Да, этот вирус прокричал на весь мир 12 мая очень громко. Wanna Cry оказался не тем вирусом, который тихо и спокойно распространяется себе по миру от компьютера к компьютеру, с которым постепенно обучаются работать антивирусы и который со временем становится одним из фигурантов таблицы распознаваемых вирусов.
Нет, здесь всё гораздо сложнее. Вирус буквально в несколько часов распространился по всему миру. Особенно пострадали Россия и Китай, какое-то время держалась Австралия, но и она угодила в эту «яму».
Дело дошло до выступлений ведущих политиков мира. Громогласное заявление сделал и один из руководителей Microsoft, прямо обвинивший спецслужбы США в безответственном поведении. Дело в том, что, оказывается, американское ФБР в течение последних нескольких лет вело исследования системы Windows на наличие всевозможных недоработок и лазеек. Для своих целей, конечно. И лазейки были найдены – в Microsoft тоже работают не боги, им тоже свойственно ошибаться.
Проблема только в том, что каким-то образом изыскания сыщиков США вдруг стали известны всему компьютерному миру, вернее тому, кто нашёл возможность на них поживиться.
Собственно говоря, способ распространения вируса Wanna Cry традиционен:
Может запускаться wannacry и через незнакомые exe- или js-файлы, заражение, возможно, происходит и через графический файл (а что может быть заманчивее, чем sexy-картинка).
Известны случаи, когда инфицирование произошло просто потому, что компьютер был в сети. Не обходит он своим внимание и облачные технологии – полностью оказались посрамлены её проповедники, они не так уж и защищены, как об этом нам постоянно говорится. В общем, при первом взгляде на складывающуюся ситуацию – край, из которого нет выхода, спереди стена, а назад некуда.
Сначала создавалось впечатление, что объектом внимания вируса становится только системный диск “C:” . Но по мере развития ситуации оказалось, что вирус распространился и на съёмные диски, что неожиданно – на Windows 10. Про флешки и говорить не приходится, они просто «горят, как свечки».
Как проявляется
Вирус шифровальщик wanna cry, заразивший ПК , проявляет себя следующим образом:
Во-первых, подвергшийся атаке файл получает новое расширение – «.wncry».
Во-вторых, первые восемь символов в имени файла дополняются строкой «wanacry!».
В-третьих, и это самое главное, вирус шифрует содержимое файла, причём таким образом, что вылечить его не представляется возможным, по крайней мере, за приемлемый отрезок времени. А он оказался достаточен, чтобы создать проблемы в работе медиков в Великобритании, полиции в России, управленцев электронных заводов в Китае.
В-четвёртых, а это уже просто банально и пройдено не одну сотню раз «пацанами» от программирования – они требуют за то, чтобы восстановить файлы, от 300 до 500 долларов, которые нужно перечислить с использованием BitCoin. Говорят, человек 100 всё-таки это сделали, капля в море относительно общей массы требующих лечения, вероятно, умышленники зла рассчитывали на гораздо большее.
Всё, что необходимо делать, вирус вам сообщает в отдельном окне под звучным заголовком «Ooops, your files have been encrypted!». Причём, эти горе-разработчики позаботились об услуге локализации: текст для немцев – на немецком, для новозеландцев – на английском, русские же читали его на русском. Уже только по построению фраз опытные лингвисты могут определить, откуда родом эти кибербандиты.
Для решения задачи, как восстановить информацию касперский или тем более любой из известных шифровальщиков не подойдут. Избавиться от вируса простым удалением файла тоже не срабатывает.
Что делать в первые моменты
Как только появилось подозрение, что wannacry, через Брисбен и Калькутту, пришёл и к вам на улицу Лизюкова, ещё до, собственно, лечения, сделайте следующее:
Что делать всегда, пока не клюнул
И снова вспомните о тех операциях, о которых вам постоянно талдычит системщик:
- Постоянно следите за последними обновлениями используемого программного обеспечения, системы, в первую очередь, и устанавливайте на своём ноутбуке. Кстати, Microsoft очень оперативно предложило метод, как лечить wanna cry – скачать и поставить последнюю версию системы Windows 10 с оперативно сделанными изменениями. Пусть подробного описания вируса wanna cry, это, скорее, к разработчикам антивирусов, пока и нет, пусть ещё непонятно, как расшифровать файлы, но в Пало-Альто очень оперативно внедрили заплатки в свои программные продукты.
- Постоянно создавайте резервные копии своей самой важной информации. Должно стать за правило таким образом бороться с вирусами – каждый вторник и пятницу, ровно в 15:00, все текущие работы прекращаются и создаются резервные копии. Если такое правило не завести, то завтра плакать уже придётся о потерянных 100 миллионах прибыли и думать, как удалить вирус, не по поводу wanna cry, а по поводу Market Applause или чего-либо другого.
- Если не работаете в сети, то отключайтесь от неё, ведь, что греха таить, мы постоянно подключены к скайпу, к «контактам», просто по привычке, а вдруг кто-нибудь да позвонит. Не забывайте отменять активацию .
Да, wanna cry не сделал ничего нового – всё то же желание денег, всё то же желание прославиться (хотя слава-то дальше «кухни» не уйдёт), всё та же игра на беспечности и раздрая в мире, от ФБР и Госдепа США до плохо организованной работе с резервным копированием и защитой информации.
Wanna Cry прозвали вирусом-вымогателем, потому что он самовольно захватывает ваш компьютер, шифруя все данные на жёстком диске без вашего ведома. А за право получить доступ к вашей собственной информации требует выкуп в виде биткоинов. От этого виртуального террориста пострадали жители 74 стран. сайт выяснил, почему этот вирус так опасен и можно ли его победить.
Зашифруйте меня полностью
Wanna Cry имеет весьма нетипичную для вредоносных программ природу. Как рассказал сайт специалист по сетевой безопасности Илья Филимонов, это по сути никакой не вирус. Поэтому обычные способы защиты компьютеров вам тут не помогут.
"Это просто программа, которая шифрует данные, - объясняет Илья Филимонов. - Она запускается без ведома пользователя. В неё встроен алгоритм шифрования, который работает по 1024-битному ключу. Это последовательность знаков в ряд. Подобрать его нельзя, не зная ключа. Так что Wanna Cry - это не совсем вирус, а скорее, программа. И люди, которые её запустили, - это не хакеры. Это просто злоумышленники. Чтобы расшифровать ваши данные, вам нужно ввести первичный ключ. Этот ключ они и продают по сути".
Wanna Cry - довольно незамысловатое изобретение - чтобы его создать, не надо быть гением. А распознать эту программу практически невозможно.
"Люди, которые создали Wanna Cry, просто взяли коды в открытом доступе и просто скриптом, используя уязвимость системы Windows, запустили принудительное исполнение своей программы. Эта программа очень мало места занимает, её можно поместить в простой doc или pdf-файл. Например, вам придёт договор какой-нибудь с адреса, который вы знаете. И всё", - говорит Илья Филимонов.
Никаким антивирусом это не лечится
Если вы всё-таки поймали Wanna Cry, открыв самое обычное на вид письмо или зайдя на какой-либо сайт, то антивирусы вам, как говорят программисты, особо не помогут.
"Его невозможно отследить антивирусом, потому что внутри программы нет вирусного кода. Такой алгоритм используется спецслужбами. Даже эвристический анализатор в антивирусе его не распознает, потому что это класс программ, который, наоборот, защищает пользовательские данные. В крупных компаниях такие программы используют, чтобы защитить данные сотрудников. Никаким антивирусом это не лечится", - подытожил Илья Филимонов.
Как не заразиться
Единственное, что можно сделать, чтобы застраховать себя от Wanna Cry, - установить последнее обновление Microsoft MS17-010. Это патч, специально разработанный для таких случаев. Но это работает только если ваш Windows не пиратский.
"А если пиратский, то можно установить Acronis TrueImage, с ним в подарок идёт терабайт облачного хранения. Сделайте полный бэкап всех своих документов. Или просто запускаете TrueImage и через 15-20 минут ваш компьютер будет снова в первозданном виде", - советует Илья Филимонов.
Фото с сайта mozgokratia.ru
Касперский всё же может помочь
Специалисты "Лаборатории Касперского" в ответ на заявления о бесполезности антивирусных программ в борьбе с Wanna Cry, говорят, что это не совсем верно. Новые версии антивирусных программ уже умеют блокировать программы-шифровальщики.
"Все решения "Лаборатории Касперского" блокируют работу и данного руткита, и программ-шифровальщиков со следующими вердиктами: Trojan.Win64.EquationDrug.ge; Tr,ojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic, - объясняет руководитель российского исследовательского центра "Лаборатории Касперского" Юрий Наместников. - Но для детектирования данного зловредного компонента "Мониторинг системы" должен быть включён".
Однако Илья Филимонов скептически относится к словам представителей "Лаборатории Касперского", говоря, что обновление антивирусной программы появилось постфактум, когда мир уже был заражён Wanna Cry.
"Ранее их программа не блокировала шифровальщик, - говорит Илья Филимонов. - А теперь она блокирует его запуск на шифрование, но не удаляет и не лечит. Потому что лечить нечего".
Атака остановлена временно
Если же вирус уже в вашем компьютере и появилось зловещее сообщение с требованием выкупа, то вы мало что можете с этим поделать. Однако сразу паниковать не стоит. Специалисты говорят, что часть данных вы можете спасти, так как Wanna Сry шифрует их не одномоментно, а постепенно. Так что вы успеете срочно эвакуировать важную для вас информацию.
Как говорит программист Юрий Ямпольский, платить запрашиваемые биткоины не следует ни при каких условиях. Потому что ключа к зашифрованным данным вы всё равно не получите. Во всяком случае таких прецедентов еще не было.
"Главное - никому ничего не платить, - уточнил Юрий Ямпольский. - Потому что вы заплатите, но расшифровать вам всё равно ничего не дадут. Сейчас атака остановилась. Британский программист, как известно, случайно его остановил. Он проследил, по какому адресу обращается вирус, и зарегистрировал по нему домен. Так его отследили. Но, скорее всего, атака скоро опять начнётся. Сейчас хакеров остановили, зафиксировав их домен. Но как только хакеры изменят код вируса, они могут снова начать атаку".
Чтобы снова получить доступ к своим данным, вам придётся дождаться, когда антивирусные компании обнаружат алгоритм, по которому формируется ключ к зашифрованным данным, и опубликуют его. Но это тоже не гарантирует помощь - ключ может меняться по истечении времени.
Получается, что Wanna Cry - фактически непобедим. И лучший способ сохранить свои данные - не подхватывать его.
Эту кибератаку уже назвали самой масштабной в истории. Более 70 стран, десятки тысяч зараженных компьютеров. Вирус-вымогатель по имени Wanna Cry («Хочу плакать») не щадит никого. Под ударом - больницы, железные дороги, правительственные учреждения.
В России атака была самой массированной. Сообщения, которые сейчас приходят, напоминают сводки с компьютерных фронтов. Из последнего: в РЖД заявили, что вирус пытался проникнуть в их IT-систему, он уже локализован и его пытаются уничтожить. Также о попытках взлома говорили в Центробанке, МВД, МЧС, компаниях связи.
Так выглядит вирус, парализовавший десятки тысяч компьютеров по всему миру. Понятный интерфейс и текст, переведенный на десятки языков - «у вас есть только три дня, чтобы заплатить». Вредоносная программа, которая шифрует файлы, требует за их разблокировку, по разным данным, от 300 до 600 долларов. Только в кибервалюте. Шантаж в прямом смысле на грани жизни и смерти.
«Я был полностью готов к операции, даже капельницу уже поставили, и тут приходит хирург и говорит, что у них проблемы с оборудованием из-за кибератаки», - рассказывает Патрик Уорд.
Вакцины от компьютерного вируса ни нашлось ни в сорока британских клиниках, которых атаковали первыми, ни в крупнейшей испанской телекоммуникационной компании «Телефоника». Следы, как говорят эксперты, одной из самых масштабных хакерских атак в мировой истории даже на табло вокзалов в Германии. В одном из семи диспетчерских центров немецкого железнодорожного перевозчика «Дойче Бан» вышла из строя система управления. Последствия могли быть катастрофическими.
Всего жертвами кибератаки уже стали 74 страны. Не тронуты разве что Африка и несколько государств в Азии и Латинской Америке. Неужели только пока?
«Это все сделано для получения денег организованной преступностью. Нет никакой политической подоплеки или скрытых мотивов. Чистый шантаж», - говорит эксперт по антивирусам IT-компании Бен Рапп.
Британские СМИ, впрочем, политическую подоплеку тут же нашли. И обвинили во всем русских хакеров, правда, без всяких доказательств, связав кибератаку с авиаударом американцев по Сирии. Якобы вирус-вымогатель стал местью Москвы. При этом, по данным тех же британских СМИ, Россия в этой атаке пострадала больше всего. И с этим, абсолютно точно, поспорить сложно. Только в МВД были атакованы больше тысячи компьютеров. Впрочем, безуспешно.
Отразили атаки в МЧС и Минздраве, в Сбербанке и в Мегафоне». Сотовый оператор даже на какое-то время приостановил работу колл-центра.
«Указ президента о создания российского сегмента Сети - это закрытый интернет вокруг госчиновников. Оборонка давно за этим щитом стоит. Скорее всего, я думаю, пострадали простые компьютеры обычных сотрудников. Вряд ли пострадал именно доступ к базам данных - они, как правило, на других операционных системах и находятся, как правило, у провайдеров», - сообщил советник президента России по развитию интернета Герман Клименко.
Программа, как утверждают разработчики антивирусов, заражает компьютер, если пользователь открыл подозрительное письмо, да еще и не обновил Windows. Это хорошо заметно на примере серьезно пострадавшего Китая - жители Поднебесной, как известно, питают особую любовь к пиратским операционкам. Но стоит ли платить, необдуманно кликнув мышкой, задаются вопросом по всему миру
«Если у компании нет резервной копии, они могут потерять доступ к данным. То есть, например, если хранится база данных пациентов больницы вместе с историями болезней в единой копии на этом сервере, куда попал вирус, то больница эти данные больше уже никаким образом не восстановит», - говорит эксперт по кибербезопасности Илья Скачков.
Пока, как выяснили блогеры, в электронном кошельке мошенников не больше четырех тысяч долларов. Мелочь, учитывая список жертв - затраты на взлом их винчестеров явно не сопоставимы. Британское издание Financial Times предположило, что вирус-вымогатель - это не что иное, как модифицированная злоумышленниками вредоносная программа Агентства национальной безопасности США. Когда-то ее создали для того, чтобы проникать в закрытые американские же системы. Это же подтвердил и бывший его сотрудник Эдвард Сноуден.
Из «Твиттера» Сноудена: «Ого, решение АНБ создавать инструменты атаки на американское программное обеспечение теперь ставит под угрозу жизни пациентов больниц».
WikiLeaks, впрочем, также неоднократно предупреждал, что из-за маниакального желания следить за всем миром американские спецслужбы распространяют вредоносные программы. Но даже если это не так, возникает вопрос о том, как программы АНБ попадают в руки злоумышленников. Интересно и другое. Спасти мир от вируса предлагает другая американская спецслужба - Министерство национальной безопасности.
Как бы то ни было, истинные масштабы этой атаки еще предстоит оценить. Заражение компьютеров по всему миру продолжается. «Вакцина» тут одна - осторожность и предусмотрительность. Важно не открывать подозрительные вложенные файлы. При этом эксперты предупреждают: дальше будет больше. Частота и масштабы кибератак будут только нарастать.
12 мая несколько компаний и ведомств в разных странах мира, в том числе в России, были вирусом-шифровальщиком. Специалисты по информационной безопасность идентифицировали в нём вирус WanaCrypt0r 2.0 (он же WCry и WannaCry), который шифрует некоторые типы файлов и меняет у них расширения на.WNCRY.
Компьютеры, заражённые WannaCry, оказываются заблокированы окном с сообщением, где говорится, что у пользователя есть 3 дня на выплату выкупа (обычно эквивалент 300 долларов США в биткоинах), после чего цена будет удвоена. Если не заплатить деньги в течение 7 дней, файлы якобы будет невозможно восстановить.
WannaCry попадает только на компьютеры, работающие на базе Windows. Он использует уязвимость, которая была закрыта компанией Microsoft в марте. Атаке подверглись те устройства, на которые не был установлен свежий патч безопасности. Компьютеры обычных пользователей, как правило, обновляются оперативно, а в крупных организациях за обновление систем отвечают специальные специалисты, которые зачастую с подозрением относятся к апдейтам и откладывают их установку.
WannaCry относится к категории вирусов ransomware, это шифровальщик, который в фоновом режиме незаметно от пользователя шифрует важные файлы и программы и меняет их расширения, а затем требует деньги за дешифровку. Окно блокировки показывает обратный отсчёт времени, когда файлы будут окончательно заблокированы или удалены. Вирус может попасть на компьютер с помощью удалённой атаки через известную хакерам и не закрытую в операционной системе уязвимость. Вирусный код автоматически активируется на заражённой машине и связывается с центральным сервером, получая указания о том, какую информацию вывести на экран. Иногда хакерам достаточно заразить всего один компьютер, а он разносит вирус по локальной сети по другим машинам.
По данным сайта The Intercept , WannaCry создан на основе утекших в сеть инструментов, которые использовались Агентством национальной безопасности США. Вероятно, для инъекции вируса на компьютеры хакеры использовали уязвимость в Windows, которая прежде была известна только американским спецслужбам.
Вирус WannaCry опасен тем, что умеет восстанавливаться даже после форматирования винчестера, то есть, вероятно, записывает свой код в скрытую от пользователя область.
Ранняя версия этого вируса называлась WeCry, она появилась в феврале 2017 года и вымогала 0,1 биткоина (177 долларов США по текущему курсу). WanaCrypt0r - усовершенствованная версия этого вредоноса, в ней злоумышленники могут указать любую сумму и увеличивать её с течением времени. Разработчики вируса неизвестны и не факт, что именно они стоят за атаками. Они вполне могут продавать вредоносную программу всем желающим, получая единоразовую выплату.
Известно , что организаторы атаки 12 мая получили от двух десятков жертв в общей сложности как минимум 3,5 биткоина, то есть чуть более 6 тысяч долларов. Получилось ли у пользователей разблокировать компьютеры и вернуть зашифрованные файлы, неизвестно. Чаще всего жертвам хакеров, выплатившим выкуп, действительно приходит ключ или инструмент для дешифрации файлов, но иногда они не получают в ответ ничего.
12 мая Microsoft выпустила патч безопасности для обнаружения и обезвреживания вируса Ransom:Win32/Wannacrypt. Его можно установить через «Центр обновления Windows». Чтобы обезопасить свой компьютер от WannaCry, необходимо установить все обновления Windows и убедиться, что работает встроенный антивирус Windows Defender. Кроме того, будет не лишним скопировать все ценные данные в облако. Даже если они зашифруются на вашем компьютере, вы всё равно сможете восстановить их из облачного хранилища или его корзины, куда попадают удалённые файлы.
(WannaCrypt , WCry , WanaCrypt0r 2.0 , Wanna Decryptor) - вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяет ся масштабом распространения и используемыми техниками.
Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут , что совершена хакерская атака на крупнейшие холдинги, в том числе и на «Сбербанк».
Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю...
Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении... Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?» Действительно - почему?
Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код. Не нужно получать никакого электронного письма - если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов).
Анализ WannaCry
Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп - 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.
Для шифрования используется американский алгоритм AЕS с 128-битным ключом.
В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.
В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.
Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!
Признаки заражения WannaCry
Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя - Microsoft Security Center (2.0) Service).
Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки.
После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети - производит поиск машин в внутренней сети и пытается их заразить.
Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.
Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.
Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.
< nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
< nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
< nulldot> 0x1000f1b4, 12, 00000000.eky
< nulldot> 0x1000f270, 12, 00000000.pky
< nulldot> 0x1000f2a4, 12, 00000000.res
Защита от WannaCrypt и других шифровальщиков
Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо:
- Отключить неиспользуемые сервисы, включая SMB v1.
- Выключить SMBv1 возможно используя PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false - Через реестр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0 - Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2-сервис):
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled
- Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).
Рисунок 2. Пример блокировки 445 порта с помощью брандмауэра Windows
Рисунок 3. Пример блокировки 445 порта с помощью брандмауэра Windows
- Ограничить с помощью антивируса или брандмауэра доступ приложений в интернет.
Рисунок 4. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows
