Эпидемия шифровальщика WannaCry: что произошло и как защититься

отметили
53
человека
в архиве
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Вчера, 12 мая, началась эпидемия трояна-шифровальщика WannaCry — похоже, происходит это по всему миру. Эпидемией мы это называем потому, что очень уж велики масштабы. За один только день мы насчитали более 45 000 тысяч случаев атаки, но на самом деле их наверняка намного больше.

Что произошло?

О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более сотни тысяч компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.

Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.

Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

WannaCry: эксплойт и способ распространения

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

WannaCry: шифровальщик

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

Как регистрация домена приостановила заражение и почему это еще не все

Интересно, что исследователю из Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.

К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

Способы защиты от WannaCry

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.

Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:

Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы. Лень делать бэкапы самостоятельно — воспользуйтесь встроенным модулем в Kaspersky Total Security, он умеет автоматизировать этот процесс.Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.
Добавил dbond dbond 14 Мая
Комментарии участников:
oleg_ws
+2
oleg_ws, 14 Мая , url

В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003

Кому интересно — заплатка здесь

v8
-1
v8, 14 Мая , url

 что то я вин 10 не заметил там. к чему бы это...

oleg_ws
+1
oleg_ws, 14 Мая , url

выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003

 Это дополнение для старых версий. Для 10, 8.1 и т.п. по другой ссылке — какая там не искал, не знаю

magmaster
+1
magmaster, 14 Мая , url

Побыстрому скачал обновление для ХР, начал ставить… А потом внезапно вспомнил, что второй год уже на 7ке 64х  ))) Вот что значит рефлекс, после долго сидения на хр. )

arez
0
arez, 14 Мая , url

То же что ли скачать, вдруг для wine нужно?

magmaster
+1
magmaster, 14 Мая , url

Скачал, установил. Система легла, намертво. Даже в защищенном режиме не запустился. Пришлось переставлять. Блин куча ссылок умерло в браузере.

djamix
0
djamix, 14 Мая , url

Тут, внизу, есть для Десятки.

Хтя, по идее, мелкомягкие должы автоматом такие заплатки рассылать.

dbond
+2
dbond, 15 Мая , url

Обновляться надо своевременно. Как рассылать, если например у юзера обновления запрещены? У меня вот, своевременно приехало, еще в  марте.

v_m_smith
+3
v_m_smith, 14 Мая , url

 Вообще-то, только с выходом в интернет насчитали зараженных под 200 тысяч, и это не считая зараженных в локальных сетях без интернета

intel.malwaretech.com/botnet/wcrypt/?t=1h&bid=all

PM
+2
PM, 14 Мая , url

Правильная новость, спасибо.

Barban
-3
Barban, 14 Мая , url

Земляне, эти мерзавцы заманали нас со своими замками и шифрами. Продохнуть нельзя. Скоро проснешься, а у тебя все мысли в голове — зашифрованы и ключ купить — будешь всю жизнь должен.

Кто-то из вас хоть раз пользовался функцией шифрования файлов?
Да сгинет этот мир непомерно разъевшейся приватности, шифров и замком, мир анонимных крыс, и тотального коррупционого консенсуса. Этот мир тени — не для людей!

Формула свободы свободы — проста. Мы, честные люди, живем нароспашку. Все, кто хотят шифроваться — на отдельный континент!
Вон из нашего интернета!

shifty
+3
shifty, 14 Мая , url

Кто-то из вас хоть раз пользовался функцией шифрования файлов?

 Конечно каждый пользовался. Каждый заход по https, даже на н2 зашифрован.

Шифрование это не зло. Раньше вирусы делали format c: с таким же эффектом

Зло — это дырявые операционки. Становятся все сложней ради нового вида плиток в меню, открывают окна в мир интернета, а решеток на эти окна не поставить.

 

Вот и живем честно, открыто и нараспашку. Сквозит открыто жить. Радикулит будет

Barban
0
Barban, 14 Мая , url

Просто надо то, что за окнами окультурить.
Решеток и замков на окне ненапасешься. Все что человеком собрано им же и разобрано (взломано, хакнуто) может быть. Это тупиковый путь. Мы заведомо соглашаемся жить и работать в серой, размытой зоне с  гарантией быть обобранными, когда наберем хоть на палец жиру.
Мир честности в плену и в рабстве у криминальной вселенной.

Barban
0
Barban, 14 Мая , url

Есть такое понятие "качество жизни". Если мы подумаем о качестве нашей цифровой жизни, мы ужаснемся тому, как все неудобно, скотохозно и стрессонасыщено.

А все из-за коррупционного консенсуса с приматом шифрования (крысиности). Этот мир — не для людей. Он для крыс, тараканов и другой моли.

nanosecond
0
nanosecond, 14 Мая , url

Какие люди — такой и мир. Чтобы изменился мир, менять нужно человека. Изменить человека извне не так просто. Опыт СССР тому подвтверждение. Да, были определённые успехи в выведении человека советского, но как показал опыт — изменения эти отчасти были притворными, внешними. И как только внешнее воздействие ослабло — процесс быстро пошёл вспять, как в «Острове доктора Моро» Герберта Уэллса. Нам остается уповать на эволюцию человека изнутри, либо на повторение эксперимента, подобного СССР, где будут учтены допущенные ошибки, и раз уж речь о Сети, то отдельно взятой страной тут не обойтись.

Barban
0
Barban, 14 Мая , url

Да, нет, человек в массе своей очень быстро меняется к лучшему в человеческих условиях жизни. Для него — свовершенно естественно быть добрым и порядочным, люди добрые, а?
 
Надо перестать отдавать власть над собой отъявленным криминалам, которые загняют нас в свой теневой скотохоз под вывеской «КАЖДОМУ — СВОЕ НАВОРОВАННОЕ» и «ЧЧВ».

nanosecond
0
nanosecond, 14 Мая , url

Да, и условия тоже важны. Всё влияет на всё. И тем не менее, одних нечеловеческие условия оскотинивают, других закаляют. Поэтому люди добрые потому что сытые быстро растеряют всю свою доброту, как только проголодаются. Это несознательные люди, с такими в разведку не ходят.

Barban
0
Barban, 14 Мая , url

Грех требовать от всех сознательности и разведки. Немилосердно!
Для этого есть у нас духовный авангард — наша Партия землян. Из ее членов мы будет делать настоящие стальные гвозди.

Barban
+1
Barban, 14 Мая , url

Представьте себе, что вы живете в большой квартире большой семьей и каждый наставил себе по всему жилищу своих дверей и ходов с замками и кодами, шкафчиков и сейфов з замками, и туалетных всяких бумаг подзамочных. И вот вы ходите прыгая как лошадь через все эти замочные калитки, гремя килограмовыми связками ключей, и бубня, что все равно, суки, все воруют, надо бы еще поумнее и побольше замков всюду наставить.

И все это вместо того, чтобы элементарно договориться, что ВОРОВАТЬ — СТЫДНО! и у нас — ВОРЫ НЕ ЖИВУТ! Мы их — выселяем из дома.

Barban
0
Barban, 14 Мая , url

Вы просто подумайте.

Многие из нас десятилетиями уже живут — работают и отдыхат — в цифровом мире. Очень многое вещи — да их большинство — в этом мире мы воспринимаем на уровне организации as is — как нас и  приучили. Мы уже привыкли к хроническому бардаку на наших ПК и в наших инфраструктурах. Мы уже привыкли к тому, что ничего нормально не работает, и никто  толком не разбирается в сколь-либо широких вещах.

И вот государства в рамках вечнй своей гибридной войны друг с другом не ограничились тем, что загадили наше сетевое общение своими наемными пиар-ботами, этой мразотой, от которой и на Н2 плюнуть некуда, но они полезли в сферу кибер-террора и напридумывали массу мудреных кибер-ключей к любым лоховским по большому счету замкам и замочках, висящим на нашах рабочих станциях. И они стали на этих ПК как дома.
И вот эта срань расселлояется по нашим вечно недоделанным операционным систмемам и шифрует наши файлы в которых весь наш труд и капитал за многие десятилетия.
Уплатите-ка друзья, оброк теневому миру за то, что вы вообще хотите быть! Да-да: в битках. В этом цифровом золоте мафиакратии.

Бис! Грабь награбленное! 

И миллионы сетевых лохов и лошиц, склонив покорно выю, заплатят один раз. второй и вообще, сколько понадобится.
Так наконец они, приватизировав наши земли и заводы, приватизирует теперь и нас с вами, и мы поймем, что рабовладение никогда никуда не исчезало.

Вот к чему приводит конформизм и принятие всего as is как базовый жизненный рефлекс.

Barban
0
Barban, 14 Мая , url

И вот к чему приводит, когда мы снисходитльено понимаем и принимаем  гибридные — т.е. террористические — методы работы наших государств. Ведь им надо бороться за  наше место под солнцем и любыми средствами. Надо будет бороться Освенцимом с Хиросимой —  и это примемем.

manson
0
manson, 14 Мая , url

Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон

 Забыли упоммянуть еще вариант — перейти на линукс или мак. Вот действительно, три года уже сижу на линуксе, никаких антивирусов, сильно просаживающих производительность компа, никаких вирусов… Так, с ленцой глянул на новость, и продолжил заниматься своими делами. Самая главная причина перехода на линкс — надоело делиться ресурсами с антивирусами. 

 

Десятка, кстати, мне нравится. Немного работал под ней по необходимости, и планшет тоже под десяткой (правда почти не пользуюсь)

zman
0
zman, 14 Мая , url

Под линукс дыр не меньше, а если все перейдут на него то и вирусы начнут писать в таком же количестве как и для винды.

manson
+1
manson, 15 Мая , url

чем ваше высказывание опровергает мое?

А насчет все перейдут, и вирусы попрут… Вы не забывайте, что код линукса открыт и любой спец может найти бекдор специально оставленный и быстро прикрыть. ПРичем комфортно ковырять исходники. Ковырять же бинарный код винды то еще занятие. Да и поправят или не — вопрос, особенно если спецом оставили дырку. В линуксе такого нет.

dbond
+2
dbond, 15 Мая , url

Ты под Линуксом можешь жить с целым зоопарком и ничего  не знать. Дыр и уязвимостей там полно. Раньше принципиально не пользовался сторонним хостингом и почтой, все на своем серваке старался делать. А потом понял, что линуксы и фряха в плане безопасности тоже как решето, следить постоянно нужно обновляться, в ручную допиливать, собирать пакеты. Пусть уж лучше этим специалисты занимаются. Сейчас и корпоративная почта на публичных серверах и хостинг на сторонний. А в качестве десктопа — только винда, к сожалению линухи только для серфа по интеренету подходят. Мне повезло — купил проф. восьмерку за 500 руб. А тперь обновился до десятки. И ее пришлось допилить на предмет передачи пользовательских данных (и все равно до конца не уверен, все ли дырки закрыты). Линукс не вариант, это только для гиков. На поиграться.

manson
+1
manson, 15 Мая , url

Ну-ну. Не буду спорить, оставайтесь при своем убеждении. Если линукс не вариант, то почему страдают в основном виндусятники? Как-то не бьется у вас. Да и сам я не последний нуб в этом деле, так что свой собственный опыт есть. По винде имел очень интересный опыт — новый сервер (кажется 2003, давно было), нулевая инсталляция, просто воткнул шнурок в инет без файрвола и антивируса. И ничего не делал. Через 10 минут винда встала. Потом прогнал антивирусом диск — около 10 разных разновидностей животных подселилось. Проделал тот же фокус с линуксом при тех же условиях — никаких последствий (собственно во избежание вашего «можешь и не знать», тут мониторил трафик). Ну, а вы продолжайте верить в мощь антивирусов и постоянно отбрасывайте мысль — успели они внести противоядие в базы по только что появившемуся вирусу или вы его уже поймали. 

dbond
+1
dbond, 15 Мая , url

Не верю! У меня в гараже до сих пор жив ноут на Пентиум3, читаю на нем техноты и прочие доки для машины. Так вот этот ноут с XP и 40 ГБ HDD — места на диске хватает только для операционки, даже все обновления не могу поставить, места нет. Он с момента приобретения в 2006 году ниразу не видел антивируса, юзали его мои дети в основном для серфинга и ниразу не поймали никакую заразу! Интернет через мегафоновский свисток. Гоняю его периодичеки CureIt`ом и ниразу ничего не нашел.  Что я делаю не так?

PS: в антивирусы я не верю, а верю в здравый смысл. Любой троян можно прогнать через свежий криптор и никакой каспер, и нортон с дрвебом не увидят в нем опасное содержимое.

manson
-1
manson, 15 Мая , url

Не верьте, кто вам мешает? Уверен, что вы и на очищающем костре будете кричать «не верю!»

 

Токма вот отчегой же полмира виндусятников сейчас страдает, а я нет?

dbond
0
dbond, 15 Мая , url

Страдают потому, что идиты. Был бы у них линух, страдали бы не меньше.

manson
0
manson, 15 Мая , url

ну я под линухом и не страдаю. или вы мне такой комплимент делаете, что, мол, я не идиот? ну, спасибо, чо...

Marlan
0
Marlan, 16 Мая , url

Trojan.Win64.EquationDrug.gen

 У меня Win32 ))))

Marlan
0
Marlan, 16 Мая , url

Интересно… Сколько времени уходить на чтение-запись обычного 2-х террабайтника на 5400… наверное юзер раньше заметит что что-то не то, чем диск будет полностью зашифрован.

dbond
+1
dbond, 16 Мая , url

1.Шифруются не все файлы, а только выбранные расширения. 

2.Террабайтник как правило не забит под завязку, если это рабочий комп с документами.

3. Ну и на самом деле долго шифруется. У меня в офисе пару лет назад схватили криптор в письме от котрагента. Этот гад за половину рабочего дня в обменнике на локальном сервере успел зашифровать примерно 1/5 доступных данных. А может и меньше, я не оценивал. Папки в корне диска перебирались тупо по алфавиту в первую очередь пострадали с названиями начинающимися на «А» и «Б». Вторых было много, поэтому 1/5.

Кстати последний червь шифрует в т.ч. файлы с архивными расширениями. Поэтому совет — делайте свои, оригинальные расширения архивным копиям. А не тупо — .zip .rar и др. В случае если вы храните их не несъемных носителях. В любом случае крипторы будут шифровать по маскам расширений, т.к. на шифрование всех файлов потребуется много времени, а кроме того можно угробить систему, а это уже совсем другой случай.

Marlan
0
Marlan, 16 Мая , url

а кроме того можно угробить систему, а это уже совсем другой случай

Так он не умеет расшифровывать на лету? Я думал он пока работает, он и шифрует, и дешифрует, чтоб пользователь не замечал что происходит что-то не то, а потом стирает ключ шифрования.



Войдите или станьте участником, чтобы комментировать