Сайт о телевидении

Антон Бочкарев , консультант по информационной безопасности «Инфосистемы Джет».

Если кратко, то WannaCry - классический шифровальщик совмещенный с червем. То есть основной функционал вируса - шифрование файлов на зараженных машинах, а основной метод распространения - использование уязвимости MS 17-010.

Каждый экземпляр вируса сканирует доступные ему сети на предмет хостов с открытым 445 портом и проверяет уязвимы ли они к MS 17-010. Если да, то происходит заражение шифровальщиком и распространение по этому же принципу дальше. Параллельно со сканированием вирус пытается применить эксплойт к случайным IP-адресам.

Модуль шифрования ищет преимущественно следующие типы файлов:

• Файлы электронной почты
• Файлы баз данных
• Ключи шифрования
• Сертификаты
• Архивы
• Документы MS Office
• Виртуальные машины
• Исходные коды ПО

Для сокрытия своей деятельности и командных серверов вирус использует Tor.

Что за уязвимость MS 17-010

Уязвимость существует в реализации протокола SMBv1 для MS Windows и позволяет удаленно выполнить произвольный код на уязвимой машине. Уязвимость была устранена Microsoft в марте и был выпущен патч. Когда эпидемия набрала обороты, Microsoft был выпущен патч на более неподдерживаемые версии ОС Windows(XP, 2003).

Что за эксплойт:

Эксплойт был разработан предположительно для АНБ США и был выложен в открытый доступ в результате утечки информации 14 апреля, получив название EternalBlue.

Масштабы эпидемии и ее причины:

Вирус уже поразил сотни тысяч компьютеров по всему миру во время первой волны заражения, включая корпоративные сети МВД, РЖД и «Мегафона», международного аэропорта во Франкфурте. Также об атаках на свои системы сообщили Сбербанк и Минздрав, были зашифрованы данные, хранящиеся в больницах в Великобритании, однако многими организациями факт заражения скрывается, поэтому истинный масштаб сложно оценить.

Основная причина столь массовой эпидемии - несвоевременная установка обновлений безопасности и использование устаревших версий ОС.

Основные способы защиты:

1. Для гарантированного предотвращения заражения рекомендуется обновить операционную систему. Для всех версий ОС Windows, включая устаревшие версии были выпущены специальные патчи, доступные по ссылке (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)

2. Также для гарантированного предотвращения заражения на системах, на которых невозможна установка обновлений, возможно отключить поддержку протокола SMBv1, для этого необходимо выполнить следующую команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Однако это может помешать работе службе Active Directory.

3. Для уменьшения риска заражения вирусом, рекомендуется установить Антивирусное ПО, или сконфигурировать межсетевой экран для блокировки 445 порта в сеть Интернет.

4. Для защиты от подобных атак в будущем настоятельно рекомендуется регулярное обновление ПО, а также регулярное резервное копирование на защищенные носители или сервера.

Мы будем следить, за развитием ситуации.

Вчера, 12 мая, компьютеры под управлением операционных систем Windows по всему миру подверглись самой масштабной атаке за последнее время. Речь идёт о , относящемуся к классу Ransomware, то есть вредоносным программам-вымогателям, шифрующим пользовательские файлы и требующим выкуп за восстановление доступа к ним. В данном случае речь идёт о суммах от $300 до $600, которые жертва должна перечислить на определённый кошелёк в биткойнах. Размер выкупа зависит от времени, прошедшего с момента заражения — через определённый интервал она повышается.

По данным « Лаборатории Касперского» , наибольшее распространение WannaCry получил в России

Чтобы не пополнить ряды тех, чей компьютер оказался заражён, необходимо понимать, как зловред проникает в систему. По данным «Лаборатории Касперского», атака происходит с использованием уязвимости в протоколе SMB, позволяющей удалённо запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.

Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой ещё предстоит оценить. Правда, апдейт рассчитан на те версии Windows, поддержка которых ещё не прекратилась. Но и для устаревших ОС, таких как Windows XP, Windows 8 и Windows Server 2003, Microsoft также выпустила патчи. Загрузить их можно с этой страницы .

Также рекомендуется быть бдительным в отношении рассылок, которые приходят по электронной почте и другим каналам, пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен. На текущий момент известно восемь наименований вируса:

• Trojan-Ransom.Win32.Gen.djd;
• Trojan-Ransom.Win32.Scatter.tr;
• Trojan-Ransom.Win32.Wanna.b;
• Trojan-Ransom.Win32.Wanna.c;
• Trojan-Ransom.Win32.Wanna.d;
• Trojan-Ransom.Win32.Wanna.f;
• Trojan-Ransom.Win32.Zapchast.i;
• PDM:Trojan.Win32.Generic.

Вирус « владеет» многими языками

Нельзя забывать и про регулярное резервное копирование важных данных. При этом следует учесть, что мишенью WannaCry являются следующие категории файлов:

• наиболее распространённые офисные документы (.ppt, .doc, .docx, .xlsx, .sxi).
• некоторые менее популярные типы документов (.sxw, .odt, .hwp).
• архивы и медиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• файлы электронной почты (.eml, .msg, .ost, .pst, .edb).
• базы данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• файлы проектов и исходные коды (.php, .java, .cpp, .pas, .asm).
• ключи шифрования и сертификаты (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• графические форматы (.vsd, .odg, .raw, .nef, .svg, .psd).
• файлы виртуальных машин (.vmx, .vmdk, .vdi).

И в заключение: если заражения избежать всё же не удалось, платить злоумышленникам всё равно нельзя. Во-первых, даже в случае перечисления денег на указанный Bitcoin-кошелёк никто не гарантирует дешифрование файлов. Во-вторых, нельзя быть уверенным в том, что атака на этот же компьютер не повторится, и при этом киберпреступники не потребуют большую сумму выкупа. И, наконец, в-третьих, оплата «услуги» разблокировки будет поощрением тех, кто ведёт преступную деятельность в Сети и служить им стимулом для проведения новых атак.

Как вы знаете, сейчас идет массовая атака на компьютеры по всему миру. Если вы работаете на Windows - вы находитесь в потенциальной группе риска. Но не паникуйте и не пытайтесь перезагрузить компьютер! Лучше сохраните важные данные на внешний диск или в облако, пока все работает. И идите отдыхать. Если потом обнаружится, что ваш компьютер все-таки заражен, вы просто переустановите систему и восстановите данные из бэкапа.

В этом посте я соберу советы от специалистов о том, как защититься от вируса Wana Decrypt0r. Пост будет обновляться.

Рекомендации по лечению:

Убедитесь, что включили решения безопасности.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы».
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM: Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.

Атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.

«Все решения "Лаборатории Касперского" детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Решения Лаборатории Касперского также детектируют программы-шифровальщики, которые использовались в этой атаке следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (для детектирования данного зловреда компонент "Мониторинг Системы" должен быть включен)», - отметил представитель компании.

По его словам, для снижения рисков заражения компаниям рекомендуется установить специальный патч от Microsoft, убедиться в том, что включены защитные решения на всех узлах сети, а также запустить сканирование критических областей в защитном решении.

«После детектирования MEM:Trojan.Win64.EquationDrug.gen необходимо произвести перезагрузку системы; в дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях», - подчеркнул представитель «Лаборатории Касперского».

Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь.

Это вирус-шифровальщик. Такие вирусы достаточно популярны, и хакеры прибегают к ним не впервые. Используя криптографию шифрования, вирус зашифровывает файлы на зараженном компьютере. На каждом устройстве он использует уникальный секретный ключ, который сам генерирует. Другими словами, даже расшифровав его на одном компьютере, вы будете заново расшифровывать его на другом.

Как с этим бороться?

1. Делайте резервные копии. Если у вас есть резервная копия, это вирус вам не страшен, даже если он к вам попал.
2. Всегда будьте в курсе новостей информационной безопасности. Необходимо следить за такими информационными блогами, как Security Lab, Dark Reading и другими.
3. Этот вирус использует конкретные уязвимости, которые сейчас описаны в Интернете, нужно проверить свои сети на наличие этих уязвимостей. Не открывать файл от людей, которых вы не знаете. В основном письма шифровальщиков присылаются под видом писем от бухгалтерий, либо неоплаченных штрафов от ГИБДД.

Май 2017 года войдет в анналы истории, как черный день для службы информационной безопасности. В этот день мир узнал, что безопасный виртуальный мир может быть хрупким и уязвимым. Вирус вымогатель под названием Wanna decryptor или wannacry захватил более 150 тысяч компьютеров по всему миру. Случаи заражения зафиксированы более чем в ста странах. Конечно, глобальное заражение было остановлено, но ущерб исчисляется миллионами. Волны распространения вируса-вымогателя все еще будоражат некоторые отдельные машины, но эту чуму пока сумели сдержать и остановить.

WannaCry – что это такое и как от него защититься

Wanna decryptor относится к группе вирусов, которые шифруют данные на компьютере и вымогают деньги у владельца. Как правило, сумма выкупа своих данных колеблется в диапазоне от 300 до 600 долларов. За сутки вирус он сумел заразить муниципальную сеть больниц в Великобритании, крупную телевизионную сеть в Европе и даже часть компьютеров МВД России. Остановили его благодаря счастливому стечению обстоятельств зарегистрировав проверочный домен, который был вшит в код вируса его создателями, для ручной остановки распространения.

Вирус заражает компьютер также, как и в большинстве других случаях. Рассылка писем, социальные профили и просто серфинг по сути – эти способы дают вирусу возможность проникнуть в вашу систему и зашифровать все ваши данные, однако может проникнуть и без ваших явных действий через уязвимость системы и открытый порт.

Пролезает WannaCry через 445 порт, используя уязвимость в операционной системе Windows , которая недавно была закрыта выпущенными обновлениями. Так что если данный порт у вас закрыт или вы на днях обновляли Windows с оф. сайта, то можете не переживай о заражении.

Вирус работает по следующей схеме - вместо данных в ваших файлах, вы получаете непонятные закорючки на марсианском языке, а вот чтобы снова получить нормальный компьютер, придется заплатить злоумышленникам. Те, кто спустил эту чуму на компьютеры простых людей, пользуются оплатой биткоинами, так что вычислить владельцев злобного трояна не удастся. Если не платите в течение суток, то сумма выкупа возрастает.

Новая версия трояна переводится как «Хочу плакать» и потеря данных может довести некоторых пользователей до слез. Так что лучше принимать профилактические меры и не допускать заражения.

Шифровальщик использует уязвимость в системе Windows, которую компания Microsot уже устранила. Нужно просто обновить операционную систему до протокола безопасности MS17-010 от 14 марта 2017 года.

Кстати, обновиться могут только те пользователи, у которых стоит лицензированная операционная система . Если же вы к таким не относитесь, то просто скачайте пакет обновлений и установите его вручную. Только скачивать нужно с проверенных ресурсов, чтобы не подхватить заразу вместо профилактики.

Конечно же, защита может быть самого высокого уровня, но многое зависит и от самого пользователя. Помните, что нельзя открывать подозрительные ссылки, которые приходят к вам по почте или в социальном профиле.

Как вылечить вирус Wanna decryptor

Те, чей компьютер уже заразился, должны приготовиться к долгому процессу лечения.

Вирус запускается на компьютере пользователя и создает несколько программ. Одна из них начинает шифровать данные, другая обеспечивает связь с вымогателями. На рабочем мониторе появляется надпись, где вам объясняют, что вы стали жертвой вируса и предлагают побыстрее перечислить деньги. При этом, вы не можете открыть ни один файл, а расширения состоят из непонятных букв.

Первое действие, которое пытается предпринять пользователь – это восстановление данных с помощью встроенных в Windows служб . Но при запуске команды, либо ничего не произойдет, либо ваши старания пройдут впустую - избавиться от Wanna Decryptor не так просто.