15 мая 2017 г.
12 мая миллионы компьютеров по всему миру подверглись атаке вируса WannaCry. Ниже мы расскажем, что представляет из себя этот вирус, назовем основные характеристики жертв атак, объясним как справиться с вирусом, а так же сделаем прогноз возможного развития ситуации.
WannaCry представляет собой классический вирус-вымогатель, который атакует все, до чего может дотянуться. Изначально целью данного вируса стали правительственные и коммерческие учреждения, но сейчас уже есть информация о том, что жертвами становятся и обычные пользователи. Данный вирус, проверяет все логические диски, а так же подключенные сетевые диски и пытается зашифровать данные. Делает он это с правами пользователя system, поэтому ущерб, наносимый вирусом, весьма значителен. Далее атака заменяет изображение на рабочем столе на инструкцию от злоумышленника, которая объясняет, что необходимо заплатить 300$ в биткойнах, для того чтобы расшифровать данные.
На этом действие вируса не заканчивается: он ищет все доступные узлы в локальной сети, проверяет открыта ли на них служба SMB (port 445) и далее, воспользовавшись уязвимостью MS17-010, пытается заразить все возможные узлы.
На текущий момент известно о двух методах распространения вируса: через интернет и через электронную почту, посредством исполняемого файла.
В интернете вирус угрожает в следующих случаях:
- доступ к узлу возможен из сети интернет, и узел имеет открытый порт 445;
- узел находится под управлением ОС семейства Windows, без установленного обновления от 14 марта 2017 г. (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx).
- необходимо изолировать зараженный компьютер (т.е. отключить его от сети передачи данных);
- если вы своевременно заметили заражение, и вирус еще не затронул основную часть файлов, рекомендуется выключить компьютер, чтобы не потерять дополнительных данных;
- на текущий момент есть ряд способов отключить вирус, но делать этого не рекомендуется. так как все ваши файлы останутся зашифрованными, и есть небольшой риск того, что после удаления всех файлов вируса, вы в дальнейшем не сможете восстановить собственную информацию.
Сейчас силы многих лабораторий кибербезопасности, и нашей в том числе, сфокусированы на том чтобы разработать средство по расшифровке данных, и опыт подсказывает, что весьма вероятно такой способ будет найден, поэтому не стоит поддаваться панике.
На текущей момент, благодаря своевременным действиям одной из вирусных лабораторий, активная фаза распространения данного вируса приостановлена. Но весьма вероятно, что по истечению нескольких дней (а может и часов), появится новый штамм вируса, поэтому необходимо принять защитные меры, которые с высокой вероятностью помогут вам защититься от вируса:
- установить обновление Windows от 14 марта 2017 г. (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx);
- заблокировать все взаимодействия по порту 445, как на конечных станциях так и на сетевом оборудовании;
- провести полное сканирование всех хостов с помощью антивирусных программ;
- оповестить пользователей о возможной атаке, ее последствиях и возможных путях распространения.
Напоследок хотелось бы указать, что недавно были найдены еще несколько критических уязвимостей в OS Windows, например, в Windows Defender (CVE-2017-0290), что грозит еще более серьезными проблемами для владельцев уязвимых версий Windows. В данном случае рекомендуется наладить процесс управления обновлениями или максимально сократить время от появления обновления до его установки.
P.S. Как мы и предполагали, уже вышла новая версия вируса, которая весьма эффективно заражает узлы, и на текущий момент возможность атаки снова актуальна.
Источник: Пресс-служба PwC