В частности, жертвой стала испанская телекоммуникационная компания Telefonica, а также больницы по всей Великобритании. По данным «Гардиан»В результате атак в Великобритании пострадали как минимум 16 учреждений Национальной системы здравоохранения (NHS) и были напрямую поставлены под угрозу системы информационных технологий (ИТ), которые используются для обеспечения безопасности пациентов.
Рекомендуемые видео
Аваст
Программа-вымогатель WanaCryptOR, или WCry, основана на уязвимости, которая была обнаружена в протоколе блокировки сообщений Windows Server и исправлена в Вторник обновлений Microsoft за март 2017 г.
обновления безопасности, сообщает «Лаборатория Касперского». Первая версия WCry была обнаружена в феврале и с тех пор переведена на 28 различных языков.Microsoft ответила отреагировал на атаку в своем собственном сообщении в блоге «Безопасность Windows», где он подтвердил сообщение о том, что в настоящее время поддерживаемые ПК с Windows, на которых установлены последние исправления безопасности, защищены от вредоносного ПО. Кроме того, Защитники Windows уже были обновлены для обеспечения защиты в режиме реального времени.
«12 мая 2017 года мы обнаружили новую программу-вымогатель, которая распространяется как червь, используя ранее исправленные уязвимости», — начинается отчет Microsoft об атаке. «Хотя обновления безопасности автоматически применяются на большинстве компьютеров, некоторые пользователи и предприятия могут откладывать установку исправлений. К сожалению, вредоносное ПО, известное как WannaCrypt, похоже, затронуло компьютеры, на которых не было установлено исправление для этих уязвимостей. Пока атака разворачивается, мы напоминаем пользователям установить MS17-010, если они еще этого не сделали».
Далее в заявлении говорится: «Телеметрия защиты от вредоносных программ Microsoft немедленно обнаружила признаки этой кампании. Наши экспертные системы предоставили нам представление и контекст этой новой атаки по мере ее возникновения, что позволило антивирусной программе "Защитник Windows" обеспечить защиту в режиме реального времени. Благодаря автоматизированному анализу, машинному обучению и прогнозному моделированию мы смогли быстро защититься от этого вредоносного ПО».
Avast также предположил, что основной эксплойт был украден у Equation Group, которую подозревают в связях с АНБ, хакерской группой, называющей себя ShadowBrokers. Эксплойт известен как ETERNALBLUE и назван Microsoft MS17-010.
При попадании вредоносного ПО оно меняет имена затронутых файлов, включая расширение «.WNCRY», и добавляет расширение «WANACRY!» маркер в начале каждого файла. Он также помещает записку о выкупе в текстовый файл на компьютере жертвы:
Аваст
Затем программа-вымогатель отображает сообщение о выкупе, требующее от 300 до 600 долларов США в биткойнах, и предоставляет инструкции о том, как заплатить, а затем восстановить зашифрованные файлы. Язык инструкций по выкупу на удивление непринужденный и похож на то, что можно прочитать в предложении о покупке продукта в Интернете. Фактически, у пользователей есть три дня, чтобы заплатить, прежде чем выкуп удвоится, и семь дней, чтобы заплатить, прежде чем файлы больше не будут подлежать восстановлению.
Аваст
Интересно, что атака была замедлена или потенциально остановлена «случайным героем», просто зарегистрировав веб-домен, который был жестко запрограммирован в коде программы-вымогателя. Если бы этот домен ответил на запрос вредоносного ПО, он прекратил бы заражать новые системы, действуя как своего рода «выключатель», который киберпреступники могли бы использовать для предотвращения атаки.
Как The Guardian отмечает, исследователь, известный как MalwareTech, зарегистрировал домен за 10,69 долларов США, не знал об отключении, сказав: «Меня не было дома. пообедал с другом и вернулся около 15:00. и увидел приток новостных статей о Национальной системе здравоохранения и различных британских организациях, ударять. Я немного изучил это, а затем нашел образец вредоносного ПО, стоящего за ним, и увидел, что оно подключалось к определенному домену, который не был зарегистрирован. Поэтому я взял его, не зная, что он делает в тот момент».
MalwareTech зарегистрировал домен от имени своей компании, которая отслеживает ботнеты, и поначалу их обвинили в инициации атаки. «Изначально кто-то неправильно сообщил, что мы вызвали заражение, зарегистрировав домен, поэтому я это был небольшой сумасшествие, пока я не понял, что на самом деле всё наоборот, и мы остановили это», — рассказал MalwareTech The Хранитель.
Однако это, скорее всего, не будет концом атаки, поскольку злоумышленники могут изменить код, чтобы не использовать переключатель уничтожения. Единственное реальное решение — убедиться, что на машинах установлены все исправления и на них установлено правильное программное обеспечение для защиты от вредоносных программ. Хотя машины Windows являются объектами этой конкретной атаки, MacOS продемонстрировала собственную уязвимость поэтому пользователи ОС Apple также должны обязательно предпринять соответствующие шаги.
Гораздо более радостные новости заключаются в том, что теперь появляется новый инструмент, который может определить ключ шифрования, используемый программой-вымогателем на некоторых машинах, что позволяет пользователям восстанавливать свои данные. Новый инструмент под названием Wanakiwi похож на другой инструмент, Ваннаки, но он предлагает более простой интерфейс и потенциально может исправить проблемы на компьютерах, работающих под управлением большего количества версий Windows. Как Об этом сообщает Ars Technica.Ванакиви использует некоторые приемы для восстановления простых чисел, использованных при создании ключа шифрования, в основном путем извлечения этих чисел из БАРАН если зараженная машина остается включенной и данные еще не были перезаписаны. Wanawiki использует некоторые «недостатки» в интерфейсе программирования приложений Microsoft Cryptographic, который использовался WannaCry и различными другими приложениями для создания ключей шифрования.
По словам Бенджамина Дельпи, который участвовал в разработке Wanakiwi, инструмент был протестирован на ряде машин с зашифрованными жесткими дисками, и на некоторых из них он успешно расшифровал. Среди протестированных версий были Windows Server 2003 и Windows 7, и Delpy предполагает, что Wanakiwi будет работать и с другими версиями. По словам Дельпи, пользователи могут «просто скачать Wanakiwi, и, если ключ удастся создать заново, он извлекает его, реконструирует (хороший вариант) и начинает расшифровку всех файлов на диске. В качестве бонуса полученный мной ключ можно использовать с дешифратором вредоносных программ, чтобы он расшифровывал файлы, как если бы вы заплатили».
Обратной стороной является то, что ни Wanakiwi, ни Wannakey не работают, если зараженный компьютер был перезагружен или если область памяти, содержащая простые числа, уже была перезаписана. Так что это определенно инструмент, который следует скачать и держать наготове. Для некоторого спокойствия следует отметить, что охранная фирма Comae Technologies помогала в разработке и тестировании Wanakiwi и может проверить его эффективность.
Ты можешь скачайте Ванакиви здесь. Просто распакуйте приложение и запустите его. Обратите внимание, что Windows 10 будет жаловаться, что приложение является неизвестной программой, и вам нужно будет нажать «Подробнее», чтобы разрешить его запуск.
Марк Коппок/Цифровые тенденции
Программы-вымогатели — один из худших видов вредоносных программ, поскольку они атакуют нашу информацию и блокируют ее надежным шифрованием, если только мы не заплатим злоумышленнику деньги в обмен на ключ для ее разблокировки. В программах-вымогателях есть что-то личное, что отличает их от случайных атак вредоносных программ, которые превращают наши компьютеры в безликих ботов.
Единственный лучший способ защититься от WCry — убедиться, что на вашем ПК с Windows установлены последние обновления. Если вы следовали расписанию Microsoft Patch Tuesday и использовали хотя бы Защитник Windows, то ваши машины уже должны быть защищены, хотя наличие автономной резервной копии наиболее важных файлов, которые не могут быть затронуты такой атакой, является важным шагом к брать. В дальнейшем тысячи компьютеров, которые еще не были исправлены, будут продолжать страдать от этой широко распространенной атаки.
Обновлено Марком Коппоком от 19 мая 2017 г.: Добавлена информация об инструменте Wanakiwi.
Рекомендации редакции
- Атаки программ-вымогателей резко возросли. Вот как оставаться в безопасности
- Хакеры зарабатывают с помощью программ-вымогателей, атакующих своих предыдущих жертв
