WannaCry — что это было и как не заразиться опасным вирусом шифровальщиком
Компьютерный вирус WannaCry, резко активизировавшийся в конце прошлой недели, вывел из строя сотни тысяч компьютеров по всему миру. Пострадали как отдельные пользователи, так и целые больницы, и транспортные компании. Рассказываем, почему это произошло и как защититься от этого и подобных вирусов.
Что произошло?
В течение прошлый выходных множество компьютеров под управлением Windows в самых разных уголках планеты оказались заблокированы вирусом, который требовал за разблокировку примерно 300 долларов биткоинами. Простая переустановка операционной системы не имела смысла — зловред не просто лишал пользователя возможности управления компьютером, но также шифровал на нём данные, чтобы вы не смогли получить к ним доступ без специального ключа.
Идти на уступки преступникам считается плохой практикой в любой ситуации, ведь так вы только провоцируете их на новые попытки обобрать вас. С другой стороны, порой информация стоит гораздо дороже 300 долларов. Однако несмотря на то, что сотни людей всё же поддались соблазну перевести злоумышленникам деньги, и те собрали уже несколько десятков тысяч долларов, нет ни одного зарегистрированного случая возвращения данных. Скорее всего, у преступников просто нет технической возможности отслеживать, владелец какого заблокированного компьютера совершил платёж.
Кто пострадал?
Как обычно, жертвами стали пользователи Windows. Но, конечно, не все. Если у вас Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 или Windows Server 2016 и, что самое важное, ваша ОС настроена на автоматические обновления, то ваш компьютер вне опасности. Другие версии, включая Windows XP, Windows 8, Server 20003, уже не поддерживаются Microsoft и не получают обновлений, в том числе закрывающих критические уязвимости. Однако еще целых 7 процентов Windows-пользователей «сидят» на XP. Не все из них паранойики и скряги. Часть — корпорации, которые используют софт, не работающий адекватно на более новых системах. Впрочем, в этот раз Microsoft пошла на уступки и выпустила патч для уже неподдерживаемых ОС, который закрывает ту самую уязвимость, через которую червь проникает в ваш ПК. В общей сложности атаки WannaCry были зарегистрированы в 73 странах. В России с вирусом-шифровальщиком столкнулись «Сбербанк», «Мегафон» и МВД, в Британии — городские больницы, работа которых была серьёзно нарушена, в Испании — телекоммуникационная компания Telefonica. Также сообщения с требованием выкупа можно было увидеть на цифровых табло на станциях электричек в Германии, а Renault даже пришлось остановить несколько фабрик во Франции.
Кто виноват?
Конечно, в первую очередь нужно винить создателеь WannaCry. Но не только их усилия привели к подобной ситуации. В основе зловреда WannaCry используется эксплойт (код, использующий уязвимость; позже многие эксплойты становятся основой вирусов) под кодовым названием EternalBlue. Информация об этом эксплойте была в утечках из Агенства Национальной Безопасности США — спецслужба, вероятно, планировала использовать уязвимость в своих целях. А EternalBlue, в свою очередь, эксплуатировал уязвимость в SMB-протоколе (он отвечает за «Сетевое окружение») для того, чтобы распространяться среди компьютеров, которые еще не были вовремя обновлены необходимой «заплаткой» от Microsoft.
Мы все не раз слышали о страстном желании различных правительств получать доступ ко всей информации любыми способами, как с помощью требований к IT-компаниям сотрудничать и предоставлять возможность «взламывать» их устройства, так и без их участия. И тут, как с военными складами — если их ограбят террористы и унесут оружие в неизвестном направлении, никто не сможет чувствовать себя в безопасности.
Кто всех спас?
Не обошлось и без героя, усилиями которого удалось если не предотвратить, то заметно притормозить дальнейшее распространение WannaCry. Им стал 22-летний британский программист Маркус Хатчис, известный в твиттере под псевдонимом MalwareTech. Он выяснил, что вирус сначала обращается к несуществующему домену в интернете и только потом начинает процесс зашифровки данных и блокировки компьютера. В противном случае, если связь с сайтом установлена, вирус деактивируется.
Специалисты по кибербезопасности предполагают, что такое поведение — элемент маскировки. Дело в том, что исследовательские среды часто настроены так, чтобы изучаемые вирусы получали ответ при обращении к вообще любом домену. WannaCry, вероятно, проверял заведомо несуществующий домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, чтобы затаиться, если «поймёт», что он под наблюдением.
Татчис зарегистрировал домен, к которому пытается обратится зловред, и, как только он стал видимым для копий WannaCry по всему миру, вирус прекратил свою активность. Наверное, исследователю не стоило сразу хвастаться тем, что он остановил глобальную компьютерную эпидемию — его посты в Твиттере быстро подвхатили СМИ, и об этом узнали в том числе и создатели WannaCry.
Как избежать заражения в будущем?
К сожалению, злоумышленникам не составило труда исправить оставленный по недосмотру «рубильник», и заражение продолжилось —но только для тех, кто игнорирует обновления Windows. Однако есть способ обойтись и без обновления, и о нём рассказывается на форуме Microsoft. Там же есть и ссылка на инструмент, который просто выключает уязвимый протокол, через который WannaCry попадает в систему.
WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужно правильное решение для надежного бэкапа
Как мы уже рассказывали, на прошлой неделе, в пятницу, 12 мая более чем 75000 компьютеров на Windows по всему миру пострадали от атаки червя-вымогателя, известного как WannaCry, WCry или WanaCrypt0r 2.0. Данная атака была довольно хорошо спланирована киберпреступниками и осуществлена в пятницу прямо перед выходными на крупные телекоммуникационные и транспортные компании, правительственные и правоохранительные органы, больницы и образовательные учреждения.
Эпидемия программы-вымогателя WannaCry затронула более 100 стран на прошлой неделе и стала самой крупной за всю историю. Сообщений о массовых проблемах у домашних пользователей пока не поступало, по-видимому в связи с тем, что большинство домашних пользователей используют версии Windows 7 и Windows 10 с автоматической установкой обновлений безопасности и получили исправление данной проблемы от Microsoft еще в марте.
Несмотря на то, что большое количество компаний и частных пользователей пострадало в результате кибератаки, есть и хорошие новости. В новой версии Acronis True Image 2017 New Generation мы внедрили технологию проактивного обнаружения и нейтрализации программ-вымогателей – Active Protection. Все пользователи, которые включили Acronis Active Protection на своих компьютерах, были защищены в этой критической ситуации. Кстати, для бизнеса такая возможность борьбы с программами-вымогателями уже тоже есть, пока в предварительной версии Acronis Backup 12 Advanced Beta и в ближайшем будущем будет доступна для всех пользователей.
Поскольку WannaCry атакуют и резервные копии, мы заранее предусмотрели надежную защиту собственных файлов с помощью технологии Active Protection, которая не дает вредоносному программному обеспечению испортить программу-агент для резервного копирования или созданные копии файлов, включая облачные.
Коротко о том, что нужно знать о WannaCry
WannaCry стал одним из первых червей-вымогателей. Данное зловредное программное обеспечение не только работает как вымогатель, но и пытается инфицировать как можно больше систем в сети, сканируя сеть, где он оказался, и заражая соседние компьютеры. Данную атаку очень тяжело обнаружить традиционными системами безопасности, потому что он скрытно использует недавно обнаруженную уязвимость в операционных системах Microsoft. После проникновения в систему WannaCry шифрует все локальные диски и сетевые папки. Именно функционал компьютерного червя делают данную атаку такой опасной для компаний и частных пользователей, потому что распространение его происходит через два источника – зараженное вложение в электронной почте и распространение как компьютерный червь.
Как мы и предсказывали ранее, сегодня наблюдается новое поколение программ-вымогателей, атакующих как локальные резервные копии файлов, так и удаляющие созданные теневые копии сервиса Volume Shadow Copy Service, встроенного в Microsoft Windows.
WannaCry применяет стойкий алгоритм шифрования, который не может быть просто и быстро дешифрован.
В данный момент атака происходит только на компьютеры под управлением ОС Windows, но похожие уязвимости и программы для их реализации возможны и для других операционных систем. Мы ожидаем, что появление атаки такого же масштаба на другие ОС и устройства – дело времени.
Жертвы из разных индустрий — это не случайность
Киберпреступники специально выбирали жертв для атаки из компаний, которые не могут себе простоя и, вероятнее всего, предпочтут быстро заплатить выкуп: телекоммуникационные, логистические и энергетические компании, общественный транспорт, больницы, школы и университеты. Злоумышленники не побоялись атаковать даже подразделения МВД России! Краткий список компаний-жертв атаки червя-вымогателя:
- Национальная служба здравоохранения Великобритании NHS переносит прием пациентов, т.к. не может проводить диагностику больных. (Список пострадавших больниц)
- Завод Nissan в Великобритании
- Телекоммуникационная компания Telefonica в Испании
- Энергетические компании Iberdrola и Gas Natural (Испания)
- Логистическая компания FedEx (США)
- Университет Ватерлоо (США)
- МВД и Мегафон в России
- ВТБ (один из крупнейших российских банков)
- Российские Железные Дороги (РЖД)
- Португальская телекоммуникационная компания Portugal Telecom
- Сбербанк Россия (крупнейший банк в России)
- Индийская авиакомпания Shaheen Airlines
- Немецкая железная дорога Deutche Bahn (@farbenstau)
- Школы и университеты в Китае (источник)
- Библиотека Омана (@99arwan1)
- Бюро общественной безопасности провинции Яаншуи в Китае
- Автопроизводитель Renault во Франции
- Школы во Франции
- Университет Милано-Бикокка (Италия)
- Торговый центр в Сингапуре
- Банкоматы в Китае
- Телекоммуникационная компания Саудовской Аравии и ряда других стран STC telecom (Источник)
Как распространяется вымогатель WannaCry?
Червь-вымогатель WannaCry проникает в частные и корпоративные сети с помощью рассылок нежелательной почты, которая содержит вредоносные вложения, которые, в свою очередь, содержат макрос или ссылку на вредоносную программу, начинающую первоначальное заражение. И хотя на текущий момент нет примеров таких писем, все аналитики, включая экспертов Microsoft, сходятся в том, что именно таким образом происходило заражение на первом этапе.
Дальнейшая активность WannaCry зависит от двух утекших элементов криптоэлементов: бекдор DOUBLEPULSAR и эксплоит ETERNALBLUE.
При использовании ETERNALBLUE происходит внедрение DOUBLEPULSAR в систему и DOUBLEPULSAR использует уязвимость драйвера режима ядра ОС SRV.SYS (файловый сервер SMB), которая позволяет встроить и выполнить код опасной DLL в любом процессе на скомпрометированной системе.
После установки вредоносной программы, она начинает действовать как программа-червь, сканируя сеть и подключаясь по порту 445 к другим компьютерам для обнаружения работающих бекдоров DOUBLEPULSAR, передает зараженные файлы, которые запускают процесс на новом компьютере, распространяя инфекцию подобно пожару в лесу. Если же атакованная система не содержит бекдора DOUBLEPULSAR, то червь сначала устанавливает его через эксплоит ETERNALBLUE, и процесс продолжается.
Особенности механизма распространения червя
Перед началом своей активности, WannaCry проверяет существование специального домена «выключателя» и если он находит его, то программа прекращает свою работу. Первая версия червя была остановлена именно путем активации такого домена «выключателя». Если же «выключатель» не существует, то червь начинает загрузку своих модулей, регистрирует сервис, сканирует случайные IP-адреса по порту 445, проверяет наличие бекдора DOUBLEPULSAR и подготавливает пакет для внедрения.
Процесс подготовки пакета для внедрения реализован в виде функции, которую мы называем initNetworkInjectingExecutables в псевдокоде ниже. initNetworkInjectingExecutables читает DLL-загрузчик из червя, создает пакет для внедрения, добавляет к нему червя и пересылает на скомпрометированный системный порт. На этой системе загрузчик получает контроль через бекдор DOUBLEPULSAR и запускает червь. Данный процесс вновь повторяется на зараженной машине, раздувая лесной пожар дальше.
HGLOBAL initNetworkInjectingExecutables() < //. do < v2 = g_exeBody0; if ( v1 ) v2 = g_exeBody1; v3 = *(&g_exeBuffer0 + v1); *(&exeBuffer + v1) = (int)v3; qmemcpy(v3, v2, v1 != 0 ? 51364 : 16480); *(&exeBuffer + v1) += v1 != 0 ? 51364 : 16480; ++v1; >while ( v1 < 2 ); v4 = CreateFileA(g_moduleFileName, 0x80000000, 1u, 0, 3u, 4u, 0); v6 = GetFileSize(v4, 0); v7 = (const void *)exeBuffer; v9 = (void *)(exeBuffer + 4); *(_DWORD *)exeBuffer = v6; ReadFile(v4, v9, v6, &NumberOfBytesRead, 0); CloseHandle(v4); result = (HGLOBAL)1; // return result; >
Новые варианты червя.
С момента первой атаки появились уже два новых варианта червя.
Первый (SHA256: 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf) использует другое имя для домена «выключателя», а другая версия (SHA256: 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd) вообще не использует домен «выключатель», но архив поврежден, и работает только механизм червя. Что интересно, домен «выключатель» был заменен в виде заплатки путем обнуления строки URL, следовательно, у злоумышленников, скорее всего, не было доступа к исходному коду, что позволяет предположить, что другие злоумышленники пытаются переиспользовать вредонос, чтобы легко нажиться на его успехе. Также возможно, что вымогать был просто заказан разработчику, а распространитель не силен в программировании или не имеет исходных кодов, и пытается решить проблему подобным путем, не обращаясь еще один раз к разработчику вредоносного ПО.
Зловредная часть в этом семпле из tasksche.exe была слегка изменена:
Сравнение файлов MSSECSVC.EXE_3 и MSSECSVC.EXE_2
0032BBF3: AA 27 0032BBF4: 19 68 … 00359FFE: C2 4E 00359FFF: 03 47
Это привело к неработоспособности криптора. Было ли это сделано по ошибке или с какой-то иной целью, пока до конца не ясно.
Если у вас нет современной системы для создания резервных копий, ваши файлы будут утеряны
Зловредное программное обеспечение на инфицированной системе удаляет все теневые копии VSS всеми доступными способами:
Vssadmin delete shadows /all /quiet Wmic shadowcopy delete Wbadmin delete catalog –quiet
Так же отключается консоль восстановления на скомпрометированной системе:
Bcdedit /set bootstatuspolicy ignoreallfailures Bcdedit /set recoveryenabled no
Как WannaCry шифрует файлы
Вредоносная часть червя запускает по расписанию программу-шифровальщик tasksche.exe, которую она распаковывает из загрузочного пакета. Шифровальщик сканирует все диски и сетевые папки на системе, ищет файлы с расширениями из внутренней таблицы и шифрует их алгоритмом RSA с 2048-битным ключом. В новой папке с именем Tor/ он создает tor.exe и сопутствующие файлы. Туда же копируются два файла: taskdl.exe и taskse.exe. Последняя программа удаляет следы работы червя и далее запускает @wanadecryptor@.exe. Данная программа показывает заставку с требование выкупа и осуществляет связь через сеть Tor.
Шифровальщик шифрует файлы более чем 160 различных расширений:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
Если система не защищена пользователь увидит неприятное сообщение:
Остается только надеяться, что файлы можно будет расшифровать после уплаты выкупа или смириться с потерей данных, если нет защищенной резервной копии.
Как защитить ваши системы от атак WannaCry и других программ-вымогателей
Первым делом, все пользователи, которые обновили свои компьютеры с Windows с марта с.г. защищены от этой уязвимости.
-
Включите автоматическую установку обновлений Windows. Если вы не обновляли ОС продолжительное время или используете старую версию ОС, проверьте наличие программы-заплатки от Microsoft как можно скорее. Исправления доступны даже для снятых с поддержки версий Windows XP и Windows Server 2003. Все домашние и офисные компьютеры, которые не имеют свежих обновлений, могут быть заражены.
Установленный на компьютере пользователя Acronis True Image 2017 New Generation с активированной функцией Acronis Active Protection обнаруживает работу WannaCry и других программ-вымогателей.
-
Примите за правило не открывать какие-либо подозрительные вложения или ссылки из электронной почты. Не кликайте на подозрительные ссылки в веб-браузере, не ходите на веб-сайты, которые вы не знаете. Всегда наводите курсор на ссылку, чтобы посмотреть реальную ссылку и не попадайтесь на фишинг.
Все поврежденные файлы практически мгновенно восстанавливаются Acronis Active Protection без уплаты выкупа киберпреступникам.
Если не верите нам, то вот подробный видеоролик на популярном youtube канале:
→ Скачать триальную версию или купить лицензию Acronis True Image 2017 New Generation можно по ссылке.
→ Данную статью можно прочесть на английском языке в нашем блоге.
- Acronis
- Acronis True Image
- WannaCry
- Блог компании Acronis
- Резервное копирование
- Хранение данных
- Хранилища данных
Зашифрованный мир: как работает WannaCry и что умеют программы-вымогатели?
«Новый вымогатель WCry / WannaCry распространяется, как ад», — не скрывали эмоций исследователи из MalwareHunterTeam в пятницу утром. Меньше чем за два часа заражение было обнаружено в 11 странах мира: России, Великобритании, США, Китае, Испании, Италии, Вьетнаме, Тайване. К вечеру пятницы было зафиксировано 45 000 попыток атак в 74 странах мира. Атакам подверглись около 40 клиник в Англии и Шотландии, одна из крупнейших телекоммуникационных компаний Испании Telefonica. Масштабное заражение произошло в России (по нашим данных, обнаружено 5014 зараженных вирусом хостов) — о проблемах сообщали в «Мегафоне», МВД (в ведомстве подтвердили блокирование порядка 1 000 компьютеров).
Заражение, как установили криминалисты (компании автора, Group IB — Forbes) происходит не через почтовую рассылку, а весьма необычным образом: WannaCry сам сканирует сеть на предмет уязвимых хостов (на скриншоте — список IP адресов, которые сканирует вирус со скоростью 50 000 000 IP в минуту) и, используя сетевую уязвимость ОС Windows, устанавливается на компьютеры. Этим объясняется скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства. WannaCry шифрует файлы, но не все, а наиболее ценные — базы данных, почту, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным — $300 в биткоинах. К тому же, если зараженный компьютер попал в какую-то другую сеть, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.
Есть еще одна причина успеха стиль масштабной атаки. WannaCry, как предположили эксперты, использует известную сетевую уязвимость ОС Windows, которая хотя и была закрыта Microsoft — в марте было выпущено обновление Security Bulletin MS17-010, но не все пользователи его установили. Любопытно другое: эксплоит ETERNALBLUE — оказался из арсенала шпионских инструментов Агентства национальной безопасности США (АНБ), которые были выложена в открытый доступ хакерами Shadow Brokers. Это не первый случай — с помощью одного из инструментов АНБ — бэкдора DOUBLEPULSAR из утечки Shadow Brokers хакерам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване.
Наследство Поппа
Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ — основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС.
В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели сегодня, совершенно различные компании и организации. Угроза актуальна даже для некоммерческих организаций. Так как для каждой крупной атаки вредоносное ПО модернизируется и тестируется злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.
Преступники стараются зашифровать не просто файлы, а базы данных 1С, рабочие документы, резервные копии и т.д. Именно поэтому жертвой вымогателей чаще всего становятся аудиторские, кредитно-финансовые и бухгалтерские компании, аккумулирующие большие массивы финансовой информации — потерять их, особенно в на этапе сдачи годового отчета — большая угроза для любой компании. Шифрование, используемое этими программами, надежно, и найти альтернативного способа кроме, как получить ключ расшифровки данных от атакующего, либо с его сервера невозможно. После того, как файлы зашифрованы, появляется сообщение, в котором описывают сколько и куда необходимо перевести денег, чтобы получить ключ расшифровки. Как правило оплата производится в Bitcoin. Многие соглашаются заплатить вымогателям, лишь бы восстановить доступ к драгоценным данным, и тем самым финансируют развития этого вида киберпреступлений. Основной способ распространения таких программ – рассылки по электронной почте вложений под видом банковских выписок, счетов, актов-сверок, уведомлений о вызове в суд и т.п. (но как мы говорили выше, WannaCry распространяется по-другому).
Торжество вымогателей
Почему так распространены программы-вымогатели? На это есть несколько причин:
- Обмен данными. Рост количества атак на компании связан в том числе с тем, что владельцы бот-сетей начали продавать доступы к компьютерам с критичными финансовыми системами, из которых нельзя похить деньги, но потеря данных из которых критична для бизнеса. Некоторые хакеры, управляющие банковскими троянами, в первую очередь интересуются компьютерами с системами дистанционного банковского обслуживания, и часто обнаруживают компьютеры бухгалтеров, которые привыкли работать удаленно в 1С. Поэтому они начали продавать информацию о таких компьютерах своим «партнерам», чтобы те шифровали данные и извлекали из этого прибыль. По аналогичной схеме доступы к системам могут быть проданы кибертеррористам или игрокам, заинтересованным в кибершпионаже.
- Развитие сервисов, упрощающих атаки. Появились новые партнерские программы по распространению программ-вымогателей, предоставляющие любому желающему возможность сгенерировать исполняемый файл вымогателя, который может быть использован для заражения устройств жертв, и среду для переписки с требованиями выкупа. 20% от выкупа перечисляются создателю сервиса.
- Повышение вероятности выплаты. Кроме того, хакеры начали проверять серверы с подобранными паролями на наличие систем с данными, потеря доступа к которым с высокой степенью вероятности приведет к выплате суммы, требуемой вымогателями.
- Наиболее важная информация хранится на серверах, а самой популярной операционной системой для серверов является Linux. Поэтому атакующие создали вымогателей, которые шифруют данные на Linux-серверах.
- Увеличение количества атак на мобильные устройства. Так, вымогатели для Android после шифрования выводят на экран устройства страницу, написанную на HTML/JS коде, с требованием перевести деньги на счет злоумышленника. В феврале 2016 года компания Blue Coat зафиксировала распространение программы-вымогателя под Android через набор эксплойтов. На вредоносном сервере был скрипт с эксплойтом под libxslt, который был в утечке Hacking Team. iOS-устройства тоже оказываются в зоне опасности. Установить вредоносное программное обеспечение на устройство Apple непросто, поэтому мошенники придумали особый подход. Специальное вредоносное ПО, используя базу перехваченных логинов и паролей от iCloud, автоматически заходит в iCloud, сбрасывает пароль, меняет привязанный адрес электронной почты, блокирует все устройства, привязанные к AppleID и настраивает окно блокировки таким образом, чтобы оно отображало требование атакующего перевести деньги за разблокировку.
- Шифрование IoT-устройств (Internet of Things, «интернет вещей» — Forbes). С появлением популярных производителей IoT-устройств возникнет и рынок информации об их уязвимостях. IoT-устройства будут использоваться и в мошеннических схемах, например, для перенаправления на фишинговые сайты, демонстрации рекламы с предложением скачать вредоносные программы, замаскированные под легальные, и т.п.
Как минимизировать риски?
- Резервное копирование! Лучше всего создать две резервные копии: одна пусть хранится в облаке (не забудьте использовать сервис, который делает автоматическое резервное копирование ваших файлов) и еще одна копия на портативном жестком диске, флэш-накопителе, резервном ноутбуке. Не забудьте их отключить от вашего компьютера после завершения копирования.
- Своевременно обновляйте вашу операционную систему (ОС)! Не выключайте «эвристические функции», так как они помогают поймать образцы вымогателей, которые еще не были официально обнаружены.
- Не доверяйте никому. Буквально. Любая учетная запись может быть скомпрометирована и вредоносные ссылки могут прийти с почтовых ящиков или аккаунтов ваших друзей и коллег. Никогда не открывайте вложения в сообщениях электронной почты от кого-то вы не знаете.
- Включите опцию «Показывать расширения файлов» в настройках Windows на своем компьютере. Это позволит сделать это намного легче обнаружить потенциально вредоносные файлы. Держитесь подальше от расширений файлов , таких как ‘.exe’, ‘.vbs’ и ‘.SCR’. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документа (например, горячего chics.avi.exe или doc.scr).
- Если вы обнаружили подозрительный процесс на вашей машине, немедленно отключите ее из Интернета или других сетевых подключений (например, домашний Wi-Fi) — это позволит предотвратить распространение инфекции.
- Используйте решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, запуская их в специальной, изолированной среде. В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение. Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены – недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам.
- Никогда не выплачивайте выкуп! Отправляя свои деньги киберпреступникам, вы признаете эффективность их действий и нет никакой гарантии, что вы получите ключ дешифрования.
Что такое программа-вымогатель WannaCry
Уязвим ли ваш компьютер для троянца-вымогателя WannaCry? Мы подробно проанализировали эту атаку, и готовы поделиться с вами тем, что нам удалось выяснить.
В этой статье мы узнаем:
- Что такое вирус-вымогатель WannaCry
- Как работает атака с его использованием
- Последствия атаки
- Как защитить свой компьютер от вредоносных программ-вымогателей
Что такое вирус-вымогатель WannaCry
WannaCry является примером крипто-вымогателей — типа вредоносных программ, используемых киберпреступниками для получения выкупа.
Вымогатели либо зашифровывают ценные файлы, чтобы вы не могли их прочитать, либо блокируют ваш компьютер, чтобы вы не могли его использовать.
Вымогатели, которые шифруют ценные файлы на компьютере так, что пользователь не может получить к ним доступ, называются шифровальщиками. Вымогатели, которые просто блокируют нормальную работу компьютера или смартфона, называются блокировщиками.
Как и другие типы крипто-вымогателей, WannaCry берет ваши данные «в заложники», и обещает вернуть их за выкуп.
WannaCry предназначен для компьютеров с Windows. Он шифрует данные и требует уплаты выкупа в биткойнах за их расшифровку.
Что из себя представляла атака с использованием WannaCry
Атака WannaCry была обнаружена в мае 2017 года и носила глобальный характер.
Вымогатель атаковал компьютеры Windows, зашифровывал файлы пользователей и требовал выкуп в биткойнах за их расшифровку.
Если бы не продолжающееся использование устаревших компьютерных систем и слабое понимание необходимости регулярного обновления программного обеспечения, ущерба, вызванного этой атакой, можно было бы избежать.
Как работает атака WannaCry
Киберпреступники, стоящие за атакой, воспользовались уязвимостью, присутствующей в операционной системе Microsoft Windows, используя эксплойт, который предположительно был разработан Агентством национальной безопасности США.
Этот эксплойт под кодовым названием EternalBlue был опубликован в Интернете группой хакеров Shadow Brokers за месяц до начала атаки WannaCry.
При этом Microsoft выпустила патч для закрытия уязвимости почти за два месяца до начала атаки WannaCry. К сожалению, многие пользователи и организации не обновляют свои операционные системы регулярно и поэтому стали жертвами атаки.
Пользователи, которые вовремя не установили патч, оказались незащищенными и подверглись атаке с использованием эксплойта EternalBlue.
Сначала пользователи предположили, что атака вымогателя WannaCry распространялась через фишинговую рассылку (фишинговая рассылка — это электронные спам-сообщения, содержащие зараженные ссылки или вложения, с помощью которых пользователей обманом привлекают для загрузки вредоносных программ). Впоследствии выяснилось, что WannaCry распространялся через уязвимости EternalBlue и бэкдора DoublePulsar, с помощью которого устанавливался шифровальщик.
Что происходило, если жертва отказывалась платить выкуп
Сначала злоумышленники требовали выкуп в размере $300 биткойнов, а затем увеличили свои «аппетиты» до $600 биткойнов. Если в течение трех дней денег не поступало, жертва получала сообщение о том, что ее файлы будут безвозвратно удалены.
Мы советуем пользователям не поддаваться шантажу. Не платите выкуп, поскольку нет никакой гарантии, что вы получите свои данные назад. Кроме того, каждый платеж убеждает киберпреступников в эффективности их бизнес-модели и, таким образом, повышает вероятность будущих атак.
Этот совет оказался полезным в случае с WannaCry, поскольку в коде, использованном в атаке, имелись ошибки. Когда жертвы уплачивали выкуп, злоумышленники не могли связать оплату с компьютером конкретной жертвы.
Есть определенные сомнения в том, что кому-то удалось вернуть свои файлы. Большинство исследователей утверждали, что это маловероятно, однако, компания F-Secure заявила, что такие случаи были. Все это должно послужить серьезным напоминанием о том, почему не нужно платить выкуп, если вы подверглись атаке вымогателей.
Последствия атаки WannaCry
В результате атаки вымогателя WannaCry пострадали более 230 000 компьютеров по всему миру.
Одной из первых жертв стала испанская телекоммуникационная компания Telefónica. К 12 мая тысячи больниц Великобритании вынуждены были отказывать в приеме пациентам.
Нападению подверглись треть больниц Соединенного Королевства. Сообщается, что машины неотложки перенаправлялись по другим адресам, а люди, нуждавшиеся в срочной помощи, ее не получали. По некоторым оценкам, атака обошлась организациям здравоохранения в колоссальную сумму — 92 миллионов фунтов стерлингов после отмены 19 000 приемов пациентов.
Вымогатель орудовал далеко за пределами Европы – были выведены из строя компьютерные системы в 150 странах мира. Атака WannaCry имела серьезные финансовые последствия: убытки в глобальном масштабе оцениваются в 4 миллиарда долларов.
Защита от программ-вымогателей
Теперь вы знаете, как развивалась атака вымогателя WannaCry, и какие последствия она имела. Давайте рассмотрим, как вы можете защитить себя от вымогателей.
Вот несколько советов:
Регулярно обновляйте свое программное обеспечение и операционную систему
Пользователи компьютеров стали жертвами атаки WannaCry, потому что они не обновили свою операционную систему Microsoft Windows.
Если бы они регулярно обновляли свои операционные системы и вовремя установили патч, выпущенный Microsoft за два месяца до атаки, беды бы не случилось.
Этот патч закрывал уязвимость, которую EternalBlue использовал для заражения компьютеров вымогателем WannaCry.
Обязательно обновляйте программное обеспечение и операционную систему. Это важный способ защиты от программ-вымогателей.
Не проходите по подозрительным ссылкам
Если вы открываете незнакомое электронное письмо или заходите на сайт, который не вызывает доверия, не переходите по ссылкам. Нажатие на непроверенные ссылки может привести к загрузке вирусов-вымогателей.
Не открывайте вложения в электронных письмах от неизвестных отправителей
Не открывайте вложения электронной почты, если вы не уверены в их безопасности. Вы знаете отправителя и доверяете ему? Вам понятно, что это за вложение? Вы ждали получения этого прикрепленного файла?
Если во вложении вас просят включить макросы для его просмотра, ни в коем случае не делайте этого. Не включайте макросы и не открывайте вложения – это самый часто используемый способ распространения крипто-вымогателей и других типов вредоносных программ.
Не скачивайте ничего с недоверенных сайтов
Скачивание файлов с неизвестных сайтов увеличивает риск загрузки программ-вымогателей. Для скачивания файлов пользуйтесь только надежными ресурсами.
Не пользуйтесь чужими USB-устройствами
Не вставляйте чужие USB-накопители или другие съемные устройства для хранения данных в свой компьютер. Они могут быть заражены троянцами-вымогателями.
Используйте безопасное VPN-соединение при подключении через общественный Wi-Fi
Соблюдайте осторожность при использовании общедоступного Wi-Fi: в этот момент ваша компьютерная система становится более уязвимой для атак.
Используйте безопасное VPN-соединение, чтобы защитить себя от риска заражения вредоносными программами при подключении через общедоступный Wi-Fi.
Установите защитное ПО
Регулярно обновляйте защитное ПО
Чтобы ваше защитное решение обеспечивало максимальную защиту вашего компьютера (включая все последние исправления системы безопасности), регулярно обновляйте его.
Создавайте резервные копии ваших данных
Регулярно создавайте резервные копии данных на внешнем диске или в облачном хранилище. Если вы станете жертвой программ-вымогателей, ваши данные будут в безопасности. Не забудьте отключить внешнее запоминающее устройство от компьютера после выполнения резервного копирования. Если этого не сделать, крипто-вымогатели смогут зашифровать данные на этих устройствах.
Хотите спать спокойно, обеспечив себе надежную защиту от троянцев-вымогателей? Скачайте Kaspersky Total Security.
Другие стать по теме:
- Похищение данных и потеря данных
- Крупнейшие угрозы программ-вымогателей
- WannaCry: еще не мертв
Что такое программа-вымогатель WannaCry
Что стало с хакером WannaCry? Мы обсудим атаку WannaCry и расскажем, как вы можете защитить свой компьютер.