У п'ятницю, 12 травня, організації по всьому світу постраждали від масштабної атаки програми-здирника WannaCry. Тепер ви можете відстежити ключові події кібератаки на часовій шкалі PLUSworld.ru.

Як вірус вимагає гроші?

Вірус активується на комп'ютерах під управлінням ОС Microsoft Windows, шифрує файли користувача, після чого виводить повідомлення про перетворення файлів з пропозицією в обмежений термін здійснити оплату ключа дешифрування біткоіни в еквіваленті суми 300 доларів для розблокування даних протягом 3 днів. Якщо потрібна сума не надійде, то сума автоматично буде збільшена вдвічі. На 7 день вірус знищить дані.

Вірус WannaCry - що відбувається? думки фахівців

Лабораторія Касперського: зловредів проникав на комп'ютер через вразливість (для якої вже випущено закриває оновлення) в Microsoft Windows - про неї стало відомо ще 14 квітня через документів, опублікованих угрупованням Shadowbrokers.

Загальна кількість варіацій зловреда, що циркулюють в Мережі в понеділок 15 травня, до сих пір невідомо. Однак за вихідні дні (13-14 травня) з'явилося дві помітних модифікації. «Лабораторія Касперського» вважає, що жоден з цих варіантів не був створений авторами оригінального вимагача - швидше за все, за ними стоять інші гравці кіберзлочинністю світу, які вирішили скористатися ситуацією в своїх інтересах.

Аналіз мережевих журналів дає підстави припускати, що вимагач WannaCry почав поширюватися в четвер 11 травня. Кількість спроб атак WannaCry, задетектірованних «Лабораторією Касперського» в понеділок 15 травня, знизилося в шість разів у порівнянні з аналогічним показником п'ятниці, 12 травня. Це дозволяє припустити, що контроль над процесом зараження майже встановлений.

Віталій Земських, керівник підтримки продажів ESET Russia: У атаці використовується мережева вразливість в Microsoft Windows MS17-010, закрита виробником в березні 2017 року. Що може означати успішна експлуатація уразливості, пропатченний два місяці тому? Очевидно, інформаційної безпеки в світі приділяють недостатньо уваги, а обізнаність деяких ІТ та ІБ фахівців залишає бажати кращого.

Більш того, навіть якби зловмисники використовували вразливість нульового дня, для якої ще не випущені оновлення безпеки, правильний підхід і набір засобів ІБ міг би відбити атаку. Простий приклад - хмарна система ESET LiveGrid детектувала WannaCryptor в перший день епідемії ще до оновлення вірусних баз. Евристика і технології на її основі дозволяють запобігти зараженню навіть на неоновлення Windows.

В даний момент ми не можемо уявити вичерпні докази початкового вектора атаки, який використовують операторами WannaCryptor. Поки в центрі уваги два можливих сценарії, які могли б прояснити ситуацію: «класичний» фішинг і інфікування через SMB-уразливість. Найгірший варіант складніше стандартних схем і зачіпає безпеку найбільших інтернет-компаній. У будь-якому випадку, все встане на свої місця після завершення детальних досліджень, які ведуть вірусні лабораторії світу.

Кібератаки різної потужності будуть проводитися до тих пір, фінансова вигода зловмисників перевищує витрати на реалізацію. Або, поки немає можливості встановити виконавців зі стовідсотковою точністю. Ускладнити завдання атакуючих дозволить комплексний підхід до ІБ: програмні і апаратні засоби захисту всіх вузлів мережі, доступ ІТ та ІБ-фахівців до актуальної інформації про загрози, навчання персоналу.

Олексій Тюрін, директор департаменту аудиту захищеності Digital Security:

Взагалі, такі вірусні епідемії вже відбувалися, так що це не щось особливо нове. Віруси-шифрувальники - це в цілому актуальна проблема.
Основою вірусу є експлойт, створений ЦРУ, і який недавно був викладений на WikiLeaks. Так що можна звинувачувати ЦРУ, що вони не потурбувалися в повній мірі безпекою свого "кіберзброї".

Вірус поширюється по мережі, при цьому від користувача не потрібно відвідувати посилання, завантажувати або запускати файли - досить підключення до мережі і використовувати вразливу версію ОС. При цьому патч під актуальні версії Windows існував ще до початку спалаху епідемії. Тобто оперативне встановлення оновлень ОС врятувала б.

Окремою проблемою є те, що вразливість так само присутній в Windows XP і 2003, але офіційна підтримка яких вже не здійснюється (хоча патч для них теж є). Тобто здебільшого заразилися ті організації, яке або використовують застарілі версії ОС, або не оперативно оновлюють ОС.

Василь Дягілєв, глава представництва компанії Check Point Software Technologies в Росії і СНД:

Винуватцем атак, які почалися в кінці минулого тижня по всьому світу, є версія 2.0 WCry ransomware, також відома як WannaCry або WanaCrypt0r ransomware. Версія 1.0 була виявлена ​​10 лютого 2017 року і в обмежених масштабах використовувалася в березні.

Версія 2.0 була вперше виявлена ​​11 травня, атака виникла раптово і швидко поширилася в Великобританії, Іспанії, Німеччини, Туреччини, Росії, Індонезії, В'єтнамі, Японії.

Масштаб атаки підтверджує, наскільки небезпечним може бути здирницькі ПО. Організації повинні бути готові до відбиття атаки, мати можливість сканувати, блокувати і відсівати підозрілі файли і контент до того, як він потрапить в їх мережу. Також дуже важливо проінструктувати персонал про можливу небезпеку листів від невідомих джерел ».

Команда Check Point початку фіксувати масштабне поширення вірусу WannaCryptor 12 травня. Для її поширення використовувалися різні вектори атак, в тому числі через мережевий протокол прикладного рівня (SMB), brute force атаки на RDP-сервери, шкідливі посилання в листах, а також листи з вкладеннями, що містять шкідливий контент в файлах PDF або ZIP.

Незважаючи на те, що багато користувачів заплатили викуп, не було жодного повідомлення про те, що їх файли були розблоковані. Дослідники виявили, що надходження грошей на рахунок вимагачів дозволяє відстежувати, яка саме жертва їх перевела. У багатьох вимагачів є «служба підтримки», яка швидко відповідає жертвам в разі проблем з оплатою. Але не у випадку з WannaCry. Більш того, експерти сумніваються, що зашифровані файли взагалі піддаються дешифрування з боку вимагачів.

Як убезпечити свій комп'ютер від зараження?

Для запобігання зараження ESET рекомендуеn вжити таких заходів:

1. Встановіть всі оновлення Microsoft Windows.
2. Переконайтеся, що всі вузли мережі захищені комплексним антивірусним ПЗ. Рекомендуємо технології на базі евристики, які дозволяють детектувати нові загрози і забезпечити захист від так званих атак нульового дня. Це підвищує безпеку в разі, якщо в систему проникає раніше невідома шкідлива програма.
3. Відмовтеся від використання ОС Microsoft Windows, які не підтримуються виробником. До заміни застарілих операційних систем використовуйте оновлення від Microsoft для Windows XP, Windows 8 і Windows Server 2003.
4. Використовуйте сервіси для доступу до інформації про новітні загрози.
5. При підозрі на зараження відключіть інфіковані робочі станції від корпоративної мережі і зверніться до служби технічної підтримки вашого постачальника антивірусних рішень за подальшими рекомендаціями.

За матеріалами PLUSworld.ru

Ця та інші теми будуть обговорюватися на нашому Форумі «Дистанційні сервіси, мобільні рішення, карти і платежі» , Який пройде в Москві 7-8 червня 2017 року.
Детальна інформація та реєстрація доступні на нашому офіційному сайті.
Будемо раді зустрічі з Вами на Форумі!