Зашифрованный мир: как работает WannaCry и что умеют программы-вымогатели?


Фото Getty Images
Для заражения компьютеров по всему миру киберпреступники воспользовались утечкой шпионских инструментов из арсенала американских спецслужб

«Новый вымогатель WCry / WannaCry распространяется, как ад», —  не скрывали эмоций исследователи из MalwareHunterTeam в пятницу утром. Меньше чем за два часа заражение было обнаружено в 11 странах мира: России, Великобритании, США, Китае, Испании, Италии, Вьетнаме, Тайване. К вечеру пятницы было зафиксировано 45 000 попыток атак в 74 странах мира. Атакам подверглись около 40 клиник в Англии и Шотландии, одна из крупнейших телекоммуникационных компаний Испании Telefonica. Масштабное заражение произошло в России  (по нашим данных, обнаружено 5014 зараженных вирусом хостов) — о проблемах сообщали  в «Мегафоне», МВД (в ведомстве подтвердили блокирование порядка 1 000 компьютеров).

» style=»display: none»>

Заражение, как установили криминалисты (компании автора, Group IB — Forbes) происходит не через почтовую рассылку, а весьма необычным образом: WannaCry сам сканирует сеть на предмет уязвимых хостов (на скриншоте — список IP адресов, которые сканирует вирус со скоростью 50 000 000 IP в минуту) и, используя сетевую уязвимость ОС Windows, установится на компьютеры.  Этим объясняется скорость распространения: вирус работает не по конкретным целям, а «прочесывает» сеть и ищет незащищенные устройства. WannaCry шифрует файлы, но не все, а наиболее ценные  — базы данных, почту, потом блокирует компьютеры и требует выкуп за восстановление доступа к данным —  $300 в биткоинах. К тому же, если зараженный компьютер попал в какую-то другую сеть, вредоносная программа распространится и в ней тоже – отсюда и лавинообразный характер заражений.

Есть еще одна причина успеха стиль масштабной атаки.  WannaCry, как предположили эксперты, использует известную сетевую уязвимость ОС Windows, которая хотя и была закрыта Microsoft — в марте было выпущено обновление Security Bulletin MS17-010, но не все пользователи его установили.  Любопытно другое: эксплоит ETERNALBLUE — оказалась из арсенала шпионских инструментов Агентства национальной безопасности США (АНБ), которые были выложена в открытый доступ хакерами Shadow Brokers. Это не первый случай — с помощью одного из инструментов АНБ — бэкдора DOUBLEPULSAR из утечки Shadow Brokers хакерам удалось заразить более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване. 

Наследство Поппа

Программы-вымогатели известны давно: еще в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сеи?час сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее.  Вымогательство с использованием вредоносных программ — основная киберугроза в 23 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker — начиная с сентября 2013 года заразил более четверти миллиона компьютеров в странах ЕС. 

В 2016 году количество атак шифровальщиков резко увеличилось – по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это – нарастающий тренд, причем под ударом, как мы увидели сегодня, совершенно различные компании и организации. Угроза актуальна даже для некоммерческих организаций. Так как для каждой крупной атаки вредоносное ПО модернизируется и тестируется злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.

Преступники стараются зашифровать не просто файлы, а базы данных 1С, рабочие документы, резервные копии и т.д. Именно поэтому жертвой вымогателей чаще всего становятся аудиторские, кредитно-финансовые и бухгалтерские компании, аккумулирующие большие массивы финансовой информации — потерять их, особенно в на этапе сдачи годового отчета — большая угроза для любой компании. Шифрование, используемое этими программами, надежно, и найти альтернативного способа кроме, как получить ключ расшифровки данных от атакующего, либо с его сервера невозможно. После того, как файлы зашифрованы, появляется сообщение, в котором описывают сколько и куда необходимо перевести денег, чтобы получить ключ расшифровки.  Как правило оплата производится в Bitcoin. Многие соглашаются заплатить вымогателям, лишь бы восстановить доступ к драгоценным данным, и тем самым финансируют развития этого вида киберпреступлений.  Основной способ распространения таких программ – рассылки по электронной почте вложений под видом банковских выписок, счетов, актов-сверок, уведомлений о вызове в суд и т.п. (но как мы говорили выше, WannaCry распространяется по-другому).

Торжество вымогателей

Почему так распространены программы-вымогатели? На это есть несколько причин:

  • Обмен данными. Рост количества атак на компании связан в том числе с тем, что владельцы бот-сетеи? начали продавать доступы к компьютерам с критичными финансовыми системами, из которых нельзя похить деньги, но потеря данных из которых критична для бизнеса. Некоторые хакеры, управляющие банковскими троянами, в первую очередь интересуются компьютерами с системами дистанционного банковского обслуживания, и часто обнаруживают компьютеры бухгалтеров, которые привыкли работать удаленно в 1С. Поэтому они начали продавать информацию о таких компьютерах своим «партнерам», чтобы те шифровали данные и извлекали из этого прибыль. По аналогичнои? схеме доступы к системам могут быть проданы кибертеррористам или игрокам, заинтересованным в кибершпионаже.
  •  Развитие сервисов, упрощающих атаки. Появились новые партнерские программы по распространению программ-вымогателеи?, предоставляющие любому желающему возможность сгенерировать исполняемыи? фаи?л вымогателя, которыи? может быть использован для заражения устрои?ств жертв, и среду для переписки с требованиями выкупа. 20% от выкупа перечисляются создателю сервиса.
  • Повышение вероятности выплаты. Кроме того, хакеры начали проверять серверы с подобранными паролями на наличие систем с данными, потеря доступа к которым с высокои? степенью вероятности приведет к выплате суммы, требуемои? вымогателями.
  • Наиболее важная информация хранится на серверах, а самои? популярнои? операционнои? системои? для серверов является Linux. Поэтому атакующие создали вымогателеи?, которые шифруют данные на Linux-серверах.
  •  Увеличение количества атак на мобильные устройства. Так, вымогатели для Android после шифрования выводят на экран устрои?ства страницу, написанную на HTML/JS коде, с требованием перевести деньги на счет злоумышленника. В феврале 2016 года компания Blue Coat зафиксировала распространение программы-вымогателя под Android через набор эксплои?тов. На вредоносном сервере был скрипт с эксплои?том под libxslt, которыи? был в утечке Hacking Team.  iOS-устрои?ства тоже оказываются в зоне опасности.  Установить вредоносное программное обеспечение на устрои?ство Apple непросто, поэтому мошенники придумали особыи? подход. Специальное вредоносное ПО, используя базу перехваченных логинов и паролеи? от iCloud, автоматически заходит в iCloud, сбрасывает пароль, меняет привязанныи? адрес электроннои? почты, блокирует все устрои?ства, привязанные к AppleID и настраивает окно блокировки таким образом, чтобы оно отображало требование атакующего перевести деньги за разблокировку.
  •  Шифрование IoT-устрои?ств (Internet of Things, «интернет вещей» — Forbes).  С появлением популярных производителеи? IoT-устрои?ств возникнет и рынок информации об их уязвимостях. IoT-устрои?ства будут использоваться и в мошеннических схемах, например, для перенаправления на фишинговые саи?ты, демонстрации рекламы с предложением скачать вредоносные программы, замаскированные под легальные, и т.п.

  Как минимизировать риски?

  •  Резервное копирование! Лучше всего создать две резервные копии: одна пусть хранится в облаке (не забудьте использовать сервис, который делает автоматическое резервное копирование ваших файлов) и еще одна копия на портативном жестком диске, флэш-накопителе, резервном ноутбуке. Не забудьте их отключить от вашего компьютера после завершения копирования.
  • Своевременно обновляйте вашу операционную систему (ОС)! Не выключайте «эвристические функции»,  так как они помогают поймать образцы вымогателей, которые еще не были официально обнаружены.
  •  Не доверяйте никому. Буквально. Любая учетная запись может быть скомпрометирована и вредоносные ссылки могут прийти с почтовых ящиков или аккаунтов ваших друзей и коллег. Никогда не открывайте вложения в сообщениях электронной почты от кого-то вы не знаете.
  •  Включите опцию «Показывать расширения файлов» в настройках Windows  на своем  компьютере. Это позволит сделать это намного легче обнаружить потенциально вредоносные файлы. Держитесь подальше от расширений файлов , таких как ‘.exe’, ‘.vbs’ и ‘.SCR’. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документа (например, горячего chics.avi.exe или doc.scr).
  •  Если вы обнаружили подозрительный процесс на вашей машине, немедленно отключите ее из Интернета или других сетевых подключений (например, домашний Wi-Fi) — это позволит предотвратить распространение инфекции.
  • Используйте решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, запуская их в специальной, изолированной среде. В случае с WannaCry  решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение.  Также важно проводить с сотрудниками разъяснительные беседы об основах цифровой гигиены – недопустимости устанавливать программы из непроверенных источников, вставлять в компьютер неизвестные флэшки и переходить по сомнительным ссылкам.
  • Никогда не выплачивайте выкуп! Отправляя свои деньги киберпреступникам, вы признаете эффективность их действий и нет никакой гарантии, что вы получите ключ дешифрования.

Источник