета, после чего будет «работать» на преступников. Монетизировать таких ботов можно множеством способов: без ведома владельца устройство может участвовать в DDoS-атаках; пропускать через себя чужой трафик, выступая в роли прокси-сервера; «копать» криптовалюту; скликивать или «просматривать» рекламу и так далее. Таким образом, хакерам нужны и интересны абсолютно все, без исключений, и логика «у меня нечего брать, я никого не интересую» здесь не работает.
Бизнес, в свою очередь, находится в еще более невыгодном положении. Специалисты IT-подразделений вынуждены иметь дело не только с сотрудниками собственных компаний, которые зачастую не имеют даже базовых представлений о «гигиене безопасности», но также должны следить за появлением новых угроз, отражать атаки, поддерживать стабильную работу систем и актуальность ПО.
Современные киберпреступники не только воруют корпоративные секреты, они устраивают DDoS-атаки на предприятия и шантажом заставляют компании заплатить за их прекращение (ведь в противном случае пострадавшие сервисы могут оставаться недоступными на протяжении многих часов или даже дней). Из-за халатности сотрудников в сети компаний то и дело проникают трояны, шифровальщики и другие «бытовые» угрозы, что может привести к самым печальным последствиям.
К примеру, в конце 2016 года из-за атаки обыкновенного шифровальщика HDDCryptor на несколько дней была практически парализована работа San Francisco Municipal Railway (буквально: муниципальная железная дорога Сан-Франциско, сокращено Muni) — организации-оператора общественного транспорта города и округа Сан-Франциско. Тогда 2 112 систем организации из 8 656 оказались заражены HDDCryptor. Пострадали платежные системы, системы, отвечающие за расписание движения, а также почтовая система Muni.
Отказ систем Muni. Фото Colin Heilbut
Система, которая включает в себя пять видов общественного транспорта (автобус, троллейбус, скоростной трамвай, исторический электрический трамвай и исторический кабельный трамвай), была вынуждена работать бесплатно, ведь иначе движение общественного транспорта в Сан-Франциско пришлось бы останавливать, и город ждал бы неминуемый транспортный коллапс.
Кто виноват?
С одной стороны, косвенно «поблагодарить» за «вымогательский апокалипсис», развернувшийся по всему миру, можно хакерскую группировку The Shadow Brokers. Ведь именно The Shadow Brokers сделала достоянием общественности опасные киберинструменты АНБ.
Однако с тем же успехом обвинить в случившемся можно и сами спецслужбы, которые создали эксплоиты ETERNALBLUE и DOUBLEPULSAR, и долгое время умалчивали о критической уязвимости в SMB. Именно так уже поступил главный юрисконсульт компании Microsoft Брэд Смит (Brad Smith).
Также можно возложить ответственность на компанию Microsoft, которая исправила уязвимости еще в марте 2017 года, подготовила патчи для устаревших, неподдерживаемых ОС в феврале 2017 года, но предпочла не привлекать к проблеме внимания, а также «придерживала» патчи для Windows XP, Windows 8 и Windows Server 2003 до тех пор, пока катастрофа не разразилась в полной мере.
И конечно не стоит забывать о самих создателях WannaCry. До сих пор доподлинно неизвестно, на ком именно лежит ответственность за происшедшее. Как утверждают специалисты компании Symantec и «Лаборатории Касперского», с большой долей вероятности шифровальщика разработали северокорейские хакеры из небезызвестной группировки Lazarus, за которой эксперты наблюдают уже много лет. Специалисты компании Flashpoint, в свою очередь, провели лингвистический анализ WannaCry и обнаружили «китайский след».
Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR
— Costin Raiu (@craiu) May 15, 2017
Тем не менее, как уже было сказано выше, настоящий корень проблемы – это халатность и повсеместное невнимание к вопросам информационной безопасности. Патч, защищающий от WannaCry стал доступен еще в марте 2017 года, за два месяца до начала атак. А первые предупреждения об уязвимостях в протоколе SMB появились еще раньше. По сути, все пострадавшие от атак WannaCry поплатились за свою беспечность, так как за два месяца они не сумели найти времени на установку критических обновлений, о выходе которых было широко известно.
Как защититься и быть готовым
Если говорить о защите от WannaCry, всем, кто по какой-то причине еще не установил обновление MS17-010, настоятельно рекомендуется сделать это немедленно. Также, учитывая серьезность ситуации, компания Microsoft выпустила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003, поэтому пользователям этих систем так же следует озаботиться обновлением.
У тех, кто уже пострадал от деятельности вымогателя, есть шанс восстановить свои файлы, не выплачивая выкуп злоумышленникам. Хотя полноценного дешифровщика для WannaCry все еще нет, эксперты создали несколько инструментов, которые работают с Windows XP и x86-версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. При соблюдении рядя условий, эти утилиты помогут расшифровать пострадавшую информацию.
Однако нужно понимать, что проблема уже не ограничивается одним только WannaCry. Шифровальщик практически сразу породил множество подражателей, а уязвимость в SMB и инструменты спецслужб уже активно примеряют другие хакеры. Сейчас специалисты сходятся во мнении, что в будущем подобных атак будет становиться только больше, и если WannaCry был достаточно примитивной угрозой, то в дальнейшем атаки станут более комплексными и изощренными.
Эксплоиты АНБ начали использовать задолго до WannaCry и продолжат после. Иллюстрация Secdo
Все вышеописанное подводит нас к очень простому выводу: зачастую, чтобы защитить себя, достаточно соблюдать самые базовые и общеизвестные правила безопасности. В частности, нужно вовремя устанавливать патчи, пользоваться актуальными версиями ПО, не пренебрегать антивирусами и другими защитными решениями. Организациям, в свою очередь, следует чаще проводить для своих сотрудников тренинги и другие мероприятия, посвященные информационной безопасности, со всей серьезностью подходить к соблюдению ИБ-политики, а также не забывать следить за развитием угроз, появлением новых уязвимостей, методик и техник атак.
Хотя эти советы могут показаться слишком уж очевидными, не будем забывать о более чем 400 000 пострадавших от атак WannaCry, которые пренебрегали даже этими банальными правилами.
Как защититься от вируса-шифровальщика WannaCry в 2017 — СКБ Контур
WannaCry: как распространяется и чем опасен?
Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.
Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать.
Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.
Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.
Что делать, если вы стали жертвой WannaCry?
Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:
- Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
- Поменяйте драйвера.
- Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
- Обновите операционную систему и все остальное ПО.
- Обновите и запустите антивирусник.
- Повторно подключитесь к сети.
- Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.
Важно!
Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.
Стоит ли платить деньги злоумышленникам?
Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус. Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.
Защита информации от уничтожения
Но NCA настойчиво призывает не платить деньги. Если же вы все-таки решитесь это сделать, то имейте в виду следующее:
- Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
- Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
- В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.
Как защититься от WannaCry?
Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:
Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось, либо скачал вредоносное вложение. В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года. Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.
У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается. К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами. Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.
Что именно можно и необходимо предпринять на данный момент:
1. Установить последние обновления.
Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать здесь.
2. Сделать резервные копии важной информации.
Рекомендуется хранить копии важных файлов в надежном месте на съемных носителях информации либо использовать специализированные средства резервного копирования.
3. Быть внимательными при работе с почтой и сетью интернет.
Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.
Предотвратим потерю информации
Анатомия WannaCry: анализ опасного шифровальщика
«Доктор Веб» обнародовал предварительные результаты анализа вредоносной программы WannaCry, поразившей компьютеры под управлением Windows по всему миру.
Напомним, что в пятницу, 12 мая, была зафиксирована масштабная атака вымогателя. Зловред кодирует файлы распространённых форматов и требует выкуп в размере до 600 долларов США в биткоинах. Причём WannaCry использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.
Как сообщает «Доктор Веб», WannaCry — это сетевой червь, способный заражать Windows-компьютеры без участия пользователя. Зловред атакует все системы в локальной сети, а также удалённые интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445.
Вредоносная программа состоит из нескольких компонентов. После запуска троян регистрирует себя в качестве системной службы с именем mssecsvc2.0. Далее червь начинает опрашивать узлы, доступные в локальной сети заражённого ПК, а также компьютеры в Интернете. В случае успешного соединения зловред предпринимает попытку заразить эти компьютеры с использованием уязвимости в протоколе SMB.
В состав WannaCry входит дроппер — компонент, предназначенный для установки в операционную систему вредоносного исполняемого файла. В случае WannaCry дроппер содержит большой защищённый паролем ZIP-архив, в котором хранится зашифрованный файл с трояном-энкодером, обои рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приёма биткойнов, а также архив с программами для работы в сети Tor. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.
Собственно энкодер WannaCry шифрует файлы со случайным ключом. Троян содержит в себе авторский декодер, который удаляет на заражённом компьютере теневые копии и отключает функцию восстановления системы. Декодер позволяет расшифровать несколько тестовых файлов — приватный ключ, необходимый для их расшифровки, хранится в одном из компонентов вредоносной программы. «Однако расшифровка тестовых и всех остальных файлов выполняется с использованием разных ключей. Следовательно, никаких гарантий успешного восстановления повреждённых шифровальщиком данных даже в случае оплаты выкупа не существует», — говорит «Доктор Веб».
Более подробно с результатами исследования можно ознакомиться здесь.
Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Выпущен
360 Ransomware Decryption Tool! Держитесь подальше от Пети и WannaCry!
Узнать больше о 360 Total Security
Программа-вымогатель
Petya вместе со своим вариантом GoldenEye поразила правительства, компании и частных лиц по всему миру. Эта эпидемия вымогателей настолько катастрофична, что даже те, кто исправил свои системы Windows, все еще могут подвергнуться атаке, что приведет к огромным финансовым потерям.
Для борьбы с киберпреступниками компания 360 создала инструмент дешифрования программ-вымогателей для спасения компьютеров, захваченных программами-вымогателями.Этот инструмент может вернуть файлы от более чем 80 программ-вымогателей. Petya, GoldenEye и их пресловутый прецедент WannaCry находятся в списке поддержки дешифрования.
Чтобы разблокировать компьютер, зараженный Petya, выполните следующие действия.
【Инструкция по расшифровке варианта GoldenEye Пети 】
1. Загрузите 360 Ransomware Decryption Tool
2. Откройте 360 Ransomware Decryption Tool и щелкните желтый баннер вверху, чтобы начать процесс дешифрования.
3. Введите свой персональный код дешифрования в записку о выкупе (см. Красное поле, выделенное на снимке экрана ниже). 360 Ransomware Decryption Tool начнет вычислять ключ дешифрования.
4. Получите ключ дешифрования.
5. Введите ключ дешифрования в записке о выкупе, чтобы разблокировать компьютер.
6. Важное примечание : Если вы ввели ключ неправильно, вы увидите сообщение ниже. В этой ситуации не продолжает вводить ключ.Перезагрузите компьютер и снова введите ключ.
7. Теперь ваша операционная система разблокирована.
【Инструкции по расшифровке для версии Red Skeleton】
Выполните те же шаги, упомянутые ранее. (Код расшифровки длиннее, чем в записке с требованием выкупа GoldenEye.)
После ввода ключа дешифрования вы увидите сообщение ниже. Это означает, что ваша система разблокирована.
Если вы используете Windows 7 или более позднюю версию, Petya шифрует не только вашу систему, но и файлы на зараженном компьютере.К захваченным файлам добавляется 8-символьное расширение. Программа-вымогатель также создает файл «YOUR_FILES_ARE_ENCRYPTED.TXT» в папке рабочего стола.
Чтобы сохранить файлы, используйте 360 Ransomware Decryption Tool, чтобы просканировать папку, в которой ваши файлы зашифрованы.
Подождите, пока 360 Ransomware Decryption Tool не вернет ваши файлы. (Не выключайте инструмент до завершения процесса, иначе файлы могут быть повреждены).
Ransomware — это не разовая атака.Ознакомьтесь с нашим арсеналом программ-вымогателей, включая 360 Document Protector и NSA Cyber Weapons Defense Tool, готовые защитить вас от программ-вымогателей. Ваша безопасность — самая большая забота компании 360 за все время.
Подробнее об арсенале 360 Anti-Ransomware:
— 360 NSA Cyber Weapons Defense Tool — Защитите себя от программ-вымогателей WannaCry и последующих атак
— Устройство защиты документов 360 — Терминатор программ-вымогателей
Узнать больше о 360 Total Security
.
Самая крупная атака программ-вымогателей — Советы по защите от программ-вымогателей WannaCry
Узнать больше о 360 Total Security
【 ОБНОВЛЕНИЕ: WannaCry Ransomware Recovery Tool теперь доступен. Загрузить сейчас и Поделитесь с нуждающимися! 】
Массовая атака программ-вымогателей распространилась по всему миру и поразила более 150 стран, включая Россию, Индию и Великобританию. Эта программа-вымогатель, WannaCry, использует уязвимость Windows для заражения ПК, пока жертвы подключены к Интернету.После заражения все файлы будут заблокированы, и жертвы должны будут заплатить выкуп в установленный срок, чтобы восстановить контроль над ПК.
Эта вспышка началась в начале мая, и пострадали более тысячи больниц, университетов и организаций. Официальные лица говорят, что эта атака еще не закончена, и ситуация может быть еще хуже.
Ниже приведены советы по защите от вредоносного ПО WannaCry (и других программ-вымогателей):
1. Немедленно обновите вашу систему
Если ваш компьютер работает под управлением Windows, убедитесь, что ваша система обновлена до последней версии.Обновления безопасности выпущены для исправления уязвимости, использованной вымогателем WannaCry. Microsoft даже предпринимает «весьма необычные» шаги для исправления ошибок более старых версий, таких как Windows XP, Windows 8 и Windows Server 2003.
Неустановленные ПК подвержены риску. Чтобы установить это исправление безопасности, вы можете использовать Центр обновления Windows для установки последних обновлений. Если вы являетесь пользователем 360 Total Security, вы можете найти Patch Up в Tool Box . Одним щелчком мыши эта функция проверит и установит важные обновления системы, которые доступны.
(прямая загрузка обновлений безопасности для Windows XP, 8, 2003: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64)
2. Сначала сделайте резервную копию важных данных
«WannaCry» и другие программы-вымогатели захватывают все ваши данные, пока за их разблокировку не заплатят выкуп. Регулярное резервное копирование данных может сэкономить вам большую сумму денег, если ваш компьютер, к сожалению, заражен.
Чтобы сохранить самые важные данные, вы можете использовать внешний жесткий диск, не подключенный к Интернету, чтобы онлайн-угрозы не могли повлиять на ваши файлы. Еще один хороший вариант — облачное хранилище, такое как Apple iCloud, Google Drive или Dropbox.
Вы также можете использовать 360 Document Protector , приложение, специально разработанное для защиты ваших данных от атак программ-вымогателей. Этот инструмент сочетает в себе мониторинг вредоносных программ в реальном времени, автоматическое резервное копирование и встроенные инструменты дешифрования для обеспечения безопасности вашего ПК.
* См. Также : Зачем вам нужен 360 Document Protector и как его использовать
3. Используйте антивирусную программу для предотвращения потенциальных атак
Антивирусная программа может эффективно предотвратить киберугрозы от нанесения вреда вашему компьютеру. Вирусу негде спрятаться, и вредоносная программа будет вовремя заблокирована, если вы случайно загрузите ее с подозрительного сайта.
360 Total Security предлагает блокировку программ-вымогателей, блокирует известные программы-вымогатели, а также помещает в карантин подозрительные программы, которые ведут себя аналогично тому, что обычно делают программы-вымогатели.Например, если программа продолжает изменять ваши файлы в течение короткого периода времени, 360 Total Security заблокирует это и отправит вам своевременное предупреждение.
На данный момент программа-вымогатель WannaCry не может расшифровать код. Если вам не повезло, то в худшем случае вам, возможно, придется заплатить злоумышленникам, чтобы они сохранили ваши данные. Мы не предлагаем этот сомнительный подход; вместо этого вы можете немедленно отключить интернет-соединение и обратиться к специалистам по безопасности или дождаться инструмента дешифрования.Чтобы этого не произошло, установите исправления безопасности и сделайте резервные копии всех важных файлов СЕЙЧАС, чтобы защитить себя.
Артикул:
1. Как получить обновление через Центр обновления Windows
2. Руководство для клиентов Microsoft по атакам WannaCrypt
3. Что такое программы-вымогатели?
Узнать больше о 360 Total Security
.