Масштабна атака програм-вимагачів вразила понад 126 000 жертв у всьому світі та зростає

Крупний план рук на клавіатурі ноутбука в темній кімнаті.
Дмитро Тищенко/123РФ
У п'ятницю, 12 травня 2017 р. фірма з кібербезпеки Avast повідомили про масштабну атаку програм-вимагачів, яка вразила понад 75 000 жертв у 99 країнах, а станом на суботу вдень число зросло до понад 126 000 у 104 країнах. Хоча більшість цілей були розташовані в Росії, Україні та Тайвані, інші жертви були виявлені в Європі.

Зокрема, жертвою стала іспанська телекомунікаційна компанія Telefonica, а також лікарні по всьому Сполученому Королівству. За матеріалами The Guardianатаки у Сполученому Королівстві вразили щонайменше 16 закладів Національної системи охорони здоров’я (NHS) і безпосередньо скомпрометували системи інформаційних технологій (ІТ), які використовуються для забезпечення безпеки пацієнтів.

Рекомендовані відео

Avast

Avast

Програма-вимагач WanaCryptOR, або WCry, базується на вразливості, яку було виявлено в протоколі блокування повідомлень Windows Server і виправлено в Патч Microsoft за березень 2017 року оновлення безпеки, повідомляє Лабораторія Касперського. Перша версія WCry була ідентифікована в лютому і з тих пір була перекладена на 28 різних мов.

Microsoft відповіла до атаки з власним дописом у блозі безпеки Windows, де він посилив повідомлення про те, що наразі підтримувані комп’ютери з Windows, на яких встановлено найновіші виправлення безпеки, захищені від зловмисного програмного забезпечення. Крім того, Windows Defenders вже оновлено для забезпечення захисту в реальному часі.

«12 травня 2017 року ми виявили нову програму-вимагач, яка поширюється як хробак, використовуючи вразливості, які були раніше виправлені», — так почалося резюме Microsoft про атаку. «Хоча оновлення безпеки автоматично застосовуються на більшості комп’ютерів, деякі користувачі та підприємства можуть відкласти розгортання виправлень. На жаль, зловмисне програмне забезпечення, відоме як WannaCrypt, схоже, вразило комп’ютери, на яких не було застосовано виправлення для цих вразливостей. Поки атака розгортається, ми нагадуємо користувачам встановити MS17-010, якщо вони ще цього не зробили».

У заяві продовжується: «Телеметрія Microsoft для захисту від зловмисного програмного забезпечення негайно виявила ознаки цієї кампанії. Наші експертні системи надали нам видимість і контекст цієї нової атаки, коли вона відбувалася, дозволяючи Windows Defender Antivirus забезпечити захист у реальному часі. Завдяки автоматичному аналізу, машинному навчанню та прогнозному моделюванню ми змогли швидко захистити від цього шкідливого програмного забезпечення».

Avast також припустив, що основний експлойт був викрадений у Equation Group, яку підозрюють у зв’язках з АНБ, хакерською групою, яка називає себе ShadowBrokers. Експлойт відомий як ETERNALBLUE і названий Microsoft MS17-010.

Коли зловмисне програмне забезпечення вражає, воно змінює назву уражених файлів, додаючи розширення «.WNCRY» і додає «WANACRY!» маркер на початку кожного файлу. Він також розміщує свою записку про викуп у текстовий файл на комп’ютері жертви:

Avast

Avast

Потім програма-вимагач відображає своє повідомлення про викуп, у якому вимагає від 300 до 600 доларів США у біткойнах, і надає інструкції щодо оплати та відновлення зашифрованих файлів. Мова в інструкціях щодо викупу на диво невимушена і здається схожою на те, що можна прочитати в пропозиції придбати продукт онлайн. Насправді у користувачів є три дні, щоб заплатити, перш ніж сума викупу подвоюється, і сім днів, щоб заплатити, перш ніж файли більше не можна буде відновити.

Avast

Avast

Цікаво, що атаку сповільнив або потенційно зупинив «випадковий герой», просто зареєструвавши веб-домен, який був жорстко закодований у програмному коді-вимагачі. Якби цей домен відповів на запит шкідливого програмного забезпечення, він припинив би заражати нові системи — діючи як свого роду «перемикач», який кіберзлочинці могли б використати, щоб припинити атаку.

як The Guardian зазначає, дослідник, відомий лише як MalwareTech, зареєстрував домен за 10,69 дол. обідали з другом і повернулися близько 15:00. і побачив приплив новинних статей про NHS та різні організації Великобританії удар. Я трохи подивився на це, а потім знайшов зразок шкідливого програмного забезпечення, що стоїть за ним, і побачив, що воно підключається до певного домену, який не був зареєстрований. Тож я взяв його, не знаючи, що він робить у той час».

MalwareTech зареєстрував домен від імені своєї компанії, яка відстежує ботнети, і спочатку їх звинуватили в ініціації атаки. «Спочатку хтось неправильно повідомив, що ми спричинили зараження, зареєструвавши домен, тож я це зробив міні-божевоління, доки я не зрозумів, що насправді все навпаки, і ми зупинили це», — сказав MalwareTech The. Опікун.

Однак це, ймовірно, не кінець атаки, оскільки зловмисники можуть змінити код, щоб пропустити перемикач блокування. Єдине справжнє рішення — переконатися, що комп’ютери повністю виправлені та працюють із правильним програмним забезпеченням для захисту від зловмисного програмного забезпечення. Хоча комп’ютери Windows є цілями цієї конкретної атаки, MacOS продемонструвала власну вразливість тому користувачі ОС Apple також повинні вжити відповідних заходів.

Набагато яскравішими новинами є те, що тепер з’являється новий інструмент, який може визначати ключ шифрування, що використовується програмою-вимагачем на деяких машинах, що дозволяє користувачам відновлювати свої дані. Новий інструмент під назвою Wanakiwi схожий на інший інструмент, Wannakey, але він пропонує простіший інтерфейс і потенційно може виправляти машини, на яких працює більше версій Windows. як Про це повідомляє Ars Technica, Wanakiwi використовує деякі хитрощі, щоб відновити прості числа, використані для створення ключа шифрування, в основному шляхом вилучення цих чисел з ОЗП якщо інфікована машина залишається увімкненою, а дані ще не перезаписані. Wanawiki використовує деякі «недоліки» в програмному інтерфейсі програми Microsoft Cryptographic, який використовувався WannaCry та різними іншими програмами для створення ключів шифрування.

За словами Бенджаміна Делпі, який брав участь у розробці Wanakiwi, цей інструмент був протестований на кількох машинах із зашифрованими жорсткими дисками, і він успішно розшифрував кілька з них. Серед перевірених версій були Windows Server 2003 і Windows 7, і Delpy припускає, що Wanakiwi також працюватиме з іншими версіями. За словами Delpy, користувачі можуть «просто завантажити Wanakiwi, і якщо ключ можна сконструювати знову, він витягує його, реконструює (хороший) і починає розшифровку всіх файлів на диску. Крім того, отриманий мною ключ можна використовувати з дешифратором зловмисного програмного забезпечення, щоб розшифрувати файли, ніби ви заплатили».

Недоліком є ​​те, що ані Wanakiwi, ані Wannakey не працюють, якщо заражений ПК було перезавантажено або якщо простір пам’яті, що містить прості числа, уже перезаписано. Тож це безумовно інструмент, який слід завантажити та тримати напоготові. Для додаткового спокою слід зазначити, що охоронна фірма Comae Technologies допомагала розробити та тестувати Wanakiwi та може перевірити її ефективність.

Ти можеш завантажте Wanakiwi тут. Просто розпакуйте програму та запустіть її, і зауважте, що Windows 10 скаржиться, що програма є невідомою програмою, і вам потрібно буде натиснути «Докладніше», щоб дозволити їй запуститися.

Марк Коппок/Цифрові тенденції

Марк Коппок/Цифрові тенденції

Програмне забезпечення-вимагач є одним із найгірших видів шкідливого програмного забезпечення, оскільки воно атакує нашу інформацію та блокує її за надійним шифруванням, якщо ми не заплатимо зловмиснику гроші в обмін на ключ для її розблокування. У програмах-вимагачах є щось особисте, що відрізняє їх від випадкових атак шкідливих програм, які перетворюють наші комп’ютери на безликих ботів.

Єдиний найкращий спосіб захиститися від WCry — переконатися, що на вашому комп’ютері Windows встановлено останні оновлення. Якщо ви дотримуєтеся розкладу Microsoft Patch Tuesday і використовуєте принаймні Windows Defender, то ваші машини вже повинні бути захищено — хоча резервна копія найважливіших файлів, які не можуть бути зачеплені такою атакою, є важливим кроком для брати. У майбутньому саме тисячі машин, які ще не були виправлені, продовжуватимуть страждати від цієї широко поширеної атаки.

Оновлено 19.05.2017 Марком Коппоком: додано інформацію про інструмент Wanakiwi.

Рекомендації редакції

  • Атаки програм-вимагачів різко зросли. Ось як уберегтися
  • Хакери заробляють на програмі-вимагачі, яка атакує своїх попередніх жертв