Bfsoft.ru

Программы, сервисы, полезные советы о компьютере и интернете
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Вирус Wanna Cry – как распространяется, лечение, как защититься

Как защититься от вируса-шифровальщика Wanna Cry

Wanna Cry (WCry, WanaCrypt0r, Trojan-Ransom.Win32.Wanna.b и т.д.) – вирус-вымогатель, шифрующий файлы и распространяющийся по сетям, к которым компьютер подключен. Шифрованию подвергаются офисные файлы MS Excel, Word, PowerPoint, Open/Libre Office, фотографии, музыкальные и видео файлы, архивы, файлы баз данных и так далее.

За расшифровку злоумышленники требуют от 200 до 600 долларов. Расшифровать файлы, зашифрованные вирусом Wanna Cry, не получится, если после шифровки компьютер был выключен. Даже заплатив авторам WCry, файлы не расшифруются. Можно спасти хотя бы часть информации, если обратиться к специалистам по восстановлению данных, чтобы извлекли удалённые данные. Если вы опытный пользователь ПК, можете воспользоваться утилитами Wannakey (Windows XP, 2003, Vista, 2008, 7) или Wannawiki (32-битные XP, 2003, 7), которые пробуют найти ключ расшифровки. Метод сработает только в том случае, если компьютер после шифрования файлов ещё не перезагружался и процесс вируса wcry.exe не завершался. После перезагрузки/закрытия вируса ключи шифрования улетают в тартарары и файлы будут потеряны навечно.

Если вам повезло и ваш компьютер пока не заражён, не расслабляйтесь: даже при работающем антивирусе вредонос может спокойно проникнуть на компьютер, используя уязвимость в одном из компонентов Windows.

Как защититься от Wanna Cry

1. Убедитесь, что ваша Windows обновлена и обновления устанавливаются автоматически. Это не защитит ваш компьютер от вируса, если сами запустите заражённый файл, но по крайней мере вирус не перейдёт с других компьютеров из локальной сети и Интернета.

Большинство компьютерных экспертов (и не экспертов) рекомендуют поставить обновление безопасности MS17-010. Патч исправляет ошибку в компоненте SMB, отвечающую за работу общих сетевых папок. Wanna Cry быстро распространился только потому, что непропатченных компьютеров очень много. Установка MS17-010 блокирует размножение первых версий вируса, но что будет дальше – неизвестно. Лучше закрыть все уязвимости и настроить Центр обновлений на автоматическую установку новых патчей, чтобы Windows вовремя их получала.

Windows Vista, 7: Пуск – Панель управления – Центр управления Windows. Должна быть надпись “Windows не требуется обновление”, “Вы настроили автоматическую установку обновлений” или “Важные обновления отсутствуют”:

Вирус-шифровальщик Wana Decrypt0r 2

Windows 8, 8.1: На экране Пуск введите “Центр обновления”, появится ярлык Центра обновлений. Надписи в Центре аналогичные, разобраться нетрудно.

Windows 10: Пуск – Параметры – Обновление и безопасность:

Центр обновлений Windows 10

Центр обновлений Windows 10

Для устаревших операционных систем (Windows XP, Windows Server 2003 и т.д.) есть страничка со ссылками на патч MS17-010: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Если по какой-то причине Центр обновлений не работает, можно нажать “Настройка параметров” в левой части окна Центра обновлений (только Vista/7/8) и включить автоматическое скачивание и установку, либо запустить средство устранения неполадок Центра обновления Windows: https://support.microsoft.com/ru-ru/help/971058/how-do-i-reset-windows-update-components

Внимание: если у вас нелицензионная Windows 7, после установки обновлений (в том числе MS17-010) есть шанс, что операционная система перестанет загружаться, показывая синий экран смерти при включении ПК. Это цена вмешательства в работу системы активаторами. Я вас предупредил!

2. Убедитесь, что на всех компьютерах вашей сети:

  • Установлены антивирусы со свежими базами. Какие – не особенно важно, хотя бы бесплатный Comodo или встроенный в Windows Защитник.
  • Все компьютеры обновляются вовремя. Упомянутое выше обновление – решение только на ближайшие дни мая 2017 года. Сегодня WCry лезет через “дырку” в компоненте SMBv1, завтра полезет через другую, поэтому на системах должны быть закрыты все известные уязвимости, не только MS17-010!
  • Используются браузеры самых свежих версий. Уязвимости старых версий могут эксплуатироваться злоумышленниками для заражения вирусами, в том числе Wanna Cry.

Надеюсь, благодаря советам в моём блоге вы сможете самостоятельно защитить свой домашний компьютер. На работе/в учебном заведении, надеюсь, есть адекватный админ, который сам знает, что делать, но уточнить у него пункты, озвученные выше, всё же стоит. Вдруг он был оторван от реальности прошедшие выходные.

А что случилось?

Случались и более масштабные заражения. Особенность эпидемии WannaCry в способе заражения. Используется уязвимость в системе, которую не закрыли сами пользователи, по каким-то причинам отключившие обновление системы.

Wanna Cry (другие названия – WCry и WanaCrypt0r) в системе особо не скрывается, ставит себя в автозагрузку, нагружает процессор и жёсткий диск. Теоретически, антивирусы и операционная система должны были на корню пресечь его действия, но двери открыли сами пользователи. Шифровальщик пришёл на всё готовенькое, быстро распространившись по компьютерам, владельцы (или админы) которых отключили автоматическое обновление, сведя защиту в ноль.

Для заражения не нужно кликать мышкой и открывать подозрительные файлы. Достаточно доступа в сеть, открытого порта 445 и непропатченной Windows. Антивирусы, кстати, в подобных ситуациях не обеспечивают стопроцентную защиту, потому что они не так хороши, как себя позиционируют, свежий вирус просто не увидят.

Ошибки СМИ

Не удивлюсь, если антивирусные эксперты волосы рвали от злости, когда увидели эти заголовки:

Вирус-шифровальщик Wana Decrypt0r

Скриншот Яндекс.Новостей по запросу Wanna Cry

Как можно было придумать такие вводящие в заблуждение заголовки? Утверждение о том, что распространение вируса остановлено, способно вызвать ложное ощущение безопасности. И это не смотря на то, что в текстах есть уточнение: остановка не полная, могут появиться новые версии WCry без проверки. Значит, авторы новостей что-то понимают в ситуации, тем не менее употребляя слово “остановил”. А много ли людей читают новости целиком?

Читайте так же:
Что такое Wi-Fi Analyzer

Действительно, первая версия вируса при запуске пыталась подключиться к несуществующему сайту. Если сайт оказывался доступен, вирус прекращал свою работу. Британский программист с ником @MalvareTechBlog и его коллега Дариан Хасс быстренько зарегистрировали запрашиваемый домен и таким образом сумели обезвредить первую версию Wanna Cry. Злоумышленникам ничего не стоило изменить проверяемый адрес или вовсе отключить проверку, что и случилось буквально в течении суток. Сначала вышла версия с изменённым адресом для проверки, которая была остановлена точно так же – регистрацией домена, затем эксперты обнаружили версию Wanna Decrypt0r 2.0 без проверки домена с, к счастью, неработающим шифрованием. Возможно, это была тестовая версия, но что будет дальше?

Что будет дальше

Пока что пользователям везло: первые две версии вируса удалось “как бы” обезвредить, третья оказалась неработоспособной. Но вечно так продолжаться не будет. Очевидно, авторы учтут ошибки и изменят тактику, переписав компоненты вируса. Разные источники в Интернете сообщают, что известны от 4 до 8 разновидностей WCry, завтра может стать больше.

1. Удостовериться, что автоматическое обновление Windows и антивирус работают.

2. Делать почаще резервные копии фотографий, документов и других важных данных.

3. Не скачивать из Интернета всё подряд, не открывать документы из электронной почты с незнакомых адресов и/или подозрительным текстом.

4. Пользоваться только лицензионным программным обеспечением. В довесок к пиратским версиям программ и игр могут идти вирусы.

Даже если все пользователи обновят свои компьютеры и эпидемия WannaCry остановится, расслабляться не стоит. Злоумышленники ведь никуда не денутся! Используют другую найденную уязвимость и пойдёт очередная волна заражений.

Кое-что ещё

Материалы на тему с дополнительными советами и анализом ситуации:

  1. “Программа-шантажист WannaCrypt атакует необновлённые системы”: https://habrahabr.ru/company/microsoft/blog/328910/
  2. “Анализ шифровальщика Wana Decrypt0r 2.0”: https://habrahabr.ru/company/pentestit/blog/328606/
  3. “WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению”: https://habrahabr.ru/company/cisco/blog/328598/
  4. “WannaCry vs. Adylkuzz: кто кого опередил?”: https://habrahabr.ru/post/328932/
  5. “Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам”: https://habrahabr.ru/company/panda/blog/328882/

Настройка Arch Linux для хостинга сайтов с оптимизацией PageSpeed
Настройка геймпада на ПК
Webinoly: управляем VPS с Ubuntu Server 18.04

Как защитить себя от вредоносного ПО: Wannacry

По сети Интернет гуляет много вирусов и опасных программ. Никогда не знаешь, где можно их подхватить и перенести на свой компьютер. Много шума в последние годы наделала вредоносная программа Wannacry, о которой мы подробно поговорим в этой статье и расскажем, как защититься от вируса шифровальщика. Если вы заразили компьютер вирусом, не стоит паниковать, ибо рискуете еще больше усугубить ситуацию. Когда мы имеем дело с Wannacry, важно быть предельно осторожным и делать все по порядку – только правильная wannacry-защита убережет от необратимых последствий.

Как защититься от WannaCry

Wannacry – что это за вирус?

С английского языка название вируса дословно переводится как «хочется плакать». Известны и другие варианты названия этой «пакости» – WannaCrypt, WCry, WanaCrypt0r, Wanna Decryptor.

Итак, это вредоносная компьютерная программа, или лучше назвать ее сетевым червем. Ориентирована на вымогательство денег, поражает только компьютеры с операционной системой Microsoft Windows, поэтому нужна от вируса wanna cry-защита.

Когда устройство заражается данным вирусом, код начинает шифровать все хранящиеся на нем пользовательские файлы и далее выдает сообщение о требовании заплатить выкуп в криптовалюте. Если в течение 7 дней с момента заражения пользователь не платит деньги, он никогда не сможет расшифровать свои файлы.

Мир узнал о WannaCry в мае 2017 года, когда первыми атакованными компьютерами оказались устройства на территории Испании, далее уже пошло массовое распространение по другим странам, в том числе путем онлайн атак через фишинговых действий. Наибольшее количество зараженных ПК оказалось на территории Индии, Украины и России.

Суммарно вирус проник в 500 тысяч компьютерных устройств, которые принадлежали не только частным пользователям, но и предприятиям, компаниям, даже государственным организациям в 200 странах нашей планеты.

Из-за этого вируса была заблокирована деятельность множества компаний и учреждений общего пользования – речь идет о больницах, банках, заводах, аэропортах. Например, в госпиталях Великобритании отложили запланированные медицинские процедуры и срочные операции.

Wannacry – что это за вирус?

Известно, что вредоносная программа wannacry была разработана неизвестными хакерами на основе украденных данных у АНБ США. Главный подозреваемый – это хакерская группировка Lazarus Group, которая может имеет отношение к правительству КНДР.

Принцип действия вирусного червя таков, что он сканирует Интернет-узлы и ищет компьютеры с открытым TCP-портом 445, отвечающим за обслуживание протокола SMBv1. Когда такое устройство найдено, WannaCry пытается проэксплуатировать на нем уязвимость EternalBlue. Если действие проходит успешно, тогда устанавливается бэкдор DoublePulsar – именно через него идет загрузка исполняемого кода программы.

Далее червь превращается в наглого вымогателя, поскольку для каждого инфицированного компьютера генерирует пару ключей асимметричного алгоритма RSA-2048.

Далее вирусом сканируется система, чтобы найти пользовательские файлы конкретного типа и зашифровать их по алгоритму AES-128-CBC. Процесс шифрования происходит по принципу матрешки – шифруется каждый внутренний элемент.

Читайте так же:
Как покупать на Amazon правильно

По завершении шифрования на экране ПК пользователя появляется окно с сообщением, чтобы владелец перевел определенную сумму в биткоинах на кошелек злоумышленников. Срок выкупа – 3 дня. Через три дня сумма выкупа удвоится. Через 7 дней, если человек не заплатит, он никогда не сможет расшифровать свои файлы.

Вредоносная программа поддерживает 28 языков и выдает сообщение на том, который установлен на персональном устройстве.

Весной этого же года вышло обновление ms17-010 windows 7, чтобы нейтрализовать угрозу – это была первая wannacry-защита.

Как защититься от вируса-шифровальщика Wannacry

Чтобы никогда не сталкиваться со зловредным вирусом и точно быть уверенным в безопасности работы своей компьютерной техники, выполните следующие действия по wannacry-защите:

Убедитесь, что у вас стоит последнее обновление операционной системы, и все инсталляции обновлений должны происходить автоматически. Конечно, это не дает 100-процентную гарантию защиты от вируса, но зато он точно не попадет к вам из Интернета или локальных ПК. Лучше всего устанавливать обновление безопасности ms17-010, с помощью которого исправляется ошибка в протоколе SMB.

Закройте все уязвимости и настройте Центр обновлений на автоматическую работу:

  • для Windows Vista и Windows 7 зайти в Пуск – Панель управления – Центр управления – убедиться, что есть запись «Windows не требуется обновление», «Вы настроили автоматическую установку обновлений» или «Важные обновления отсутствуют»:

Как защититься от вируса-шифровальщика Wannacry

  • для Windows 8 и Windows 8.1 зайти в Пуск – Центр обновления – аналогично вышеописанному по 7-ой версии;
  • для Windows 10 зайти в Пуск – Параметры – Обновление и безопасность.

Как защититься от вируса-шифровальщика Wannacry

  • Если вы пользуетесь устаревшей операционкой, например, Windows XP или Windows Server 2003, тогда переходите по этой ссылке https://msrc-blog.microsoft.com/2017/05/12/customer-guidance-for-wannacrypt-attacks/ и найдите патч MS17-010. Если Центр обновлений не работает, нажимайте на Настройку параметров и включайте автоматическое скачивание/установку/запуск средства устранения неполадок. Подробно описано здесь https://support.microsoft.com/ru-ru/help/971058/how-do-i-reset-windows-update-components.
  • Если вы пользуетесь нелицензионной Windows и устанавливаете обновление, есть угроза появления синего экрана смерти при последующем включении компьютера. Здесь нужно быть осторожным.

Убедитесь, что все локальные ПК вашей сети оснащены следующими опциями:

  • работает антивирус со свежей базой;
  • обновления происходят вовремя (установлено ms17-010);
  • браузеры последних версий.

Как поставить пароль на компьютер - Установить пароль на Windows и BIOS

Как надежно шифровать данные c помощью TrueСrypt ? Инструкция для начинающих

Как удалить Wannacry

Удалить вирус wannacry можно таким образом:

Как удалить Wannacry

  1. скачать утилиту RKill и запустить ее;
  2. дать программе завершить все выявленные опасные процессы;
  3. остановить/предотвратить любые события, которые провоцируют перезагрузку компьютера (если этого не сделать, то вредоносные процедуры перезапустятся вместе с перезапуском системы);
  4. загрузить антивирусную программу Avira, установить и не выполнять команду «обновить Windows»;
  5. запустить полную проверку системы, ждать результаты;
  6. все вирусы, которые найдет программа, переместить в карантин;
  7. загрузить утилиту Malwarebytes Anti-Malware, запретить wannacry обновление windows 7, внести изменения в настройки, включить проверку руткитов;
  8. выполнить полную проверку операционной системы;
  9. найденные подозрительные объекты переместить в карантин.

Это описан один из вариантов применения утилиты для wannacry-защиты, хотя есть еще один способ – использовать wannacry-дешифратор. Он подходит для действующих и устаревших версий ОС Виндовс.

Принцип работы таков, что он ищет простые числа ключа шифрования, которые сохраняются в компьютере, и восстанавливает доступ. Но здесь важно оперативно среагировать после заражения ПК вирусом. Чем быстрее запустить дешифратор, тем более высока вероятность того, что можно очистить файлы от угрозы. И ни в коем случае нельзя перезапускать систему.

Как удалить Wannacry

Дешифровка – это не самый легкий способ спасения от сетевого червя, поэтому лучше использовать утилиты очистки.

Вывод

Первые две версии вируса Wannacry с момента его появления удалось нейтрализовать, а третья вообще оказалась нерабочей. Но нельзя надеяться на то, что это конец. В сети можно найти информацию о существовании до 8-ми разновидностей червя, поэтому стоит позаботиться о безопасности своего компьютера.

Всегда используйте автоматическое обновление системы и антивирус (обязательно нужно обновление ms17-010). Можете сделать резервные копии всех ценных файлов.

Не спешите скачивать из сети все подряд с первых ссылок, и уж тем более не переходите в электронных письмах на сомнительные ссылки и сайты.

Рекомендуется использовать только лицензионное программное обеспечение, чтобы всегда получать обновления и не проводить от wannacry лечение.

WannaCry/WannaCrypt: личное дело

Аватар пользователя Антон Макаров

В статье подробно рассмотрен феномен вируса-шифровальщика WannaCry/WannaCrypt, эпидемия заражения которым стремительно началась 12 мая 2017 года. Описаны основные функции этого вредоноса, а также механизмы защиты от подобного рода атак в будущем.

Введение

12 мая 2017 г. под конец дня, когда все администраторы и специалисты по безопасности засобирались по домам и дачам, мир облетела новость о начале беспрецедентной атаки WannaCry.

WannaCry (WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяется масштабом распространения и используемыми техниками.

Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут, что совершена хакерская атака на крупнейшие холдинги, в том числе и на «Сбербанк».

Читайте так же:
Как подключить видеорегистратор к интернету через роутер

В Интернете появилась инфографика, демонстрирующая в динамике распространение вируса по миру. Начальный этап атаки WannaCry приведен ниже на статичном изображении.

Рисунок 1. Распространение WannaCry по земному шару

Распространение WannaCry по земному шару

Вирус-вымогатель WannaCry, возможно, написан выходцами из Южного Китая. Сотрудники компании Flashpoint решили изучить не исходные коды и поведение вредоноса, а провести лингвистический анализ сообщения с требованием выкупа.

Исследователи компании Flashpoint пишут, что разработчики или WannaCry определенно хорошо знают китайский язык. На это обстоятельство указывает тот факт, что вымогательское сообщение представлено в двух вариантах: один использует традиционные иероглифы, а другой упрощенные. Кроме того, вымогательское послание на китайском явно отличается от английского шаблона, и его писал человек, хорошо знакомый с тонкостями языка.

Корни WannaCry

Случайно или намеренно у американских хакеров, то ли из АНБ, то ли из ЦРУ, утекло «очень опасное кибероружие» (в чем они, как обычно, не признаются). Об этом стало известно, когда человек из хакерской группировки The Shadow Brokers выложил это «оружие» в интернет. Среди них был эксплойт EternalBlue.

В автоматическом режиме это кибероружие позволяет захватить управление любым компьютером Windows, используя его стандартный сервис доступа к файловой системе по сети — протокол SMB.

Архив, опубликованный кибергруппировкой The Shadow Brokers, содержит в общей сложности 23 инструмента, в том числе EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig, Fuzzbunch.

Последний представляет собой модульное ПО (разработанный АНБ эквивалент Metasploit), позволяющее за несколько минут взломать целевую систему и установить бэкдор для удаленного управления компьютером.

В компании Microsoft провели анализ эксплоитов и заявили, что уязвимости в протоколе SMB версии c 1-3, эксплуатируемые инструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar и EternalSynergy, уже были исправлены в предыдущие годы, некоторые устранены в нынешнем году (CVE-2017-0146 и CVE-2017-0147).

Патч для уязвимости в контроллерах домена, работающих под управлением Windows 2000, 2003, 2008 и 2008 R2, эксплуатируемой инструментом EsikmoRoll, был выпущен еще три года назад, в 2014 году.

Как отметили в компании, инструменты EnglishmanDentist, EsteemAudit и ExplodingCan не работают на поддерживаемых версиях Windows, поэтому патчи для них выпускаться не будут. Уязвимость, использованная шифровальщиком WannaCry, имеется только в Windows — иные операционные системы (в том числе Linux, macOS, Android) не пострадали. Но расслабляться не стоит — в этих ОС имеются свои уязвимости.

Нужно отметить, что для ряда устаревших систем (Windows XP, Windows Server 2003, Windows 8), снятых с поддержки, Microsoft выпустила экстренные обновления.

Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю.

Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении. Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?» Действительно почему?

Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код. Не нужно получать никакого электронного письма — если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов).

Анализ WannaCry

Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.

Для шифрования используется американский алгоритм AЕS с 128-битным ключом.

В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.

В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.

Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!

Признаки заражения WannaCry

Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя — Microsoft Security Center (2.0) Service).

Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки.

После запуска пытается переименовать файл C:WINDOWStasksche.exe в C:WINDOWSqeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:WINDOWStasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети — производит поиск машин в внутренней сети и пытается их заразить.

Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

Читайте так же:
Что делать, если после переустановки Windows 7 не работает интернет?

Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.

Эпидемию WannaCry удалось остановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com: к моменту начала распространения троянца он был свободен якобы из-за оплошности злоумышленников. На самом деле анализ троянца показывает, что он будет работать и распространяться на компьютерах, имеющих доступ к локальной сети, но не имеющих подключения к интернету.

Как и многие другие шифровальщики, новый троянец также удаляет любые теневые копии на компьютере жертвы, чтобы еще сильнее затруднить восстановление данных. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe.

Исследователи отмечают, что троянец имеет модульную архитектуру, что позволит легко его модифицировать или изменить назначение.

Важно отметить, что троянец нацелен не только на российских пользователей — об этом говорит список поддерживаемых языков.

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

Автор шифровальщика неизвестен, написать его мог кто угодно, явных признаков авторства пока не обнаружено, за исключением следующей информации:

< nulldot> 0x1000ef48, 24, BAYEGANSRVadministrator

< nulldot> 0x1000ef7a, 13, Smile465666SA

< nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot> 0x1000f1b4, 12, 00000000.eky

< nulldot> 0x1000f270, 12, 00000000.pky

< nulldot> 0x1000f2a4, 12, 00000000.res

Защита от WannaCrypt и других шифровальщиков

Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо:

  1. Отключить неиспользуемые сервисы, включая SMB v1.
  • Выключить SMBv1 возможно используя PowerShell:
    Set-SmbServerConfiguration -EnableSMB1Protocol $false
  • Через реестр:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters, параметр SMB1 типа DWORD = 0
  • Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2-сервис):
    sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
    sc.exe config mrxsmb10 start=disabled
  1. Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).

Рисунок 2. Пример блокировки 445 порта с помощью брандмауэра Windows

Пример блокировки 445 порта с помощью брандмауэра Windows

Рисунок 3. Пример блокировки 445 порта с помощью брандмауэра Windows

Пример блокировки 445 порта с помощью брандмауэра Windows

  1. Ограничить с помощью антивируса или брандмауэра доступ приложений в интернет.

Рисунок 4. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Рисунок 5. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

  1. После отключения уязвимых сервисов установить последние обновления (как минимум, MicrosoftSecurityBulletinMS17-010 или патчдляWindows XP,Windows Server2003R2).
  2. Не использовать снятые Microsoft с поддержки старые версии операционной системы Windows, особенно Windows XP.
  3. Контролировать и блокировать трафик к узлам сети Tor, которые часто используются шифровальщиками и иными вредоносными программами.
  4. Использовать резервное копирование данных, как на внешние, так и на удаленные хранилища (Тест систем резервного копирования и восстановления данных).

Рисунок 6. Резервное копирование с помощью штатных средств Windows

Резервное копирование с помощью штатных средств Windows

Для защиты от шифровальщиков (включая WannaCry) необходимо не допускать ошибок в организации антивирусной защиты

  1. Не исключать из проверки используемые приложения и диски.
  2. Вовремя продлевать лицензию и обновлять антивирус.
  3. Использовать проактивную защиту, антиспам и контроль программ.
  4. Ограничить доступ к потенциально опасным веб-сайтам, используя веб-фильтрацию.
  5. Запретить отключение антивируса.

Выводы

Эпидемия закончена? Вряд ли.

Хакерская группа The Shadow Brokers, которая взяла на себя ответственность за похищение шпионских программ Агентства национальной безопасности (АНБ) США, во вторник 16 мая объявила о запуске платного сервиса The Shadow Brokers Data Dump of the Month.

Данный сервис ежемесячно будет предоставлять подписчикам новые эксплойты для ранее неизвестных уязвимостей в браузерах, маршрутизаторах, мобильных устройствах, Windows 10, а также данные, похищенные из банковской системы SWIFT, и информацию, связанную с ядерными программами России, Китая, Ирана и КНДР.

Стоит отметить, что в настоящее появляются новые модификации WannaCry, а используемые операционные системы вряд ли в скором времени обновят.

Эпидемия шифровальщика WannaCry: что произошло и как защититься

Чем так опасен самостоятельно распространяющийся шифровальщик WannaCry и как избежать заражения.

(Пост обновлен 17 мая)

12 мая началась эпидемия трояна-шифровальщика WannaCry — похоже, происходит это по всему миру. Эпидемией мы это называем потому, что очень уж велики масштабы. За один только день мы насчитали более 45 000 случаев атаки, но на самом деле их наверняка намного больше.

Что произошло?

О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более 300 000 компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.

Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.

Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

Читайте так же:
Как заказать на Shein

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

WannaCry: эксплойт и способ распространения

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

WannaCry: шифровальщик

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Уберполезный пост! Что такое трояны-вымогатели и шифровальщики, откуда они, чем грозят и как с ними бороться: https://t.co/mQZfXSEuiz pic.twitter.com/RlhAs9bdSx

— Kaspersky (@Kaspersky_ru) October 20, 2016

Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

Как регистрация домена приостановила заражение и почему это еще не все

Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.

К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

Способы защиты от WannaCry

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.

Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:

голоса
Рейтинг статьи
Ссылка на основную публикацию