Rambler's Top100
Все новости Новости отрасли

WannaCry пошел на убыль, но терять бдительность не стоит

16 мая 2017

Количество попыток атак WannaCry, задетектированных экспертами в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен. Однако, эксперты говорят о вероятном возобновлении атаки с помощью модифицированного вируса.

Однако, уточняют эксперты, расслабляться не стоит: весьма вероятно, что вскоре появится новый штамм вируса. Тем более, что прецеденты такого рода уже обнаружены: по данным «Лаборатории Касперского» за выходные дни (13-14 мая) появилось две заметных модификации вируса. Первая начала распространяться рано утром в воскресенье, приблизительно в 4 часа по московскому времени. На данный момент обнаружено три жертвы этого варианта вымогателя – в России и Бразилии.

Второй вариант зловреда, появившийся на днях, по всей видимости, умеет обходить так называемый киллсвитч (killswitch) – ту особенность в коде программы, которая помогла остановить первую волну атак. Однако не похоже, что этот вариант получил распространение, возможно, из-за ошибки в коде.

Впрочем, эксперты из  полагают, что ни один из этих вариантов не был создан авторами оригинального вымогателя – скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.

Однако, общее число вариаций зловреда, циркулирующих в Сети в понедельник 15 мая, до сих пор неизвестно.

Напомним, что в пятницу 12 мая организации по всему миру пострадали от масштабной атаки программы-вымогателя, получившей название WannaCry. Анализ сетевых журналов дает основания предполагать, что вымогатель WannaCry начал распространяться в четверг 11 мая.

По даным Check Point Software Technologies, для распространения атаки использовались различные векторы атак, в том числе через сетевой протокол прикладного уровня (SMB), brute force атаки на RDP-серверы, вредоносные ссылки в письмах, а также письма со вложениями, содержащими вредоносный контент в файлах PDF или ZIP.

Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows – о ней стало известно еще 14 апреля из документов, опубликованных группировкой Shadowbrokers. В PwC добавляют, что изначально целью данного вируса стали правительственные и коммерческие учреждения, но сейчас уже есть информация о том, что жертвами становятся и обычные пользователи. Данный вирус, проверяет все логические диски, а так же подключенные сетевые диски и пытается зашифровать данные. Делает он это с правами пользователя system, поэтому ущерб, наносимый вирусом, весьма значителен. Далее атака заменяет изображение на рабочем столе на инструкцию от злоумышленника, которая объясняет, что необходимо заплатить 300$ (по иным данным цена выкупа доходит до $600) в биткойнах, для того чтобы расшифровать данные.

По состоянию на 14 мая WannaCry собрал более 33 тысяч долларов, говорят в Check Point. Несмотря на то, что многие пользователи заплатили выкуп, не было ни одного сообщения о том, что их файлы были разблокированы. Исследователи обнаружили, что поступление денег на счет вымогателей позволяет отслеживать, какая именно жертва их перевела. У многих вымогателей есть «служба поддержки», которая быстро отвечает жертвам в случае проблем с оплатой. Но не в случае с WannaCry.  Более того, эксперты сомневаются, что зашифрованные файлы вообще поддаются дешифровке со стороны вымогателей.

Установить точное число заражений сложно. «Лаборатория Касперского» зафиксировала более 45 тысяч попыток атак на пользователей во всем мире. Однако это только часть всех попыток атак. Более точно оценить ситуацию позволяют данные с сервера, соединение с которым было запрограммировано в большинстве версий WannaCry (тот самый киллсвитч). Так, в настоящее время на сервере Malwaretech, собирающем перенаправления с киллсвитч-кода, зарегистрировано более 200 тысяч нотификаций о заражении. Однако, сюда не включены заражения внутри корпоративных сетей, где для подключения к Интернету требуется прокси-сервер. То есть реальное число жертв может быть больше.По данным PwC, после того как вирус проникает на компьютер, он не только пытается зашифровать доступные данные, но и щет все доступные узлы в локальной сети, проверяет открыта ли на них служба SMB (port 445) и далее, воспользовавшись уязвимостью MS17-010, пытается  заразить все возможные узлы.

На текущий момент известно о двух методах распространения вируса: через интернет и через электронную почту, посредством исполняемого файла.

В интернете вирус угрожает в следующих случаях:
  • доступ к узлу возможен из сети интернет, и узел имеет открытый порт 445;
  • узел находится под управлением ОС семейства Windows, без установленного обновления от 14 марта 2017 г.
Эксперты предупреждуают, что в том случае, если копьютер стал жертвой WannaCry,  необходимо в первую очередь отключить его от сети передачи данных. Далее, если заражение обнаружено своевременно, и вирус еще не затронул основную часть файлов, рекомендуется выключить компьютер, чтобы не потерять дополнительных данных. Отключать вирус не рекомендуется, так как файлы останутся зашифрованными, и есть небольшой риск того, что после удаления всех файлов вируса, не удастся  восстановить зашифрованную информацию.

Сейчас лаборатории кибербезопасности работают над тем, чтобы разработать средство по расшифровке данных.

Напоследок хотелось бы указать, что недавно были найдены еще несколько критических уязвимостей в OS Windows, например, в Windows Defender (CVE-2017-0290), что грозит еще более серьезными проблемами для владельцев уязвимых версий Windows. В данном случае рекомендуется наладить процесс управления обновлениями или максимально сократить время от появления обновления до его установки.

По материалам открытых источников
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.