Вирус WannaCry: главное

Как вирус вымогает деньги?

Вирус активируется на компьютерах под управлением ОС Microsoft Windows, шифрует файлы пользователя, после чего выводит сообщение о преобразовании файлов с предложением в ограниченный срок осуществить оплату ключа дешифрования биткоинами в эквиваленте суммы 300 долларов для разблокировки данных в течение 3 дней. Если нужная сумма не поступит, то сумма автоматически будет увеличена вдвое. На 7 день вирус уничтожит данные.

Вирус WannaCry - что происходит? Мнения специалистов

Лаборатория Касперского:  Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows – о ней стало известно еще 14 апреля из документов, опубликованных группировкой Shadowbrokers.

Общее число вариаций зловреда, циркулирующих в Сети в понедельник 15 мая, до сих пор неизвестно. Однако за выходные дни (13-14 мая) появилось две заметных модификации. «Лаборатория Касперского» полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя – скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.

Анализ сетевых журналов дает основания предполагать, что вымогатель WannaCry начал распространяться в четверг 11 мая. Количество попыток атак WannaCry, задетектированных «Лабораторией Касперского» в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.

Виталий Земских, руководитель поддержки продаж ESET Russia: В атаке используется сетевая уязвимость в Microsoft Windows MS17-010, закрытая производителем в марте 2017 года. Что может означать успешная эксплуатация уязвимости, пропатченной два месяца назад? Очевидно, информационной безопасности в мире уделяют недостаточно внимания, а осведомленность некоторых ИТ и ИБ специалистов оставляет желать лучшего.

Более того, даже если бы злоумышленники использовали уязвимость нулевого дня, для которой еще не выпущены обновления безопасности, правильный подход и набор средств ИБ мог бы отбить атаку. Простой пример – облачная система ESET LiveGrid детектировала WannaCryptor в первый день эпидемии еще до обновления вирусных баз. Эвристика и технологии на ее основе позволяют предотвратить заражение даже на необновленных Windows.

В данный момент мы не можем представить исчерпывающие доказательства начального вектора атаки, который используют операторами WannaCryptor. Пока в центре внимания два возможных сценария, которые могли бы прояснить ситуацию: «классический» фишинг и инфицирование через SMB-уязвимость. Худший вариант сложнее стандартных схем и затрагивает безопасность крупнейших интернет-компаний. В любом случае, все встанет на свои места после завершения детальных исследований, которые ведут вирусные лаборатории мира.

Кибератаки различной мощности будут производиться до тех пор, финансовая выгода злоумышленников превышает затраты на реализацию. Либо, пока нет возможности установить исполнителей со стопроцентной точностью. Усложнить задачу атакующих позволит комплексный подход к ИБ: программные и аппаратные средства защиты всех узлов сети, доступ ИТ и ИБ-специалистов к актуальной информации об угрозах, обучение персонала.

Алексей Тюрин, директор департамента аудита защищенности Digital Security: 

Вообще, такие вирусные эпидемии уже происходили, так что это не что-то особенно новое. Вирусы-шифровальщики - это в целом актуальная проблема.

Основой вируса является эксплойт, созданный ЦРУ, и который недавно был выложен на WikiLeaks. Так что можно винить ЦРУ, что они не озаботились в полной мере безопасностью своего "кибероружия".

Вирус распространяется по сети, при этом от пользователя не требуется посещать ссылки, скачивать или запускать файлы - достаточно подключения к сети и использовать уязвимую версию ОС. При этом патч под актуальные версии Windows существовал еще до начала вспышки эпидемии. Т.е. оперативная установка обновлений ОС спасла бы.

Отдельной проблемой является то, что уязвимость так же присутствует в Windows XP и 2003, но официальная поддержка которых уже не осуществляется (хотя патч для них тоже есть). Т.е. по большей части заразились те организации, которое либо используют устаревшие версии ОС, либо не оперативно обновляют ОС.

Василий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ:

Виновником атак, которые начались в конце прошлой недели по всему миру,  является версия 2.0 WCry ransomware, также известная как WannaCry или WanaCrypt0r ransomware. Версия 1.0 была обнаружена 10 февраля 2017 года и в ограниченных масштабах использовалась в марте.

Версия 2.0 была впервые обнаружена 11 мая, атака возникла внезапно и быстро распространилась в Великобритании, Испании, Германии, Турции, России, Индонезии, Вьетнаме, Японии.

Масштаб атаки подтверждает, насколько опасным может быть вымогательское ПО. Организации должны быть готовы к отражению атаки, иметь возможность сканировать, блокировать и отсеивать подозрительные файлы и контент до того, как он попадет в их сеть. Также очень важно проинструктировать персонал о возможной опасности писем от неизвестных источников».

Команда Check Point начала фиксировать масштабное распространение вируса WannaCryptor 12 мая. Для ее распространения использовались различные векторы атак, в том числе через сетевой протокол прикладного уровня (SMB), brute force атаки на RDP-серверы, вредоносные ссылки в письмах, а также письма со вложениями, содержащими вредоносный контент в файлах PDF или ZIP.

Несмотря на то, что многие пользователи заплатили выкуп, не было ни одного сообщения о том, что их файлы были разблокированы. Исследователи обнаружили, что поступление денег на счет вымогателей позволяет отслеживать, какая именно жертва их перевела. У многих вымогателей есть «служба поддержки», которая быстро отвечает жертвам в случае проблем с оплатой. Но не в случае с WannaCry.  Более того, эксперты сомневаются, что зашифрованные файлы вообще поддаются дешифровке со стороны вымогателей.

Как обезопасить свой компьютер от заражения?

Для предотвращения заражения ESET рекомендуеn принять следующие меры:

1. Установите все обновления Microsoft Windows.
2. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО. Рекомендуем технологии на базе эвристики, которые позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа.
3. Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
4. Используйте сервисы для доступа к информации о новейших угрозах.
5. При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.

По материалам PLUSworld.ru

Эта и другие темы будут обсуждаться на нашем Форуме «Дистанционные сервисы, мобильные решения, карты и платежи», который пройдёт в Москве 7-8 июня 2017 года.

Подробная информация и регистрация доступны на нашем официальном сайте.

Будем рады встрече с Вами на Форуме!