WannaСry: методы атаки, происхождение и лечение.

12 мая весь мир узнал имя WannaСry – именно в этот день программа-вымогатель начала свое массовое победное шествие по Сети. На данный момент от этого вредоноса пострадало более 200 тысяч компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям более чем в 150 странах мира. По словам экспертов, это самая крупная кибер-атака за всю историю компьютерной эры. Так что же это за «зверь» такой, WannaCry, кто его создал и как от него защититься расскажем в этой статье.

WannaCry: взгляд изнутри

WannaCry, он же WannaCrypt, он же WCry, он же WanaCrypt0r 2.0, представляет собой банальный вирус-шифровальщик, который злоумышленники создали с целью вымогать у владельцев пострадавших компьютеров деньги.

Вредоносное ПО поражает только компьютеры с ОС Windows через уязвимость сетевого протокола SMB, так что «под раздачу» попали даже машины с Windows XP/Windows Server 2003 на борту, не говоря уже о тех, что работают под управлением Windows 10/Windows Server 2016.

Что интересно, WannaCry может попасть на компьютер абсолютно самостоятельно, ему для этого не требуются какие-либо действия пользователя: вирус сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Этот порт, что открытые двери, через которые вирус загружается в машину и начинает свое «черное дело» – сканирует систему и выбирает файлы определенного типа, которые шифрует с использованием сильных методов (AES-128 в комбинации с RSA-2048, т.е. файлы шифруются ключом AES-128, который в свою очередь тоже шифруется - ключом RSA-2048).

А далее все как обычно – перед глазами изумленного пользователя появляется окно, в котором сообщается, что данные на его компьютере зашифрованы, и за их расшифровку нужно заплатить сумму в биткоинах (эквивалентную 300 долларам США) в течение 3 дней. Если деньги не поступят на указанный кошелек в течение недели (по истечении 3 дней сумма выкупа удваивается), злоумышленники угрожают совсем уничтожить зашифрованные данные. Параллельно с шифрованием программа проводит сканирование произвольных адресов Интернета и локальной сети, подыскивая новые жертвы.

Любопытно, что, несмотря на колоссальные масштабы распространения вируса, пострадавшие не кинулись массово платить злоумышленникам деньги (за 10 дней хакеры разжились всего-то на 70 тысяч долларов) и правильно сделали. По словам экспертов  Symantec, алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки реализован с ошибкой состояния гонки. Это делает выплаты денег бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными.

Но ситуация вовсе не так безнадежна, как может показаться – гарантированно можно расшифровать файлы размером до 200 Мб, также есть определенные шансы восстановить файлы большего размера. Тем, кто до сих пор работает на устаревших ОС Windows XP и Windows Server 2003, повезло больше – из-за особенностей реализации в них алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы.

Кто создал «заразу»?

По этому вопросу мнения экспертов разделились на 3 группы. Первые поддерживают модный ныне западный тренд на «российских хакеров», которые якобы мстят американскому президенту за одобренные им бомбардировки Сирии. Но это мнение кажется неоправданным в силу того, что больше половины кибер-атак вируса WannaCry пришлось именно на российские компьютеры.

Согласно второй версии, за атаками стоят американские спецслужбы. И даже если не они конкретно создали вирус, то активно этому поспособствовали. Дело в том, что Агентству национальной безопасности США было известно об уязвимости SMB и разработанном на ее основе готовом инструменте для проведения атаки EternalBlue (по данным WikiLeaks, изначально EternalBlue был разработан хакерской группой Equation Group, которая была связана с АНБ). Всю эту ценнейшую информацию (и много чего еще) у американцев украла и затем опубликовала в Сети хакерская группа The Shadow Brokers. В общем, кому нужно, тот возьмет.

И наконец, третья группа экспертов утверждает, что вирус WannaCry имеет северокорейское происхождение. В Лаборатории Касперского и антивирусной компании Symantec обратили внимание, что сигнатуры кода WannaCry совпадают с сигнатурой кода, предположительно, использовавшегося в феврале 2015 года хакерской группой Lazarus Group, подозреваемой в связях с правительством КНДР. Lazarus Group «прославилась» благодаря ряду громких атак в 2012-2014 годах, в числе которых атака на банковскую инфраструктуру SWIFT и взлом серверов Sony Pictures Entertainment. Эту версию поддерживает и эксперт южнокорейской компании «Hauri Labs» Саймон Чой, который в ходе собственного исследования обнаружил идентичность кода WannaCry вредоносным северокорейским кодам, использующим программные уязвимости.  

Но пока все вышеописанные мнения остаются лишь гипотезами – никто до сих пор не взял на себя ответственность за организацию крупномасштабной кибер-атаки.

WannaCry: профилактика и лечение

Всегда лучше предотвращать, чем исправлять, поэтому, дабы не словить заразу на свой компьютер, стоит сделать следующее:

  1. Обновить операционную систему, в частности — установите критическое обновление MS17010 от 14 марта 2017 года (https://technet.microsoft.com/library/security/MS17010.aspx), закрывающее уязвимость, которой пользуется WannaCry.
  2. Заблокируйте все взаимодействия по порту 445, как на конечных станциях, так и на сетевом оборудовании.
  3. Проведите полное сканирование всех хостов с помощью антивирусных программ.

Также можно делать резервные копии важной информации с их последующим хранением в облачных сервисах.

Ну, а если вы все-таки не уберегли свой компьютер и он «захандрил», алгоритм действий следующий:

  1. Включите безопасный режим Windows, нажав при перезагрузке системы клавишу F8.
  2. Удалите нежелательные приложения. Чтобы случайно не удалить чего-нибудь нужного, воспользуйтесь утилитами Kaspersky AntiRansomware, SpyHunter AntiMalware Tool, Malwarebytes Antimalware или STOPZilla;
  3. Восстановите зашифрованные файлы. Это стоит делать только после того, как удалите сам вирус, иначе можно повредить системные файлы и реестры. Восстановить файлы помогут декрипторы, утилита Shadow Explorer (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран СНГ есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Распространение вируса-вымогателя Wncry постепенно сходит на нет, но расслабляться не стоит – ведь никто не гарантирует, что в один прекрасный момент не появится его новый штамм или новое вредоносное ПО, эксплуатирующее ту же уязвимость. Такое, кстати, уже имеется – вирус UIWIX представляет собой новую, более совершенную версию WannaCry, но его сложнее обнаружить. Правда, новоявленный вредонос-вымогатель самоуничтожается, попадая на компьютер в России, Казахстане или Белоруссии. Но обезопасить себя от новых подобных угроз все-таки стоит.

Последнее изменениеВоскресенье, 28 мая 2017 02:58

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим.