Эпидемия шифровальщика WannaCry: что произошло и как защититься

<div style="text-align: justify;">Уважаемые клиенты! </div> <div style="text-align: justify;"> <br /> </div> <div style="text-align: justify;">12 мая началась эпидемия трояна-шифровальщика WannaCry — похоже, происходит это по всему миру. Масштабы очень велики, за один только день зафиксировано более 45 000 случаев атаки, но на самом деле их наверняка намного больше.</div> <div style="text-align: justify;"><b> <br /> </b></div> <div style="text-align: justify;"> <h2>Что произошло?</h2> <p>О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более сотни тысяч компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.</p> <p>Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.</p> <p> <br /> </p> <p><img src="/upload/medialibrary/650/map.png" title="Эпидемия трояна-шифровальщика WannaCry" border="0" alt="Эпидемия трояна-шифровальщика WannaCry" width="100%" /> <br /> </p> <h2>Что такое WannaCry?</h2> <p>В целом WannaCry — это <a href="https://blog.kaspersky.ru/exploits-problem-explanation/8459/" target="_blank" >эксплойт</a>, с помощью которого происходит заражение и распространение, плюс <a href="https://blog.kaspersky.ru/ransomware-for-dummies/13579/" target="_blank" >шифровальщик</a>, который скачивается на компьютер после того, как заражение произошло.</p> <p>В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.</p> <h3>WannaCry: эксплойт и способ распространения</h3> <p>Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft <a href="https://technet.microsoft.com/en-us/library/security/ms17-010.aspx" target="_blank" >закрыла в обновлении безопасности MS17-010 от 14 марта этого года</a>. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.</p> <p>Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи &quot;Лаборатории Касперского&quot; из GReAT <a href="https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/" target="_blank" >отдельно обращают внимание</a> на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.</p> <p>После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.</p> <p>Попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.</p> <h3>WannaCry: шифровальщик</h3> <p>WannaCry шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на <a href="https://blog.kaspersky.ru/cryptxxx-ransomware/11736/" target="_blank" >троянца CryptXXX</a>.</p> <p> </p> <p>Он шифрует файлы различных типов (<a href="https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/" target="_blank" >полный список</a>): офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.</p> <p>После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.</p> <p> <br /> </p> <p> </p> <div class="jumbotron" style="padding-top: 20px; padding-bottom: 20px;"> <p style="text-align: justify;"> Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. В случае других вымогателей исследователи уже показывали, что <a href="https://blog.kaspersky.ru/ranscam-ransomware/12488/" target="_blank" >иногда данные просто удаляют</a>, возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.</p> </div> <p></p> <h3><span style="font-weight: normal;">Как регистрация домена приостановила заражение и почему это еще не все</span></h3> <p>Интересно, что исследователю под ником Malwaretech <a href="https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html" target="_blank" >удалось приостановить заражение</a>, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.</p> <p>Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.</p> <p>Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.</p> <p>Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.</p> <p>К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в &quot;рубильнике&quot;, чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.</p> <p> <br /> </p> <h2>Для уверенной защиты данных рекомендуем решения:</h2> <h3>Резервное копирование данных Acronis</h3> <p> </p> <ul class="list-unstyled t-mark-list" style="padding-left: 30px;"> <li>Полное и частичное резервное копирование данных</li> <li>Восстановление исходного состояния системы</li> <li>Централизованное управление копированием и восстановлением на всех ПК корпоративной сети</li> </ul> Смотрите <a href="https://www.forus.ru/catalog/software/security/acronis/" target="_blank" >каталог продуктов Acronis</a>  <p></p> <h3>Антивирусная защита &quot;Лаборатории Касперского&quot; </h3> <p>Предлагаем перевести вашу антивирусную защиту на <a href="https://www.forus.ru/catalog/software/antivirusy/kaspersky/kaspersky_endpoint_security_dlya_biznesa_rasshirennyy/" target="_blank" >Kaspersky Endpoint Security Расширенный</a> на специальных условиях и получить дополнительный функционал защиты:</p> <p> </p> <ul class="list-unstyled t-mark-list" style="padding-left: 30px;"> <li>Поиск и устранение уязвимостей в корпоративной сети</li> <li>Централизованное обновление установленного на ПК программного обеспечения</li> <li>Удаленное управление компьютерами пользователей</li> </ul> <p></p> </div>