Вирус шифровальщик атака 12 мая

Обновлено: 25.04.2024

Фото: Alex Domanski / Reuters

Атака на Россию: силовики и телеком

Собеседник РБК в МВД рассказал об атаке на внутренние сети ведомства. По его словам, атаке подверглись в основном региональные управления министерства. ​Он уточнил, что вирус поразил компьютеры как минимум в трех областях европейской части России. Источник добавил, что на работе МВД эта атака не должна отразиться. Другой собеседник РБК в министерстве рассказал, что хакеры могли получить доступ к базам МВД, но неизвестно, успели ли они скачать оттуда информацию. Атака на МВД затронула только те компьютеры, на которых давно не обновлялась операционная система, рассказал собеседник в ведомстве. Работа министерства не парализована хакерами, но сильно затруднена.

Компания приостановила бизнес в России. К чему готовиться ее директору

Как разработка хирургических инструментов сделала иммигранта миллиардером

Заложники микроменеджеров: зачем компании массово возвращают людей в офис

Фото: Junko Kimura / Getty Images

Как Toyota следовала своей философии во времена Великой рецессии

Эти семь привычек руководителю надо взять под контроль

Как китайский стартап завоевывает в России опустевший рынок одежды

Фото: Michael Buckner / Getty Images

Брендинг под копирку: зачем компании выпускают продукты-клоны

В России двузначная инфляция. Какие активы могут от нее застраховать

Об отражении хакерской атаки также сообщили в Минздраве России. Помимо этого, Российские железные дороги заявили, что хакеры попытались взломать IT систему компании. Вирус был локализован, атака не повлияла на режим работы железных дорог.

Мировые масштабы

Компания Intel создала онлайн-карту атак вируса WannaCryptor по всему миру.

В Германии хакеры атаковали сервисы компании Deutsche Bahn, которая является основным железнодорожным оператором страны. Об этом сообщил телеканал ZDF со ссылкой на МВД страны.

Что за вирус?

Генеральный директор Group-IB Илья Сачков рассказал РБК, что программы-шифровальщики, аналогичные той, что использовалась при нынешней атаке, — это нарастающий тренд. В 2016 году количество таких атак увеличилось более чем в сто раз по сравнению с предыдущим годом, уточнил он.

Кто виноват

Кто стоит за масштабной кибератакой, пока не ясно. Экс-сотрудник АНБ Эдвард Сноуден допустил, что при глобальной хакерской атаке, случившейся 12 мая, мог быть использован вирус, разработанный АНБ. О такой возможности ранее заявил WikiLeaks.

Массовая кибер-атака 12 мая оказалась прикрытием для похищения баз данных

Глобальная хакерская атака по странам: больше всего зараженных компьютеров - в России

40 минут без защиты

Взломщики таким образом получали данные не только о гражданах и их автотранспорте, но и доступ к базе судебных приставов – она связана с ФИСМ.

Сайт полиции некоторое время работал с перебоями. Фото: скриншот сайта МВД

Подтвердил атаку на свои серверы Банк России и Сбербанк, МВД, Минздрав. РЖД сообщила о нападении кибервзломщиков. В компании заявили, что вирус удалось локализовать и перевозки пассажиров и грузов идут в рабочем режиме.

Непростой вирус

Разведка боем

Есть статистика, что наиболее массированные атаки проходили на компьютерные системы, расположенные в России. (Кроме того, были атакованы компьютеры в Китае, Индии, США, Западной Европе). Вполне возможно, это был ответ некоей группы хакеров на информацию, которая со времен выборов президента США гуляет в западной прессе – мол, русские программисты вмешивались в ход избирательного процесса. И тогда можно говорить о том, что произошла лишь разведка боем. Системы защиты важнейших структур страны проверялись на крепость. И в этом случае, конечно, хакеры пробивались к базам данных.

Карта распространения опасного компьютерного вируса.

А раз так, то можно предположить – атаки, подобные той, которая-то произошла 12 мая, будут повторяться. Сейчас хакеры выяснили, насколько быстро наши специалисты по компьютерной безопасности могут реагировать на угрозу, проверили, как глубоко они могут прорваться на серверы. И через какое-то время атаку повторят. Но уже наверняка по другому сценарию и под другим прикрытием.

Кстати, бывший сотрудник американских спецслужб Эдвард Сноуден считает, что Агентство национальной безопасности (АНБ), электронная разведка США, косвенно несет ответственность за кибератаку, поразившую 12 мая десятки тысячи компьютеров. Об этом он сообщил на своей странице в Twitter:

Американская газета Politico, передает ТАСС, пишет, что хакеры, организовавшие кибератаки по всему миру, использовали шпионское программное обеспечение, разработанное для АНБ. То есть, опять же, речь не идет только о вымогательстве, но и о компьютерном шпионаже.

Счастливое излечение?

А кто первый отгадает загадку, зашифрованную в коде, тот и остановит мировую эпидемию. Красиво, по-голливудски, не правда ли?

ВАЖНО

Как защитить себя от компьютерных вымогателей

Эпидемия, поразившая десятки тысяч компьютеров на операционке Windows – не последняя, за ней обязательно последуют другие. Это очень плохая новость, но не единственная.

Причина будущих эпидемий проста: такой тип вируса позволяет создателям быстро и достаточно просто получить серьезные деньги (подробности)

КСТАТИ

Герман Клименко - о глобальной хакерской атаке: Россия тут не при чем. Действуют обычные жулики-вымогатели

- Здесь не нужно искать дополнительные сущности, - считает советник президента по проблемам интернета Герман Клименко. - Хакеры - это обычные преступники. У них нет национальности. Они обычные вымогатели. Россию в хакерских атаках обвинять глупо. Тут никакой политики. Действуют жулики-вымогатели. (подробности)

МНЕНИЕ ЭКСПЕРТА

Эксперт в области информационной безопасности – о том, кто может стоять за нападением, и пострадали ли банковские вклады в результате воздействие вируса (подробности)

МЕЖДУ ТЕМ

При вирусных атаках хакеры пользовались программами АНБ США

Возрастная категория сайта 18 +

Госорганы и крупные предприятия России, Украины и ряда других стран подверглись второй за последние два месяца вирусной атаке, которая шифрует данные и вымогает деньги. Но пока сколотить состояние злоумышленникам не удалось

Фото: Сергей Карпухин / Reuters

Видео:Телеканал РБК

Фото: Richard Rohrdanz / Unsplash

Чем поможет форс-мажор — инструкция по применению

Вопрос на $3 трлн: почему ведущие страны мира легализуют криптовалюты

Фото: Scott Barbour / Getty Images

Предвестники увольнения: как понять, что с вами готовы попрощаться

Как рынки Нью-Йорка и Лондона поняли превратности Второй мировой войны

Фото: Wikimedia Commons

Как Джон Рокфеллер стал богатейшим человеком в мире. История Standard Oil

Фото: Drew Angerer / Getty Images

Meta* в опале: что это значит для бизнеса и поможет ли VPN

В России двузначная инфляция. Какие активы могут от нее застраховать

В июле 2015 года директор американского Управления по персоналу Кэтрин Арчулета покинула свой пост вскоре после крупнейшей кражи персональных данных, в результате которой хакеры получили сведения о 22 млн гражданах США — госслужащих и членах их семей. Похищенную базу данных в США называли крупнейшей в истории, а в качестве организатора кибератаки упоминалось правительство Китая.

Природа вируса

Фото:Victor J. Blue / Bloomberg

Нашли виноватых

Аватар пользователя Антон Макаров

В статье подробно рассмотрен феномен вируса-шифровальщика WannaCry/WannaCrypt, эпидемия заражения которым стремительно началась 12 мая 2017 года. Описаны основные функции этого вредоноса, а также механизмы защиты от подобного рода атак в будущем.

Введение

12 мая 2017 г. под конец дня, когда все администраторы и специалисты по безопасности засобирались по домам и дачам, мир облетела новость о начале беспрецедентной атаки WannaCry.

WannaCry (WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяется масштабом распространения и используемыми техниками.

В Интернете появилась инфографика, демонстрирующая в динамике распространение вируса по миру. Начальный этап атаки WannaCry приведен ниже на статичном изображении.

Рисунок 1. Распространение WannaCry по земному шару

Распространение WannaCry по земному шару

Корни WannaCry

В автоматическом режиме это кибероружие позволяет захватить управление любым компьютером Windows, используя его стандартный сервис доступа к файловой системе по сети — протокол SMB.

Архив, опубликованный кибергруппировкой The Shadow Brokers, содержит в общей сложности 23 инструмента, в том числе EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig, Fuzzbunch.

Последний представляет собой модульное ПО (разработанный АНБ эквивалент Metasploit), позволяющее за несколько минут взломать целевую систему и установить бэкдор для удаленного управления компьютером.

В компании Microsoft провели анализ эксплоитов и заявили, что уязвимости в протоколе SMB версии c 1-3, эксплуатируемые инструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar и EternalSynergy, уже были исправлены в предыдущие годы, некоторые устранены в нынешнем году (CVE-2017-0146 и CVE-2017-0147).

Патч для уязвимости в контроллерах домена, работающих под управлением Windows 2000, 2003, 2008 и 2008 R2, эксплуатируемой инструментом EsikmoRoll, был выпущен еще три года назад, в 2014 году.

Как отметили в компании, инструменты EnglishmanDentist, EsteemAudit и ExplodingCan не работают на поддерживаемых версиях Windows, поэтому патчи для них выпускаться не будут. Уязвимость, использованная шифровальщиком WannaCry, имеется только в Windows — иные операционные системы (в том числе Linux, macOS, Android) не пострадали. Но расслабляться не стоит — в этих ОС имеются свои уязвимости.

Нужно отметить, что для ряда устаревших систем (Windows XP, Windows Server 2003, Windows 8), снятых с поддержки, Microsoft выпустила экстренные обновления.

Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю.

Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код. Не нужно получать никакого электронного письма — если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов).

Анализ WannaCry

Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.

В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.

В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.

Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!

Признаки заражения WannaCry

Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя — Microsoft Security Center (2.0) Service).

Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки.

После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети — производит поиск машин в внутренней сети и пытается их заразить.

Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

Как и многие другие шифровальщики, новый троянец также удаляет любые теневые копии на компьютере жертвы, чтобы еще сильнее затруднить восстановление данных. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe.

Исследователи отмечают, что троянец имеет модульную архитектуру, что позволит легко его модифицировать или изменить назначение.

Важно отметить, что троянец нацелен не только на российских пользователей — об этом говорит список поддерживаемых языков.

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

Автор шифровальщика неизвестен, написать его мог кто угодно, явных признаков авторства пока не обнаружено, за исключением следующей информации:

< nulldot>0x1000ef48, 24, BAYEGANSRV\administrator

< nulldot>0x1000ef7a, 13, Smile465666SA

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Защита от WannaCrypt и других шифровальщиков

Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо:

  1. Отключить неиспользуемые сервисы, включая SMB v1.
  • Выключить SMBv1 возможно используя PowerShell:
    Set-SmbServerConfiguration -EnableSMB1Protocol $false
  • Через реестр:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0
  • Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2-сервис):
    sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
    sc.exe config mrxsmb10 start=disabled
  1. Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).

Рисунок 2. Пример блокировки 445 порта с помощью брандмауэра Windows

Пример блокировки 445 порта с помощью брандмауэра Windows

Рисунок 3. Пример блокировки 445 порта с помощью брандмауэра Windows

Пример блокировки 445 порта с помощью брандмауэра Windows

  1. Ограничить с помощью антивируса или брандмауэра доступ приложений в интернет.

Рисунок 4. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Рисунок 5. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

  1. После отключения уязвимых сервисов установить последние обновления (как минимум, MicrosoftSecurityBulletinMS17-010 или патчдляWindows XP,Windows Server2003R2).
  2. Не использовать снятые Microsoft с поддержки старые версии операционной системы Windows, особенно Windows XP.
  3. Контролировать и блокировать трафик к узлам сети Tor, которые часто используются шифровальщиками и иными вредоносными программами.
  4. Использовать резервное копирование данных, как на внешние, так и на удаленные хранилища (Тест систем резервного копирования и восстановления данных).

Рисунок 6. Резервное копирование с помощью штатных средств Windows

Резервное копирование с помощью штатных средств Windows

Для защиты от шифровальщиков (включая WannaCry) необходимо не допускать ошибок в организации антивирусной защиты

  1. Не исключать из проверки используемые приложения и диски.
  2. Вовремя продлевать лицензию и обновлять антивирус.
  3. Использовать проактивную защиту, антиспам и контроль программ.
  4. Ограничить доступ к потенциально опасным веб-сайтам, используя веб-фильтрацию.
  5. Запретить отключение антивируса.

Выводы

Эпидемия закончена? Вряд ли.

Хакерская группа The Shadow Brokers, которая взяла на себя ответственность за похищение шпионских программ Агентства национальной безопасности (АНБ) США, во вторник 16 мая объявила о запуске платного сервиса The Shadow Brokers Data Dump of the Month.

Данный сервис ежемесячно будет предоставлять подписчикам новые эксплойты для ранее неизвестных уязвимостей в браузерах, маршрутизаторах, мобильных устройствах, Windows 10, а также данные, похищенные из банковской системы SWIFT, и информацию, связанную с ядерными программами России, Китая, Ирана и КНДР.

Стоит отметить, что в настоящее появляются новые модификации WannaCry, а используемые операционные системы вряд ли в скором времени обновят.

Советник президента России Герман Клименко во время конференции на факультете журналистики МГУ в Москве, 2016 год




Советник президента России по вопросам развития интернета Герман Клименко считает, что атаковавшие серверы Национальной службы здравоохранения Великобритании (NHS) и ряда других организаций хакеры вряд ли использовали модифицированную программу Агентства национальной безопасности (АНБ) США, о чем ранее заявляло издание Financial Times со ссылкой на источники.

По его словам, около полугода назад на ряд российских компаний была совершена такая же атака, при которой вирус блокирует базы данных, и за предоставления доступа к ним хакеры требуют денег у предприятия.

Он также заявил, что порядка 40% данных госкомпаний России уже надежно защищены от подобных атак, а в отношении остальных ведется работа по созданию защиты. Сейчас над этим трудятся профильные специалисты, руководствующиеся подписанным в декабре 2016 года указом президента России о новой Доктрине информационной безопасности.

При этом британский премьер-министр Тереза Мэй заявила, что серверы Национальной службы здравоохранения Великобритании (NHS) не были основной целью хакеров, передает Reuters.

По словам Мэй, британским спецслужбам на данный момент неизвестно, были ли данные пациентов скомпрометированы в результате инцидента.

Спустя час официальный представитель МВД России Ирина Волк заявила, что департамент информационных технологий, связи и защиты информации (ДИТСиЗИ) при министерстве зафиксировал кибератаку на компьютеры ведомства.

Читайте также: