2017/05/22 13:00:22

WannaCry (вирус-вымогатель)

WannaCry (также WannaCrypt или Wana) — вирус-вымогатель, получивший широкое распространение в 2017 году. Он является модифицированной версией вредоносной программы Агентства национальной безопасности США Eternal Blue.

Содержание

Как работает

WannaCry распространяется через протоколы обмена файлами, установленных на компьютерах компаний и государственных учреждений. Программа-шифровальщик повреждает компьютеры на базе Windows.

После проникновения в папку с документами и другими файлами вирус шифрует их, меняя расширения на .WNCRY. Затем вредоносная программа требует купить специальный ключ, стоимость которого составляет от 300 до 600 долларов, угрожая в противном случае удалить файлы.

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая[1].

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.


По данным «Лаборатории Касперского», к маю 2017 года жертвами WannaCry стали не менее 45 тысяч пользователей из 74 стран. 70% всех зараженных компьютеров, как утверждают в компании, расположены в России.

Кроме того, вирусом оказались затронуты компьютеры в Великобритании, Испании, Италии, Германии, Португалии, Турции, Украине, Казахстане, Индонезии, Вьетнаме, Японии и Филиппинах.

14 мая 2017 года компания Avast обнаружила 126 тыс. зараженных компьютеров в 104 странах, также выделив Россию среди наиболее пострадавших стран — на нее приходилось 57% заражений.

По состоянию на 14 мая WannaCry собрал более 33 тысяч долларов. Несмотря на то, что многие пользователи заплатили выкуп, не было ни одного сообщения о том, что их файлы были разблокированы. Исследователи обнаружили, что поступление денег на счет вымогателей позволяет отслеживать, какая именно жертва их перевела. У многих вымогателей есть «служба поддержки», которая быстро отвечает жертвам в случае проблем с оплатой. Но не в случае с WannaCry. Более того, эксперты сомневаются, что зашифрованные файлы вообще поддаются дешифровке со стороны вымогателей.

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность. Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения. Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего. К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.
В сети вспыхнула эпидемия вируса-вымогателя

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Он шифрует файлы различных типов (полный список можно посмотреть тут[2]), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Вирус работает только на Windows — он использует уязвимость в операционной системе и распространяется вслепую: то есть не выбирает жертв, а заражает тех, кто не защищен. Microsoft закрыл эту уязвимость еще в марте 2017 года: компания выпустила обновление, которое автоматически установилось на компьютеры обычных пользователей. Всем, у кого система обновилась, вирус не угрожает. В некоторых организациях обновления устанавливаются не автоматически, а с одобрения людей, отвечающих за безопасность. Видимо, с проблемами столкнулись те ведомства и компании, в которых обновление не установили.

Microsoft выпустила обновления для операционных систем, которые уже не поддерживаются, чтобы остановить распространение вируса-вымогателя WannaCrypt. Обновление вышло, в том числе для Windows XP, операционной системы 2001 года, хотя она уже три года не поддерживается.

Дягилев Василий, глава представительства компании Check Point Software Technologies в России и СНГ: «Виновником атак, которые начались в конце прошлой недели по всему миру, является версия 2.0 WCry ransomware, также известная как WannaCry или WanaCrypt0r ransomware. Версия 1.0 была обнаружена 10 февраля 2017 года и в ограниченных масштабах использовалась в марте. Версия 2.0 была впервые обнаружена 11 мая, атака возникла внезапно и быстро распространилась в Великобритании, Испании, Германии, Турции, России, Индонезии, Вьетнаме, Японии. Масштаб атаки подтверждает, насколько опасным может быть вымогательское ПО. Организации должны быть готовы к отражению атаки, иметь возможность сканировать, блокировать и отсеивать подозрительные файлы и контент до того, как он попадет в их сеть. Также очень важно проинструктировать персонал о возможной опасности писем от неизвестных источников».

Кто виноват

Президент России Владимир Путин назвал спецслужбы США источником вируса-вымогателя WannaCry, который парализовал компьютеры ведомств в 150 странах.

"Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило. Сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов, Россия здесь совершенно ни при чем. Мне странно слышать в этих условиях что-то другое", — сказал президент на пресс-конференции по итогам своего визита в Китай.

Глава государства сообщил, что российские учреждения серьезно не пострадали от глобальной кибератаки. "Для нас существенного никакого ущерба не было, для наших учреждений — ни для банковских, ни для системы здравоохранения, ни для других. Но в целом это тревожно, здесь нет ничего хорошего, это вызывает озабоченность", — констатировал Владимир Путин.


Президент корпорации Microsoft Брэд Смит в своем блоге заявил, что ответственность за крупную кибератаку частично несут ответственность спецслужбы разных стран. Он утверждает, что сбор и хранение спецслужбами информации об уязвимостях в программном обеспечении является большой проблемой, поскольку эти данные в итоге попадают в плохие руки.

 «Атака представляет собой пример того, что проблема накопления правительствами информации об уязвимостях является таковой, — написал он. — Мы видели, как данные уязвимостях, которые собирало ЦРУ (Центральное разведывательное управление США), в итоге обнаружились на Wikileaks, а новая уязвимость, которая была украдена у АНБ (Агентство национальной безопасности США), затронула пользователей по всему миру».

Брэд Смит призвал «правительства всего мира» отказаться от накопления таких данных, а также от их эксплуатирования или продажи. Вместо этого спецслужбы должны передавать информацию об уязвимостях разработчикам, считает он.

Карта распространения вымогателя WannaCry

Данные на 18.05.2017


Первая атака на медоборудование

WannaCry стал первым вирусом-шифровальщиком, который атаковал не только персональные компьютеры лечебных учреждений, но и непосредственно медицинскую аппаратуру.

17 мая издание Forbes опубликовало снимок экрана устройства Bayer Medrad, зараженного WannaCry, печально известным вирусом-вымогателем, жертвами которого стали более 200 тысяч Windows-компьютеров в 150 странах мира.

Снимок экрана зараженного вирусом WannaCry устройства Bayer Medrad, которе используется при проведении МРТ-обследования

Оборудование Bayer Medrad используется рентгенологами для введения в тело пациента контрастного вещества при проведении магнитно-резонансной томографии, пояснили в издании. В каком именно лечебном учреждении был сделан снимок, не сообщается. Сказано лишь, что фото предоставил источник в системе здравоохранения США, то есть речь о какой-то из американских больниц.

Представитель Bayer подтвердил, что компанию проинформировали о двух случаях заражения оборудования, однако какие именно модели пострадали, не уточняется.

« В обоих случаях работа устройств была восстановлена в течение 24 часов. При взломе компьютерной сети медицинского учреждения заражению может подвергнуться и оборудование Bayer под управлением ОС Windows, подключенное к сети, — заявил пресс-секретарь. »

Обычно от вредоносного ПО страдают Windows-компьютеры, которыми пользуются в медучреждениях. В частности, WannaCry поразил ПК почти в пяти десятках больниц Великобритании. Инцидент с Bayer Medrad — первый случай, когда жертвой шифровальщика стало само медицинское устройство, подчеркнули в Forbes.

WannaCry смог проникнуть в медоборудование, так как в качестве операционной системы в нем использовалась версия ОС Windows Embedded, поддерживающая уязвимый протокол SMBv1, который и стал начальной точкой заражения.

В тот же день ряд крупнейших производителей медицинских устройств, такие как Smiths Medical, Medtronic и Johnson & Johnson, распространили предупреждения об угрозе заражения, но информации об инцидентах с их оборудованием не поступало.[3]

Распространение в России

Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего WannaCry обнаружили в 74 странах. В их числе — Национальная служба здравоохранения Великобритании, испанский телекоммунационный гигант Telefonica и логистический оператор FedEx. И это за один только первый день атаки.

Глава Минсвязи: WannaCry не поражал российское ПО

Вирус WannaCry не поражал российское программное обеспечение, а находил слабые места в зарубежном ПО, заявил министр связи и массовых коммуникаций РФ Николай Никифоров в программе "Мнение" "Вести.Экономика" в мае 2017 года.

Он признал, что в некоторых госпредприятиях были проблемы из-за этого вируса. Поэтому информационные технологии, работающие в России, должны быть "наши технологии, российские", подчеркнул Никифоров.

"Более того, у нас есть научно-технический потенциал. Мы одна из немногих стран, которая при некоторых усилиях, организационных, финансовых, технических, способна создать весь стек технологий, позволяющих чувствовать себя уверенно", - заявил министр.
"Вирус не поражал отечественное ПО, вирус поражал зарубежное ПО, которое мы массово используем", - подчеркнул он.

WannaCry не нанес серьезного ущерба России — Совбез РФ

В Совбезе РФ оценили ущерб, который вирус WannaCry нанес объектам инфраструктуры России. Как заявил заместитель секретаря Совбеза РФ Олег Храмов, вирус WannaCry не нанес серьезного ущерба объектам критической информационной инфраструктуры России.

К данным объектам относятся информационные системы в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике и других.

Храмов напомнил, что для надежной защиты собственной критической информационной инфраструктуры в соответствии с указом президента Российской Федерации последовательно создается государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

«Благодаря упомянутой государственной системе удалось избежать серьезного ущерба. Критическая информационная инфраструктура оказалась готовой противостоять масштабному распространению этого вируса», — заявил Олег Храмов[4].

При этом заместитель секретаря СБ РФ подчеркнул, что подобные угрозы информационной безопасности становятся все более изощренными и масштабными.

Атака на МВД

12 мая 2017 года стало известно об атаке вируса WannaCry на компьютеры Министерства внутренних дел (МВД) России. Зараженными оказались 1% систем ведомства.

Как сообщило РИА Новости со ссылкой на официального представителя МВД РФ Ирину Волк, Департамент информационных технологий, связи и защиты информации (ДИТСиЗИ) МВД России зафиксировал вирусную атаку на персональные компьютеры ведомства, на которых установлена операционная система Windows.

Министерство внутренних дел России сообщило, что 12 мая его серверы подверглись хакерской атаке
« Благодаря своевременно принятым мерам было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1%. В настоящий момент вирус локализован, проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты, — сообщила Волк 12 мая 2017 года. »

Она также отметила, что WannaCry не смог заразить серверные ресурсы МВД, поскольку они используются другие операционные системы и серверы на российских процессорах «Эльбрус». [5]

Ряд персональных компьютеров сотрудников ведомства подвергся заражению WannaCry вследствие нарушения сотрудниками правил пользования информационными системами. Причиной инфицирования стали попытки работников МВД подключить служебные компьютеры к интернету «посредством того или иного механизма». Зараженными оказались исключительно персональные компьютеры сотрудников, внутренняя сеть министерства внутренних дел защищена от внешнего воздействия.

Атака на «большую тройку»

12 мая 2017 года «МегаФон» сообщил о хакерской атаке на свои компьютеры с использованием вируса. Оператор утверждает, что ему удалось избежать серьезных последствий благодаря вовремя предпринятым мерам.

« На некоторый срок заблокировалась работа операторов call-центров, они не могли включить свои компьютеры, в точках розничных продаж были проблемы. Поэтому мы были вынуждены внутри нашей сети частично отключать целые сети для того, чтобы вирус не распространялся, — рассказал РИА Новости директор по связям с общественностью компании Петр Лидов. »

«МегаФон» отбил атаку благодаря использованию технологий виртуализации (когда файловые ресурсы пользователей размещаются в защищенном «облаке») и реализации технологических мер, ограничивающих распространение вируса. Представитель МТС сообщил ТАСС, что атаки на компьютеры сотрудников оператора были зафиксированы ночью. "Мы их отразили", — добавил он.

«ВымпелКом» также заявил о том, что успешно отразил атаку. В пресс-службе «Ростелекома» сообщили, что в компании фиксировали факт атаки.

Атака на Сбербанк

Сбербанк сообщил, что зафиксировал попытки хакерской атаки на свою инфраструктуру, однако все они были отражены. «Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновений вирусов в систему не произошло», — сказано в сообщении Сбербанка, поступившем в РБК. В нем также подчеркивается, что в связи с сообщениями о вирусных атаках службы банка, отвечающие за кибербезопасность, переведены в режим повышенной готовности.

На смену WannaCry: вирусы Adylkuzz и Uiwix

Специалисты компании Proofpoint обнаружили вирус Adylkuzz, который использует ту же уязвимость в Windows, что и WannaCry. Вирус крадет криптовалюту и уже поразил более 200 тыс. компьютеров. При этом хакеры, создавшие Adylkuzz, заработали уже около 43 000 долларов[6].

Исследователи отмечают, что Adylkuzz начал атаки раньше WannaCry — как минимум 2 мая, а возможно и 24 апреля. Вирус не привлек к себе так много внимания, потому что заметить его гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как вирус оттягивает на себя ресурсы системы.

При этом  Adylkuzz защитил пострадавших от него пользователей от атак WannaCry, так как закрыл собой брешь в Windows и не позволил другому вирусу ей воспользоваться.

Кроме того, после WannaCry появился еще один шифровальщик — Uiwix, который также использует нашумевшую уязвимость в Windows. Об этом заявили специалисты компании Heimdal Security.

Uiwix, в отличи от многочисленных подражателей WannaCry, действительно шифрует файлы жертв и представляет реальную угрозу. К тому же Uiwix не имеет механизма «аварийного отключения», поэтому невозможно остановить его распространение, зарегистрировав определенный домен.

Данный вирус шифрует данные жертв и требует выкуп в размере 0.11943 биткоина (порядка 215 долларов по текущему курсу).

Инструмент для удаления WannaCry

Windows XP является одной из уязвимых операционных систем, пораженных вымогательским ПО WannaCry. Несмотря на выход исправляющих уязвимость обновлений, огромное количество компьютеров стали жертвами вредоноса. К счастью, французский исследователь безопасности Адриан Гине (Adrien Guinet) разработал инструмент, позволяющий удалить WannaCry с системы без уплаты выкупа.

Стоит отметить, инструмент работает только в случае, если после заражения системы компьютер не был перезагружен. Если система была перезапущена, и WannaCry зашифровал файлы, программа Гине будет бесполезна.

Разработанный исследователем инструмент ищет ключ для дешифровки в памяти самого компьютера и способен восстановить простые числа закрытого RSA-ключа, используемого WannaCry при шифровании файлов жертвы. Как пояснил Гине, его инструмент ищет числа в процессе wcry.exe, генерирующем закрытый RSA-ключ.

После зашифровки закрытого ключа его незашифрованная версия удаляется из памяти инфицированного компьютера с помощью функции CryptReleaseContext. Тем не менее, как пояснил исследователь, CryptDestroyKey и CryptReleaseContext стирают только указывающий на ключ маркер, но не числа, благодаря чему закрытый ключ можно извлечь из памяти.

Программа работает только на Windows XP и не тестировалась на других версиях ОС. Скачать инструмент можно с репозитория GitHub.

Как обезопасить свой компьютер от заражения?

  • Установите все обновления Microsoft Windows.
  • Убедитесь, что все узлы сети защищены комплексным антивирусным ПО. Рекомендуем технологии на базе эвристики, которые позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа.
  • Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
  • Используйте сервисы для доступа к информации о новейших угрозах.
  • При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.

Смотрите также

Примечания



TAdviser рекомендует

26 мая, Пт.

Бета
Лидеры по внедрениям ИТ в корпоративном секторе

Добавить: