Программа-вымогатель «WannaCry»

Что такое WannaCry?

Программа-вымогатель WannaCry атакует сети, использующие протокол SMBv1 для обеспечения обмена данными между компьютерам и принтерами, а также другими устройствами, которые подключены к сети. Эта версия протокола от 2003 г. содержит уязвимость (обозначаемую как MS17-010), которая позволяет злоумышленникам атаковать компьютер. В марте компания Microsoft выпустила исправление для поддерживаемых версий ОС Windows, устраняющее эту уязвимость. Но те, кто не установил его, оказались легкой мишенью для создавших WannaCry злоумышленников.

Программа WannaCry, известная также как WanaCrypt0r 2.0 и WCry, использует возможности управляющей ПК операционной системы Windows, чтобы зашифровать файлы и заблокировать доступ к ним пользователей, если они не заплатят 300 долл. США в биткойнах в течение трех дней. После этого цена удваивается.

Цели WannaCry

Во время крупной волны атак программы-вымогателя в мае 2017 г. чаще всего страдали пользователи из России, Китая, Украины, Тайваня, Индии и Бразилии. Атаки WannaCry затронули как частных лиц, так и государственные организации, больницы, университеты, железнодорожные, технологические и телекоммуникационные компании в более чем 150 странах. Среди жертв оказались Национальная служба здравоохранения Великобритании, железнодорожный оператор Deutsche Bahn, испанская компания Telefónica, компании FedEx, Hitachi и Renault.

Источник WannaCry

Эксперты отмечают, что программа-вымогатель WannaCry использует модель поведения червя и применяет два метода атак из арсенала АНБ, ставших известными в результате утечки (ETERNALBLUE и DOUBLEPULSAR). Кроме того, они обнаружили доказательства причастности к волне атак программы-вымогателя северокорейской группы Lazarus.

В 2014 г. эти злоумышленники, известные использованием биткойнов в своих операциях, удалили почти терабайт данных из базы данных компании Sony Pictures. Кроме того, в 2015 г. они создали вредоносную лазейку, которую в 2016 г. использовали для кибератаки на Центральный банк Бангладеша, ущерб от которой составил 81 миллион долларов.

Как распознать WannaCry

Возможно, вы не сумеете распознать программу WanaCrypt0r 2.0 до заражения, так оно не требует вашего участия. Этот тип программы-вымогателя использует модель поведения червя, распространяясь по сетям и прокладывая путь к ПК, где и шифрует ваши файлы. После заражения вы увидите предупреждение и не сможете получить доступ к своим файлам или, что еще хуже, вовсе не сможете войти в систему своего ПК.

Как удалить WannaCry

Удалить WannaCry можно с помощью антивирусного ПО. К сожалению, это действие не расшифрует ваши файлы. Став жертвой, вы сможете сделать немногое. Программа Avast Free Antivirus оснащена инструментом для расшифровки файлов, зашифрованных программой-вымогателем, но шифрование WannaCry очень надежно (AES-128 в сочетании с RSA-2048). Наибольший шанс на восстановление файлов дает использование резервной копии, если это возможно. Но сначала нужно очистить ПК и установить обновления.

Как предотвратить заражение WannaCry

Чтобы защитить себя от атак программы-вымогателя WannaCry, чрезвычайно важно поддерживать актуальность версий своего программного обеспечения, прежде всего — операционной системы. Недавно компания Microsoft выпустила исправления даже для старых, уже не имеющих официальной поддержки версий Windows. Используйте антивирус: он поможет обнаружить любые подозрительные действия на вашем ПК. Программа Avast защитит вас как с установленными исправлениями, так и без них. Опытные пользователи могут изменить настройки брандмауэра, чтобы взять под контроль сетевой трафик, использующий определенные параметры подключения. Эти параметры называются правилами для пакетов и могут включать сетевые протоколы, IP-адреса источника или назначения, а также локальные и удаленные порты.

Используйте программы для защиты от вредоносного ПО!

Плохая новость: WannaCry — лишь одна из многих угроз. Хорошая новость: наша бесплатная программа Avast Free Antivirus не позволит вредоносному ПО проникнуть на ваш компьютер. Средство «Анализ сети» сканирует сеть и обнаруживает потенциальные угрозы безопасности. Даже если вредоносное ПО преодолевает первый уровень защиты, средство «Анализ поведения» выявит его сразу же, как только оно попытается совершить подозрительное действие.

WannaCry — что это было и как не заразиться опасным вирусом шифровальщиком — Ferra.ru

Идти на уступки преступникам считается плохой практикой в любой ситуации, ведь так вы только провоцируете их на новые попытки обобрать вас. С другой стороны, порой информация стоит гораздо дороже 300 долларов. Однако несмотря на то, что сотни людей всё же поддались соблазну перевести злоумышленникам деньги, и те собрали уже несколько десятков тысяч долларов, нет ни одного зарегистрированного случая возвращения данных. Скорее всего, у преступников просто нет технической возможности отслеживать, владелец какого заблокированного компьютера совершил платёж.

Кто пострадал?

Как обычно, жертвами стали пользователи Windows. Но, конечно, не все. Если у вас Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 или Windows Server 2016 и, что самое важное, ваша ОС настроена на автоматические обновления, то ваш компьютер вне опасности. Другие версии, включая Windows XP, Windows 8, Server 20003, уже не поддерживаются Microsoft и не получают обновлений, в том числе закрывающих критические уязвимости. Однако еще целых 7 процентов Windows-пользователей «сидят» на XP. Не все из них паранойики и скряги. Часть — корпорации, которые используют софт, не работающий адекватно на более новых системах. Впрочем, в этот раз Microsoft пошла на уступки и выпустила патч для уже неподдерживаемых ОС, который закрывает ту самую уязвимость, через которую червь проникает в ваш ПК.

В общей сложности атаки WannaCry были зарегистрированы в 73 странах. В России с вирусом-шифровальщиком столкнулись «Сбербанк», «Мегафон» и МВД, в Британии — городские больницы, работа которых была серьёзно нарушена, в Испании — телекоммуникационная компания Telefonica. Также сообщения с требованием выкупа можно было увидеть на цифровых табло на станциях электричек в Германии, а Renault даже пришлось остановить несколько фабрик во Франции.

Кто виноват?

Конечно, в первую очередь нужно винить создателеь WannaCry. Но не только их усилия привели к подобной ситуации. В основе зловреда WannaCry используется эксплойт (код, использующий уязвимость; позже многие эксплойты становятся основой вирусов) под кодовым названием EternalBlue. Информация об этом эксплойте была в утечках из Агенства Национальной Безопасности США — спецслужба, вероятно, планировала использовать уязвимость в своих целях. А EternalBlue, в свою очередь, эксплуатировал уязвимость в SMB-протоколе (он отвечает за «Сетевое окружение») для того, чтобы распространяться среди компьютеров, которые еще не были вовремя обновлены необходимой «заплаткой» от Microsoft.

Мы все не раз слышали о страстном желании различных правительств получать доступ ко всей информации любыми способами, как с помощью требований к IT-компаниям сотрудничать и предоставлять возможность «взламывать» их устройства, так и без их участия. И тут, как с военными складами — если их ограбят террористы и унесут оружие в неизвестном направлении, никто не сможет чувствовать себя в безопасности.

Кто всех спас?

Не обошлось и без героя, усилиями которого удалось если не предотвратить, то заметно притормозить дальнейшее распространение WannaCry. Им стал 22-летний британский программист Маркус Хатчис, известный в твиттере под псевдонимом MalwareTech. Он выяснил, что вирус сначала обращается к несуществующему домену в интернете и только потом начинает процесс зашифровки данных и блокировки компьютера. В противном случае, если связь с сайтом установлена, вирус деактивируется.

WannaCry: как работает крупнейшее компьютерное вымогательство

• Андрей Сошников
• Русская служба Би-би-си

13 мая 2017

Автор фото, Getty Images

Подпись к фото,

Злоумышленники, чей вирус распространяется с «адской скоростью», собрали 12 тыс. долларов за неполные сутки

Программа-вымогатель 12 мая заблокировала десятки тысяч компьютеров по всему миру, в том числе в государственных учреждениях и крупных компаниях. Больше всего пострадала Россия. Отвечаем на главные вопросы о новой угрозе.

Что это за вирус?

Программа-вымогатель WannaCry (она же WCry и WannaCryptor) шифрует файлы пользователя, в результате чего их больше нельзя использовать. Для расшифровки файлов программа требует оплату в биткойнах, эквивалентную 300, по другим данным — 600 долларам.

Злоумышленники обещают удвоить стоимость выкупа 15 мая и сделать изменения на компьютере безвозвратными 19 мая. Также они обещают «бесплатные мероприятия» для бедных пользователей. Связаться со злоумышленниками можно прямо через программу.

Кто уже пострадал?

«Лаборатория Касперского» зафиксировала порядка 45 тысяч попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России. Сотрудник компании Avast Якуб Кроустек отмечает в «Твиттере», что заражены как минимум 36 тысяч компьютеров в мире, большинство из них — в России, Украине и Тайване.

Автор фото, Jakub Kroustek

Подпись к фото,

Больше всего от вируса страдают страны бывшего СССР

В России жертвами вируса уже стали «Сбербанк», «Мегафон» и министерство внутренних дел (ранее ведомство отрицало заражения). В Британии жертвами стали государственные больницы, в Испании — телекоммуникационная компания Telefonica.

«Новый вирус распространяется с адской скоростью», — сообщают исследователи MalwareHunterTeam.

В субботу о вирусных атаках на российские банки сообщили российский Центробанк и «Российские железные дороги». В обоих случаях вирус удалось локализовать.

Причем здесь Агентство национальной безопасности США?

Для атаки хакеры использовали модифицированную программу EternalBlue, изначально разработанную Агентством национальной безопасности США. Она была украдена хакерами The Shadow Brokers у хакеров Equation Group в августе 2016 года и опубликована в апреле 2017-го.

Подпись к фото,

Судя по русскоязычной версии программы, условия выкупа изначально были написаны на другом языке и переведены машинным способом

О связи Equation Group c Агенством национальной безопасности США писали в WikiLeaks. В «Лаборатории Касперского» отмечали схожесть инструментов Equation Group со Stuxnet — компьютерным червем, который, по данным New York Times, американские и израильские власти использовали для атаки на иранскую ядерную программу.

Бывший сотрудник американских спецслужб Эдвард Сноуден заявил, что АНБ может быть косвенно причастна к атаке. «Решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц», — написал он в «Твиттере».

АНБ пока никак не прокомментировало эти утверждения, в то время как министерство внутренней безопасности США заявило, что осведомлено о ситуации с вирусом WannaCry и работает над предотвращением его последствий на гражданские и государственные сети.

Сколько уже «заработали» вымогатели?

Для сбора средств злоумышленники используют по меньшей мере четыре кошелька для биткойнов (1, 2, 3, 4). Меньше чем за сутки пострадавшие перевели на них более 7 биткойнов, что равно 12 тыс. долларов. Учитывая, что пользователи обычно откладывают выкуп на последний день, «прибыль» может вырасти многократно.

Это, а также география заражений, позволяет говорить о самой масштабной атаке с использованием программы-вымогателя в истории.

Почему это работает?

Вирус использует уязвимость в операционной системе Windows, которую Microsoft закрыла еще в марте 2017 года. Всем, у кого система обновилась, вирус не угрожает. Однако многие пользователи и организации отключают автоматические обновления на своих компьютерах.

Противоядие для компьютеров, зараженных WannaCry, пока не выпущено.

Как защититься?

Программы-вымогатели обычно устанавливаются через документы, распространяемые по электронной почте. Как называется файл-переносчик в случае с WannaCry, пока также не ясно.

Что мы знаем о вирусе-вымогателе WannaCry | Европа и европейцы: новости и аналитика | DW

Многие наблюдатели в понедельник, 15 мая, с тревогой ждут, какой силы будет вторая волна кибератак, охвативших на минувших выходных не менее 200 тысяч компьютеров из 150 стран мира. Больницы, крупные промышленные компании, министерства, частные лица — программа-вымогатель не делала особых различий в выборе жертв. Сегодня многие люди выходят на работу и включают компьютеры, но не все защищены от нового вируса. DW — о том, что известно на данный момент о вредоносной программе, известной под названием WannaCry.

Метод злоумышленников

Кибератака преследует цель вымогать у жертв деньги — 300 долларов США, но в цифровой валюте, так называемых биткоинах. Для этого вирус-вымогатель шифрует данные компьютера пользователя, требуя выкуп за расшифровку. Требования WannaCry коварны: если в течение трех дней пользователь не заплатит выкуп, требуемая сумма увеличивается до 600 долларов. После семи дней восстановить данные будет невозможно, угрожают нападающие. Атака считается опасной, потому что вирус копирует сам себя до бесконечности, если находит другие компьютеры, в которых есть аналогичная дыра в системе безопасности.

Откуда вирус?

Несколько IT-специалистов в Германии вслед за президентом Microsoft Брэдом Смитом утверждают, что код для вируса WannaCry родился в недрах американского Агентства национальной безопасности (АНБ). Считается, что его сотрудники обнаружили дыру в защите операционной системы Windows компании Microsoft и использовали ее для разработки своей программы-шпиона, получившей кодовое название EternalBlue.

Штаб-квартира АНБ

В марте 2017 года компания Microsoft предоставила всем пользователям обновление Windows, чтобы залатать эту дыру. Спустя месяц программа АНБ стала общедоступной: неизвестная группа хакеров, называющих себя Shadow Brokers, взломала и опубликовала целый ряд секретов американских спецслужб, включая EternalBlue. Обозреватели предполагают, что злоумышленники воспользовались именно программой EternalBlue для создания вируса WannaCry, который и нанес столь серьезный ущерб по всему миру в минувшие выходные.

Кто пострадал или может еще пострадать

Вирус распространяется только на компьютеры, на которых установлена операционная система Windows и угрожает только тем пользователям, которые отключили функцию автоматического обновления системы. Обновления в виде исключения доступны даже для владельцев старых версий Windows, которые уже не обновляются: XP, Windows 8 и Windows Server 2003.

От вируса-вымогателя пострадали многие крупные компании, в том числе Deutsche Bahn

Но многие отключают автоматические обновления. Microsoft объясняет это частично тем, что значительная часть установленных по всему миру Windows — пиратские копии, а только легальные версии обычно дают возможность автоматических обновлений. Так или иначе, начиная с вечера пятницы, 12 мая, атакам WannaCry, также известного под именем Wanna Decryptor 2.0, подверглись, в частности, компьютерные системы российского «Мегафона», МВД РФ, Следственного комитета и РЖД, а также многие цели на Украине. 

В Центральной и Западной Европе пострадали компьютеры немецкого железнодорожного концерна Deutsche Bahn (DB), испанской телекоммуникационной компании Telefonica. Французский автопроизводитель Renault был вынужден приостановить некоторые из своих заводов во Франции и Словении. В Великобритании вирус заблокировал работу сразу нескольких больниц. В США пострадала экспресс-почта FedEx. Большой урон WannaCry нанес Тайваню.

Всего, по данным Интерпола, пострадало не менее 200 тысяч компьютеров в 150 странах. Эти цифры — предварительные и не учитывают новых потенциальных жертв вируса, которые включили свои компьютеры после выходных.

Новая атака возможна?

Об угрозе новой атаки предупреждает, в частности, молодой IT-специалист из Великобритании, пишущий в Twitter под именем MalwareTech. Считается, что он был одним из тех, кому удалось остановить распространение вируса, обнаружив в нем недоработку.

Но этот же британец, а вместе с ним и многие другие специалисты по безопасности, предупреждают, что существует новая версия вируса, в которой недоработка устранена. В Европе пик хакерской атаки пройден, утверждают в Европоле. Число пострадавших, по данным полицейской организации ЕС, не увеличивается.

Кто стоит за атакой?

До сих пор об организаторах и исполнителях кибератаки ничего не известно. Многие IT-специалисты, опрошенные немецкими, британскими и американскими СМИ, считают, что атаку организовала группа киберпреступников с целью наживы.

Преступники, возможно, станут заложниками собственного успеха, предполагают журналисты газеты Süddeutsche Zeitung. Уголовные дела по факту кибератаки заведены не только в Германии, но и во многих странах мира. И если в интернете еще достаточно легко скрыть свои следы, то путь добытых путем вымогательства денег проследить проще, пишет газета.

Как защититься от кибератак?

Главная рекомендация всех опрошенных экспертов по цифровой безопасности — как можно скорее обновить как операционную систему, так и антивирусные программы. Второй необходимый шаг — регулярно делать резервные копии своих данных, как минимум, наиболее важных из них. Тогда угрозы киберпреступников будут по-прежнему неприятны, но не так страшны.

Смотрите также:

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Личные данные немецких политиков оказались в Сети

  Как стало известно 4 января, в конце 2018 года в Twitter появились ссылки на личные данные — в том числе, паспортные и кредитных карт — 994 немецких политиков, актеров, журналистов, музыкантов. Уже 6 января по подозрению в совершении взлома арестовали 20-летнего ученика гимназии в Гессене. По данным полиции, он много времени проводил у компьютера, однако специального образования у него нет.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Российские «мишки»

  За последние годы новости о хакерах и кибератаках стали уже обыденностью. Зачастую авторство взломов приписывается нескольким группам хакеров — Cozy Bear (дословно «уютный медведь», известна еще как APT29), Fancy Bear («модный медведь», APT28) и Energetic Bear («энерегетический медведь»), которые связывают с российскими спецслужбами. Улики косвенные, но с каждым разом их становится все больше.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Атаки на энергосети США и Германии

  Летом 2018 года стало известно об атаках хакерской группировки Energetic Bear на энергосети США и Германии. По оценкам америкаснких спецслужб, в США взломщики даже дошли до этапа, когда могли включать и выключать электричество и вывели из строя потоки энергии. В ФРГ же хакерам удалось проникнуть в сети лишь нескольких компаний до того, как немецкие спецслужбы взяли ситуацию под контроль.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  США обвинили ГРУшников в кибератаках

  13 июля 2018 года Минюст США (на фото — офис ведомства в Вашингтоне) обвинил 12 граждан РФ в попытке вмешаться в выборы американского президента в 2016 году. По версии следствия, сотрудники Главного разведывательного управления (ГРУ) Генштаба вооруженных сил России участвовали во взломе компьютерных систем Демократической партии и предвыборного штаба Хиллари Клинтон.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  США и Великобритания обвинили РФ в масштабной кибератаке

  ФБР, министерство внутренней безопасности США и британский Центр национальной компьютерной безопасности 16 апреля 2018 года заявили, что российские хакеры атаковали госструктуры и частные компании в попытке завладеть интеллектуальной собственностью и получить доступ к сетям своих жертв. Аналогичные обвинения в тот же день озвучила министр обороны Австралии Мариз Пейн.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Bad Rabbit поразил Россию и Украину

  Новый вирус Bad Rabbit поразил 24 октября серверы нескольких российских СМИ. Кроме того, хакеры атаковали несколько государственных учреждений на Украине, а также системы киевского метрополитена, министерства инфраструктуры и аэропорта Одессы. Ранее атаки Bad Rabbit были зафиксированы в Турции и Германии. Эксперты считают, что вирус распространяется методом, схожим с ExPetr (он же Petya).

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Кибератака века

  12 мая 2017 года стало известно, что десятки тысяч компьютеров в 74 странах подверглись кибератаке небывалого масштаба. Вирус WannaCry шифрует данные на компьютерах, хакеры обещают снять блокировку за выкуп в 300 долларов в биткоинах. Особо пострадали медучреждения Великобритании, компания Deutsche Bahn в ФРГ, компьютеры МВД РФ, Следственного комитета и РЖД, а также Испания, Индия и другие страны.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Вирус Petya

  В июне 2017 года по всему миру были зафиксированы атаки мощного вируса Petya.A. Он парализовал работу серверов правительства Украины, национальной почты, метрополитена Киева. Вирус также затронул ряд компаний в РФ. Зараженными оказались компьютеры в ФРГ, Великобритании, Дании, Нидерландах, США. Данных о том, кто стоял за распространением вируса, нет.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Атака на бундестаг

  В мае 2015 года обнаружилось, что взломщики проникли во внутреннюю компьютерную сеть бундестага с помощью вредоносной программы («трояна»). IT-эксперты обнаружили в этой атаке следы группы APT28. В пользу российского происхождения хакеров свидетельствовали, среди прочего, русскоязычные настройки вирусной программы и время проводимых ими операций, совпадавшее с московскими офисными часами работы.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Против Хиллари

  В ходе предвыборной гонки за пост президента США хакеры дважды получали доступ к серверам Демократической партии кандидата Хиллари Клинтон. Американские спецслужбы и IT-компании установили, что летом 2015 года действовали представители Cozy Bear, а весной 2016-го — Fancy Bear. По мнению разведслужб США, кибератаки были санкционированы высокопоставленными российскими чиновниками.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Партия Меркель под прицелом

  В мае 2016 года стало известно о том, что штаб-квартира партии Христианско-демократический союз (ХДС) канцлера ФРГ Ангелы Меркель подверглась хакерской атаке. IT-специалисты утверждали, что это взломщики из Cozy Bear пытались получить доступ к базам данных ХДС с помощью фишинга (рассылка писем со ссылками на сайты, не отличимые от настоящих), но попытки не увенчались успехом.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  Допинговый взлом

  В сентябре 2016 года Всемирное антидопинговое агентство (WADA) сообщило о взломе своей базы данных. Группа Fancy Bear выложила в Сеть документы со списком атлетов, которым WADA разрешило использовать в связи с лечением заболеваний препараты из списка запрещенных (терапевтические исключения). Среди них были американские теннисистки Серена и Винус Уильямс и гимнастка Симона Байлз.

• Взломай меня полностью: громкие кибератаки и утечки данных последних лет

  500 млн аккаунтов Yahoo

  В феврале 2017 года Минюст США выдвинул обвинения в краже данных более 500 млн аккаунтов в Yahoo против двух офицеров ФСБ Дмитрия Докучаева и Игоря Сущина. Кибератака произошла в конце 2014 года. По версии обвинения, сотрудники ФСБ наняли для этого двух хакеров. Среди жертв взлома оказались российские журналисты, правительственные чиновники из России и США и многие другие.

  Автор: Илья Коваль

Остановивший вирус WannaCry хакер не сядет в тюрьму

Хакер Маркус Хатчинс, ставший известным после того, как в одиночку остановил эпидемию вируса WannaCry, избежал тюремного заключения в США — вместо этого он сможет вернуться на родину в Великобританию, где должен оставаться под присмотром полиции. Известно, что Хатчинс создал два банковских трояна, а также помогал в их распространении, но американский суд решил, что заслуги хакера перед обществом перевесили его преступления.

Добро перевесило

Британский программист Маркус Хатчинс, который помог остановить распространение эпидемии вируса WannaCry в 2017 году, избежал тюремного наказания по обвинению в хакерстве, сообщает »Би-би-си».

Хатчинс был арестован ФБР в августе 2017 года сразу после хакерской выставки DEF CON в Лас-Вегасе, куда программист прилетел в качестве участника. Его обвинили в создании, продаже и распространении банковского трояна Kronos в 2014–2015 годах.

Согласно официальному документу, 23-летний Маркус Хатчинс, также известный как MalwareTech, создал Kronos, опубликовал видео с его функционалом на общедоступном сайте в интернете, разрекламировал и продал его на ныне закрытом популярном форуме даркнета AlphaBay.

Троян Kronos в основном атаковал отели, образовательные и финансовые учреждения в Северной Америке и Великобритании.

Позже к изначальным обвинениям добавилось еще одно — Хатчинса также обвинили в создании зловреда UPAS Kit. В общей сложности ему грозило 10 лет лишения свободы.

Коллеги и близкие Маркуса Хатчинса не могли поверить и принять то, что он мог быть как-то причастен к созданию вирусов, так как его работа заключается как раз в противодействии киберугрозам. Однако, в апреле 2019 года 25-летний Хатчинс признал себя виновным по двум эпизодам создания вредоносного программного обеспечения, позволяющего похищать данные банковских карт у интернет-пользователей.

Тем не менее, в американскую тюрьму программист все же не сядет — судья Штадтмюллер приговорил его к одному году полицейского надзора.

Таким образом, он может оставаться на свободе, но под присмотром правоохранительных органов. Кроме того, ему разрешили вернуться обратно в Великобританию, которую он не видел уже два года.

В судебных документах указывается на то, что Хатчинс уже давно не принимает участие в создании вирусов. Он действительно причастен к Kronos и UPAS Kit, но с тех пор он стал так называемым «белым хакером», посвятившим себя исследованиям в сфере информационной безопасности.

В день, накануне оглашения приговора, Хатчинс написал сообщение с выражением благодарности всем тем, кто поддерживал его эти два года.

«Это так много значит для меня», — сообщил программист.

Кроме того, на своем официальном сайте Маркус Хатчинс пояснил, что написал вирус еще до того, как начал карьеру в ИБ-сфере.

«Я сожалею об этом и признаю полную ответственность. Теперь я повзрослел и использую свои навыки, которыми я злоупотребил несколько лет назад, в созидательных целях. Я продолжу работать, чтобы защищать людей от вредоносных атак», — заключил Хатчинс.

Не все герои носят плащи

Маркус Хатчинс стал знаменит после того, как случайно остановил распространение масштабного вируса WannaCry 12 мая 2017 года. Этот зловрел успел поразить 150 стран, нарушив работу больниц и финансовых учреждений во всем мире, включая Россию.

Хатчинс обнаружил, что WannaCry обращается к несуществующему домену, после чего зарегистрировал такое же доменное имя за несколько долларов, что позволило выиграть время для защиты от дальнейшего распространения вируса, а после и вовсе остановить его.

Западная пресса растиражировала сообщения о том, что именно исследователь по кибербезопасности MalwareTech стал героем дня и спас мир от WannaCry.

Британским СМИ понадобилась всего пара дней, чтобы деанонимизировать Хатчинса, и уже спустя двое суток журналисты толпились около его дома, бесперебойно звонили в дверной звонок и засовывали свои визитки в почтовый ящик. Потом в одном из интервью он заявил, что эта ситуация его сильно напугала, так как он не очень любит людей.

«То, что мы сделали с WannaCry, было впечатляющим с точки зрения масштаба, но на техническом уровне мы всего лишь зарегистрировали домен. Мой работодатель и так платил мне больше, чем я заслуживаю, так что история с WannaCry ничего особо не изменила», — заявил Хатчинс.

организации в десятках стран пострадали от вируса-вымогателя WannaCry — РТ на русском

В пятницу по всему миру прошла волна хакерских атак с использованием программы ransomware WanaCrypt0r 2.0 (WannaCry). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем в 74 странах. Целями злоумышленников, вымогавших выкуп за доступ к зашифрованным вирусом файлам, стали, в частности, медучреждения в Великобритании, испанская телекоммуникационная компания Telefonica, американский почтовый гигант FedEx, российские Сбербанк, «МегаФон» а также МВД и МЧС России.

Десятки тысяч компьютеров в 74 странах были заражены 12 мая вирусом-шифровальщиком WanaCrypt0r 2.0 (также обозначается как WannaCry). Вредоносная программа, требующая для разблокировки выкуп в размере $600 в криптовалюте биткоин, поразил компьютерные системы крупных организаций по всему миру, в том числе и российских ведомств. 

Первыми о масштабном распространении вируса сообщили программисты из команды MalwareHunterTeam, опубликовавшие соответствующее сообщение ещё в 04:00 12 мая.

«Ransomware-вирус WanaCrypt0r 2.0 чертовски быстро распространяется», — сообщила группа. Согласно их данным больше всего атак по состоянию на утро пятницы наблюдалось в России, на Тайване и в Испании.

So, WanaCrypt0r 2.0 ransomware (the new WCry/WannaCry) is spreading like hell.
Yesterday’s «massive» Jaff campaign compared to this: small.

— MalwareHunterTeam (@malwrhunterteam) 12 мая 2017 г.

К вечеру пятницы в ряде СМИ появилась информация, что хакерам удалось заразить компьютерные сети Национальной системы здравоохранения Великобритании, в результате чего была временно нарушена работа 25 медицинских учреждений в Англии и Шотландии. Из Испании сообщения о кибератаках с применением вируса WannaCry поступили от телекоммуникационной компании Telefonica, банка Iberica, энергокомпании Iberdrola и Gas Natural. Об атаках на свои компьютеры сообщил и американский почтовый гигант FedEx.

Инструмент АНБ

Некоторые эксперты указали на метод распространения вируса с помощью «дыры» в безопасности системы Windows. Об этом заявила, в частности, группа The Shadow Brokers, которая также сообщила, что выложила в свободный доступ хакерские программы, украденные у Агентства национальной безопасности США. О том, что данная атака была проведена с помощью программ, разработанных в недрах АНБ, заявил и бывший сотрудник ведомства Эдвард Сноуден.

«Ого: решение АНБ создавать инструменты атаки против американского программного обеспечения теперь угрожает жизням пациентов больниц», — написал Сноуден в своём Twitter.

Поддержал его и портал WikiLeaks, напомнивший, что ранее не раз предупреждал о бесконтрольном распространении вредоносного программного обеспечения американскими спецслужбами в серии своих публикаций Vault 7.

«Если не можешь сохранить в тайне — не создавай: источник Vault 7 предупреждал об огромном риске распространения кибероружия США среди преступников», — сообщается в Twitter организации.

В России атакам подверглись серверы и компьютерные системы оператора сотовой связи «МегаФон», Сбербанка а также МВД и МЧС. Компании «МегаФон» временно пришлось отключить часть компьютерной системы и приостановить работу кол-центра. Сбербанк, МВД и МЧС заявили, что хакерам не удалось проникнуть через их системы защиты.

«Все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. Все интернет-ресурсы МЧС России работают в штатном режиме», — приводит ТАСС слова представителя ведомства.

«Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновения вирусов в систему не произошло», — говорится в сообщении Сбербанка.

Кроме российских, вирусом были также атакованы ведомства Швеции. Там вирус поразил около 70 компьютеров муниципалитета Тимра к северу от Стокгольма.

Агентство Интерфакс со ссылкой на осведомлённый источник сообщило, что атака на серверы МВД не привела к утечке информации.

Интернациональная группа

В данном случае речь идёт о распространении нового типа вируса ransomware, считает эксперт по информационной безопасности ЗАО «Монитор безопасности» Тарас Татаринов.

«Судя по всему, речь идёт не о таргетированной хакерской атаке, а о распространении какого-то нового типа вируса ransomware», — отметил эксперт в разговоре с RT.

По его мнению, такие программы создают высокопрофессиональные злоумышленники, отследить которых крайне затруднительно, почти невозможно.

«По крайней мере, техническими средствами определить, кто является автором вредоносной программы, нельзя. То, что охвачено такое большое количество стран, свидетельствует о том, что действовала команда преступников, но совсем не обязательно, что они совершили нападение из одного какого-то государства, это могла быть интернациональная группа», — заявил Татаринов. 

Генеральный директор компании Zecurion Алексей Раевский заявил в разговоре с RT, что не верит, будто киберпреступники специально выбирали цели для своей масштабной атаки.

Как отметил эксперт, вероятнее всего, они искали любые компании и ведомства с уязвимостями, а потом их использовали.

«Скорее всего, нашли уязвимости и стали сканировать на предмет того, как воспользоваться ими. Что нашли, то и использовали, так сказать. Вряд ли это были таргетированные атаки на определённые организации», — заявил он.

В распоряжение RT поступило официальное заявление от компании «Лаборатория Касперского».

«Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название WannaCry, с которой 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на заражённую систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — говорится в заявлении.

«Лаборатория Касперского» зафиксировала порядка 45 тыс. попыток атак в 74 странах.

После атаки WannaCry «дочка» «Мегафона» ищет новых ИТ-директоров

31 Мая 2017 17:0831 Мая 2017 17:08 | Поделиться Розничная «дочка» «Мегафона» начала поиск новых руководителей и специалистов своего ИТ-подразделения. Это случилось после того, как компьютеры компании оказались поражены вирусом WannCry.

«Мегафон.Ритейл» требуется новое ИТ-руководство

«Мегафон.Ритейл» — розничная «дочка» сотового оператора «Мегафон» — начала поиск новых руководителей и специалистов своего ИТ-подразделения. Такие вакансии размещены «Мегафоном» в базе Headhunter.ru.

В числе в Москве ведется поиск кандидатов на позиции «руководитель ИТ» и «директор по информационным технологиям» «Мегафон.Ритейл». Поиск этих вакансий начался в период с 17 по 26 мая 2017 г.

Искомые компанией специалисты должны отвечать за эффективную организацию ИТ, организацию бесперебойной работы ИТ-сервисов и инфраструктуры, реализацию федеральных ИТ-проектов и пр.

Последствия атаки WannaCry

Издание «Роем.ру» увязывает открытие вакансий ИТ-руководителей «Мегафон.Ритейла» с глобальной атакой вируса-вымогателя WannaCry, начавшейся 12 мая 2017 г.

Этот вирус шифрует файлы на компьютере пользователя и требует за них выкуп в Bitcoin в размере, эквивалентном нескольким сотням долларов.

Вирус WannaCry использовал уязвимость в операционной системе Windows, «патч» к которой корпорация Microsoft выпустила за несколько месяцев до атаки трояна. Таким образом, от WannaCry пострадали ПК в организациях, которые своевременно не обновили установленные копии ОС Windows.

«Мегафон.Ритейл» сильно пострадал от WannaCry

От WannaCry пострадали ПК в Великобритании, США, Китае, Испании, Италии, Вьетнаме и других странах. Среди пострадавших были глобальная компания доставки FedEx, энергетическая фирма Iberdrola, поставщик коммунальных услуг Gas Natural и пр.

Поиск новых ИТ-шников оператором «Мегафон» совпал с атакой трояна WannaCry на его ПК

Троян WannaCry активно «прошелся» по российским государственным ведомствам и компаниям. По сведениям различных источников в Сети и по сообщениям самих организаций, атаке подверглись компьютеры РЖД, Сбербанка, МВД, Следственного комитета, Минздрава, МЧС и других крупных организаций.

В числе пострадавших оказался и «Мегафон» вместе со своей «дочкой» «Скартел» (торговая марка Yota). Вирус не затронул сервера, обслуживающие телекоммуникационную сеть компании, но в течение некоторого времени вызвал перебои в работе call-центра и розничной сети.

Поиск новых ИТ-руководителей «Мегафон.Ритейл» начался как раз после того, как компьютеры компании были поражены вирусом WannaCry. Пресс-служба «Мегафона» не стала комментировать возможную связь между этими двумя событиями, сославшись на то, что смена сотрудников является обычным процессом.

Игорь Королев

WannaCry Ransomware Attack: что это такое?

Как следует из названия, программа-вымогатель относится к вредоносному программному обеспечению, которое шифрует файлы и требует оплаты — выкупа — для их расшифровки. WannaCry остается одним из самых известных штаммов программ-вымогателей. Почему? Что ж, есть несколько причин, по которым WannaCry так печально известен:

• Это червь, то есть он может автоматически распространяться между компьютерами и сетями (без вмешательства человека).

• WannaCry опирался на эксплойт Windows, который сделал уязвимыми миллионы людей.

• Это привело к ущербу в сотни миллионов (или даже миллиардов) долларов.

• Штамм вымогателей распространяется быстро и яростно, но так же быстро останавливается.

• Его броское (и удачное) название также сделало его запоминающимся; Разве вы не захотели бы плакать, если бы обнаружили, что все ваши важные файлы заблокированы?

Киберпреступники взимали с жертв 300 долларов в биткойнах за разглашение файлов.Те, кто не заплатил вовремя, столкнулись с двойной платой за ключ дешифрования. Использование криптовалюты в сочетании с ее поведением, похожим на червя, принесло WannaCry звание криптовалютного червя .

Атака WannaCry взорвалась в мае 2017 года, поразив некоторые известные цели, такие как Национальная служба здравоохранения Великобритании. Он распространился со скоростью лесного пожара, заразив более чем 230 000 компьютеров в 150 странах всего за один день.

Как распространяется WannaCry?

WannaCry распространялся с помощью уязвимости Windows, именуемой MS17-010, которой хакеры смогли воспользоваться с помощью эксплойта EternalBlue.АНБ обнаружило эту программную уязвимость и, вместо того чтобы сообщить о ней в Microsoft, разработало код для ее использования. Затем этот код был украден и опубликован теневой хакерской группой, получившей соответствующее название The Shadow Brokers. Microsoft фактически узнала о EternalBlue и выпустила патч (обновление программного обеспечения для исправления уязвимости). Однако те, кто не применил патч (а это большинство людей), по-прежнему были уязвимы для EternalBlue.

WannaCry нацелен на сети, использующие SMBv1, протокол обмена файлами, который позволяет ПК обмениваться данными с принтерами и другими устройствами, подключенными к той же сети.WannaCry ведет себя как червь, то есть может распространяться по сети. После установки на одном компьютере WannaCry может сканировать сеть, чтобы найти более уязвимые устройства. Он начинает использовать эксплойт EternalBlue, а затем использует бэкдор под названием DoublePulsar для установки и запуска. Таким образом, он может самораспространяться без вмешательства человека и без использования хост-файла или программы, классифицируя его как червя, а не как вирус.

Откуда появился WannaCry?

Хотя неизвестно на 100%, кто создал WannaCry, сообщество кибербезопасности приписывает вымогатель WannaCry Северной Корее, а ее хакерское вооружение — Lazarus Group.ФБР вместе с исследователями кибербезопасности обнаружили подсказки, скрытые в основе кода, который указывает на это происхождение.

Атака WannaCry в мае 2017 г.

Атака WannaCry началась 12 мая 2017 г., первое заражение произошло в Азии. Благодаря своей червячной природе, WannaCry быстро завоевал популярность. Он быстро заражал 10 000 человек каждый час и продолжался с пугающей скоростью, пока его не остановили четыре дня спустя.

Атака программы-вымогателя немедленно вызвала хаос, особенно в больницах и других медицинских учреждениях.Национальная служба здравоохранения Великобритании пострадала от нападения, и многие больницы были вынуждены полностью отключить свои компьютерные системы, что привело к нарушению ухода за пациентами и даже некоторых хирургических операций и других жизненно важных операций.

На кого это было нацелено?

Хотя похоже, что WannaCry не нацелен ни на кого конкретно, он быстро распространился на 150 стран, причем большинство инцидентов произошло в России, Китае, Украине, Тайване, Индии и Бразилии. Пострадали самые разные люди и организации, в том числе:

• Компании : FedEx, Honda, Hitachi, Telefonica, O2, Renault

• Университеты : Гуйлинский университет электронных технологий, Гуйлинский университет аэрокосмических технологий, Далянский морской университет, Кембрийский колледж, Университет Аристотеля в Салониках, Университет Монреаля

• Транспортные компании: Deutsche Bahn, LATAM Airlines Group, РЖД

• Государственные учреждения : Полиция Андхра-Прадеш, Китайское бюро общественной безопасности, Национальный институт Салуда (Колумбия), Национальная служба здравоохранения (Великобритания), Национальная служба здравоохранения Шотландии, Суд Сан-Паулу, правительства нескольких штатов Индии (Гуджарат, Керала, Махараштра) , Западная Бенгалия)

Атака использовалась компаниями, использующими старое или устаревшее программное обеспечение.Почему эти организации не применили патч? Фирмам, таким как NHS, трудно выключить всю свою систему для обновления, когда им нужны такие вещи, как данные о пациентах, доступные почти в любое время, хотя отсутствие времени на обновление причиняло им гораздо больше горя в долгосрочной перспективе.

Как это было остановлено?

Исследователь кибербезопасности Маркус Хатчинс обнаружил, что после того, как WannaCry попадает в систему, он пытается получить доступ к определенному URL-адресу. Если URL-адрес не найден, программа-вымогатель продолжит заражение системы и шифрование файлов.Хатчинсу удалось зарегистрировать доменное имя, чтобы создать воронку DNS , которая функционировала как аварийный выключатель и закрывала WannaCry. У него были напряженные несколько дней, в течение которых хакеры атаковали его URL-адрес с помощью варианта ботнета Mirai (пытаясь выполнить DDoS-атаку, чтобы отключить URL-адрес и отключить переключатель).

Hutchins смог защитить домен, используя кэшированную версию сайта, которая могла обрабатывать более высокие уровни трафика, и аварийный выключатель работал быстро. Неясно, почему в коде WannaCry был выключатель, и был ли он включен случайно, или хакеры хотели иметь возможность остановить атаку.

Сколько стоит WannaCry?

Хотя WannaCry потребовала 300 долларов в биткойнах (или 600 долларов после истечения крайнего срока) от одного пользователя, ущерб был намного выше. Около 330 человек или организаций совершили платежи с использованием программ-вымогателей, что в сумме составило 51,6 биткойнов (что на момент платежа составляло примерно 130 634 доллара США). Это была сумма, уплаченная хакерам, но реальная стоимость WannaCry была намного выше.

Из-за большого количества правительственных агентств, университетов и организаций здравоохранения, попавших в ловушку WannaCry, а также из-за снижения ущерба, затраты на очистку были ошеломляющими.Фирма Cyence, занимающаяся моделированием киберрисков, оценила стоимость в 4 миллиарда долларов.

WannaCry все еще активен?

WannaCry не был полностью уничтожен, несмотря на аварийный выключатель, с помощью которого удалось остановить атаку в мае 2017 года. В марте 2018 года Boeing был подбит, но смог быстро устранить повреждения. Возможны и другие атаки. Кроме того, были разработаны другие разновидности программ-вымогателей, использующих ту же уязвимость Windows, например Petya и NotPetya. Помните, что Microsoft выпустила патч (обновление безопасности), который закрывает уязвимость, блокируя эксплойт EternalBlue, поэтому убедитесь, что ваше программное обеспечение обновлено.

Как распознать WannaCry

В то время как другие виды вредоносных программ пытаются скрытно скрыться в вашей системе, если вы обнаружите программу-вымогатель, вы сможете сразу же ее распознать. Нет более очевидного признака или симптома, чем всплывающий гигантский экран с требованием выкупа. WannaCry выглядит так:

Можно ли удалить WannaCry?

Как и все вредоносные программы, удаление программы-вымогателя WannaCry возможно, но устранить ее негативные последствия сложнее. Удаление вредоносного кода, блокирующего ваши файлы, на самом деле не расшифрует эти файлы.Для всех видов программ-вымогателей Avast не рекомендует , а платить выкуп за разблокировку файлов. Нет гарантии, что вы действительно получите код дешифрования, если заплатите (помните, что мы имеем дело с преступниками). Даже если хакеры планируют отправить ключ, уплата выкупа подтверждает их тактику, побуждает их продолжать распространение программ-вымогателей и, скорее всего, также финансирует другие незаконные действия.

Некоторые исследователи кибербезопасности считают, что WannaCry на самом деле был очистителем — это означает, что он стер ваши файлы, а не зашифровал их, и что авторы не собирались когда-либо разблокировать чьи-либо файлы.В процессе оплаты также были проблемы с реализацией: они предоставили всем жертвам одни и те же три биткойн-адреса, что сделало практически невозможным для них должным образом отследить, кто на самом деле заплатил.

Итак, что вы можете сделать с заблокированными файлами? Возможно, вам повезет и вы найдете в Интернете инструмент для дешифрования. Avast и другие исследователи кибербезопасности расшифровывают программы-вымогатели и бесплатно предлагают ключи дешифрования в Интернете. Однако не все программы-вымогатели можно взломать. В случае WannaCry доступен ключ дешифрования, но он может работать не для всех компьютерных систем.

Если вы не можете расшифровать файлы, вы можете восстановить более раннюю резервную копию вашей системы, которая содержит ваши обычные файлы. Но вам все равно нужно сначала удалить сам вредоносный код. Ознакомьтесь с нашими руководствами по удалению программ-вымогателей с ПК или Mac.

Как защитить себя от WannaCry и аналогичных программ-вымогателей

Хотя WannaCry больше не распространяет свои мучительные страдания, существует множество других штаммов вымогателей. Наши советы защитят вас от текущих и новых штаммов вымогателей, а также от других видов вредоносных программ.Вам нужно защитить свою систему от программ-вымогателей, а также свою сеть и любые подключенные к ней устройства. Вот как предотвратить попадание WannaCry и других программ-вымогателей на ваше устройство:

Поддерживайте актуальность программного обеспечения

Несмотря на то, что Microsoft исправила уязвимость EternalBlue, миллионы людей не применили обновление. Если бы они обновились, WannaCry не смогла бы заразить их. Поэтому крайне важно постоянно обновлять все свое программное обеспечение. Также важно обновить программное обеспечение безопасности (хотя, если вы используете Avast Free Antivirus, у вас все готово — мы обновляем наш антивирус автоматически!).

Не открывайте электронные письма от неизвестных отправителей

Существует множество мошенников, а электронное письмо остается самым популярным способом доставки для киберпреступников. Вам следует опасаться электронных писем от неизвестных отправителей и особенно избегать нажатия на какие-либо ссылки или загрузки каких-либо вложений, если вы не на 100% уверены, что они подлинные.

Остерегайтесь зараженных сайтов

Вредоносная реклама, скрывающая зараженную рекламу во всплывающих окнах или баннерах, подстерегает многих веб-сайтов.Убедитесь, что веб-сайт безопасен, прежде чем использовать его, особенно для любых покупок или потоковой передачи.

Регулярное резервное копирование всех важных данных

Если у вас есть резервные копии всех ваших файлов, вымогатель теряет свою силу: вы можете просто удалить вредоносное ПО, а затем восстановить свою систему до более ранней версии без заражения. Вам следует регулярно создавать резервные копии всех важных документов и файлов, чтобы у вас всегда была их чистая версия, которую вы могли бы использовать, если они станут зашифрованными.На всякий случай лучше всего сохранять данные как в облаке, так и в физическом хранилище.

Эффективная защита от WannaCry

Применение обновлений программного обеспечения сразу после их выпуска и использование разумных привычек просмотра, электронной почты и загрузки может иметь большое значение для обеспечения вашей безопасности в Интернете, но они никогда не будут 100%. Даже самые опытные в Интернете пользователи время от времени нажимали на что-нибудь случайно или попадали на ловушку фишинга. Вот почему у каждого должна быть последняя линия защиты, защищающая вас от программ-вымогателей, вредоносных программ и других угроз взлома.Avast Free Antivirus останавливает работу программ-вымогателей, таких как WannaCry, с помощью наших шести уровней защиты и облачной системы на базе искусственного интеллекта. Загрузите Avast сегодня, и ваши файлы никогда не будут взяты в заложники.

Что такое WannaCry? Пример использования атаки программ-вымогателя WannaCry

Какое влияние оказала атака WannaCry?

WannaCry оказал серьезное влияние на организации по всему миру, заразив более 230 000 компьютеров и нанеся ущерб на миллиарды долларов.Это оказало особенно разрушительное воздействие на медицинские организации, включая Национальную службу здравоохранения Великобритании (NHS), из-за того, что они широко использовали устаревшие и неустановленные устройства Windows. Атака привела к тому, что критически важное оборудование и системы стали неработоспособными или недоступными, что привело к закрытию отделений неотложной помощи, а спасательные устройства, такие как магнитно-резонансная томография (МРТ), стали неэффективными.

WannaCry также оказал большое влияние на крупных производителей, которые использовали уязвимые версии Windows.Многие пострадали от перебоев в производстве, что обошлось очень дорого.

Как можно остановить WannaCry?

WannaCry можно было остановить, загрузив патч Microsoft, выпущенный более чем за два месяца до начала атаки. Microsoft отметила исправление Microsoft Security Bulletin MS17-010, выпущенное в марте 2017 года, как критическое, но многие системы остались непропатченными, оставив их открытыми для WannaCry.

Автоматическая функция, встроенная в системы Windows 10, обеспечивала защиту пользователей от WannaCry.Однако изначально патч был доступен только для поддерживаемых версий Windows, в которые не входили миллионы систем Windows XP, подключенных к Интернету. Позже Microsoft выпустила патч для старых, неподдерживаемых систем Windows. Зараженные системы без исправлений можно было восстановить только путем возврата к безопасной резервной копии.

Защита от программ-вымогателей

Компании могут защитить себя от атак программ-вымогателей, таких как WannaCry, путем использования только последних версий программного обеспечения и соблюдения передовых методов безопасности.

Регулярно обновляйте программное обеспечение и операционную систему

Обновление программного обеспечения имеет решающее значение для предотвращения угрозы атак программ-вымогателей, таких как WannaCry. Организации и отдельные пользователи должны обеспечить включение автоматических обновлений и немедленную загрузку любых новых обновлений или исправлений для программного обеспечения.

Не нажимайте на подозрительные ссылки

Атаки программ-вымогателей обычно распространяются с помощью методов фишинга, которые побуждают жертв переходить по ссылкам в сообщениях электронной почты.Эти ссылки либо ведут на поддельные веб-сайты, которые злоумышленники используют для сбора конфиденциальной личной информации, либо вызывают загрузку вредоносного программного обеспечения, которое заражает их компьютер. Поэтому рекомендуется не нажимать ни на какие ссылки в любом электронном письме.

Никогда не открывайте ненадежные вложения электронной почты

Подобно распространению программ-вымогателей через вредоносные ссылки, фишинговые электронные письма также распространяют вредоносные программы через вложения электронной почты.Эти вложения могут привести к установке вредоносного кода или программного обеспечения, которое дает злоумышленнику контроль над устройством пользователя или позволяет им шифровать файлы на нем.

Не загружайте с ненадежных сайтов

Также важно загружать приложения или программное обеспечение только от проверенных поставщиков. Подозрительные веб-сайты, которые утверждают, что предлагают бесплатные версии надежного программного обеспечения, могут содержать вредоносный код или программы, которые могут заразить устройство пользователя.

Избегайте неизвестных USB

Устройства

с универсальной последовательной шиной (USB) обычно используются злоумышленниками для распространения вредоносных программ или вредоносного кода. Избегайте использования каких-либо неизвестных USB-накопителей, даже если это устройство, которое можно найти в офисе, поскольку оно может быть заражено вредоносным ПО.

Использование VPN при использовании общедоступной сети Wi-Fi

Виртуальная частная сеть (VPN) помогает пользователям безопасно выходить в Интернет в любой сети.Следует избегать общедоступных сетей Wi-Fi, но выполнение этого через VPN может гарантировать, что устройство пользователя, его местоположение и действия в Интернете останутся конфиденциальными и не будут перехвачены хакером.

Установите программное обеспечение для обеспечения безопасности в Интернете

Программное обеспечение

для обеспечения безопасности в Интернете имеет решающее значение для защиты организаций и отдельных лиц от существующих и новых угроз безопасности. Программное обеспечение безопасности обеспечивает постоянную защиту устройств и данных пользователей от серьезных кибератак и предотвращает проникновение хакеров в их системы.

Обновите программное обеспечение для обеспечения безопасности в Интернете

Помимо установки программного обеспечения интернет-безопасности, также важно постоянно обновлять программное обеспечение. Включение автоматических обновлений и обеспечение немедленной установки всех новых исправлений позволит поддерживать программное обеспечение в актуальном состоянии и защищать пользователей от новейших угроз безопасности.

Сделайте резервную копию ваших данных

Резервное копирование данных имеет решающее значение, если организация станет жертвой атаки программ-вымогателей.Такие угрозы, как WannaCry, шифруют данные, что делает их недоступными для пользователей. Часто единственный способ получить данные — вернуться к предыдущей резервной копии.

Все, что вам нужно знать о программе-вымогателе WannaCry

Атака программы-вымогателя WannaCry в 2017 году была одной из самых распространенных компьютерных инфекций за всю историю, и атаки WannaCry продолжаются и сегодня.

Ключевые точки:

• Эпидемия вымогателей WannaCry в 2017 году нанесла удар по больницам, банкам и коммуникационным компаниям по всему миру.
• Четыре года спустя киберпреступники возобновили усилия по развертыванию программы-вымогателя WannaCry во время пандемии COVID-19.
• Компании могут принять меры для предотвращения заражения, причем наиболее важными являются обновления программного обеспечения.

Программа-вымогатель WannaCry, ответственная за одно из самых известных в мире заражений вредоносным ПО, до сих пор активно используется кибератаками. Четыре года назад в этом месяце он уничтожил сети по всему миру, от целых систем здравоохранения до банков и национальных телекоммуникационных компаний.

Он все еще достаточно смертоносен, чтобы его можно было использовать сейчас, и количество сообщений о его появлении во время пандемии резко возросло. Вот все, что вам нужно знать о программе-вымогателе WannaCry сегодня, в том числе о том, как защитить свою организацию от нее.

Что такое программа-вымогатель WannaCry?

WannaCry — это шифровальщик-вымогатель, атакующий компьютеры под управлением Windows. Это разновидность вредоносного ПО, которое может распространяться с ПК на ПК по сети (отсюда и компонент «червь»), а затем, оказавшись на компьютере, может зашифровать важные файлы («криптографическая» часть).Затем преступники требуют выкуп за разблокировку этих файлов. Название произошло от строк кода, обнаруженных в некоторых из первых образцов вируса.

WannaCry был назван «исследованием предотвратимых катастроф», потому что за два месяца до того, как он впервые распространился по миру в 2017 году, Microsoft выпустила патч, который предотвратил бы заражение компьютеров червем. [1] К сожалению, сотни тысяч систем не были обновлены вовремя, и неизвестное количество таких систем остаются уязвимыми сегодня.

Как WannaCry заражает системы?

WannaCry был бы еще одним популярным среди атак программ-вымогателей, если бы не его метод заражения компьютеров. Критическая уязвимость систем Windows была обнаружена и, как сообщается, первой использовалась Агентством национальной безопасности США. Этим эксплойтом, получившим название EternalBlue, в конце концов поделилась киберпреступная хакерская группа в сети в апреле 2017 года, и он позволил создателям WannaCry обманом заставить системы Windows запускать свой код с использованием протокола Server Message Block.

WannaCry распространяется через корпоративные сети для перехода на другие системы Windows. В отличие от фишинговых атак, пользователям компьютеров не нужно переходить по ссылке или открывать зараженный файл. WannaCry просто ищет для входа другие уязвимые системы (в некоторых версиях он использует украденные учетные данные), затем копирует и запускает программу снова, и снова, и снова. Таким образом, один уязвимый компьютер в корпоративной сети может поставить под угрозу всю организацию.

Как работает атака WannaCry?

Программа WannaCry состоит из нескольких компонентов.Есть основная программа доставки, которая содержит другие программы, включая программное обеспечение для шифрования и дешифрования. Как только WannaCry попадает в компьютерную систему, он ищет десятки определенных типов файлов, включая файлы Microsoft Office, изображения, видео и звуковые файлы. Затем он выполняет процедуру шифрования файлов, которые можно расшифровать только с помощью внешнего цифрового ключа.

Таким образом, зараженный пользователь может получить доступ к зашифрованным файлам WannaCry только при наличии внешней резервной копии этих файлов.Во время первоначальной атаки WannaCry единственным выходом для некоторых жертв была уплата выкупа в биткойнах. К сожалению, в сообщениях говорилось, что после того, как компании заплатили, хакеры не предоставили жертвам доступ к своим файлам.

Откуда появился WannaCry и активен ли он до сих пор?

В мае 2017 года WannaCry распространил панику по корпоративным сетям по всему миру, быстро заразив более 200 000 компьютеров в 150 странах. Среди этих систем Национальная служба здравоохранения США.К. был нарушен, испанская телекоммуникационная служба Telefónica подверглась угрозе, а банки в России были скомпрометированы. Хотя казалось, что вирус появился сразу, исследователи позже проследили более ранние версии до северокорейской организации, известной как Lazarus Group.

В коде WannaCry было скрыто множество ключей, но никто никогда не брал на себя ответственность за создание или распространение программы. Один исследователь обнаружил в начале кибератаки, что программа изначально пыталась получить доступ к определенному веб-адресу, который оказался незарегистрированным бессмысленным именем.Если программа смогла открыть URL-адрес, WannaCry не запустился бы, поэтому он действовал как своего рода аварийный выключатель. Следовательно, британский исследователь Маркус Хатчинс зарегистрировал URL-адрес и эффективно препятствовал распространению вымогателя WannaCry. [2]

Тем не менее, с тех пор были волны возрождения WannaCry. Один громкий случай произошел в 2018 году с компанией Boeing. В конечном итоге это вызвало больше паники, чем реальный ущерб, но производительность авиастроителя сильно пострадала.

Недавно исследователи безопасности обнаружили возобновление заражения WannaCry.В одном отчете отмечалось, что количество программ-вымогателей WannaCry увеличилось на 53% в марте 2021 года по сравнению с январем этого года, а в другом сообщалось, что WannaCry было самым популярным семейством программ-вымогателей в Северной и Южной Америке в январе с 1240 обнаружениями. Примечательно, что последние версии, используемые хакерами, больше не содержат URL-адрес аварийного отключения. [3]

Защита от программ-вымогателей

К счастью, каждая компания может предпринять шаги по обеспечению кибербезопасности, чтобы предотвратить атаку программы-вымогателя WannaCry:

• Установите последнюю версию программного обеспечения: Если три самых важных слова в сфере недвижимости — это местоположение, местоположение, местоположение, то три самых важных слова в кибербезопасности — это обновление, обновление, обновление.Первоначальное глобальное заражение WannaCry можно было бы предотвратить, если бы компании и частные лица обновили свое программное обеспечение Windows. Эксплойт, позволивший распространяться WannaCry, был исправлен Microsoft двумя месяцами ранее.
• Выполнение резервного копирования: Это рутинная задача, но она необходима для защиты критически важных данных, поэтому компаниям необходимо установить процедуру резервного копирования информации. Кроме того, резервные копии следует хранить извне и отключать от корпоративной сети, как в облачной службе, чтобы защитить их от заражения.
• Обучение осведомленности о кибербезопасности: сотрудникам необходимо периодически напоминать о хороших привычках по электронной почте, особенно сейчас, когда все больше сотрудников работают удаленно. Им никогда не следует открывать неизвестные вложения электронной почты и никогда не переходить по каким-либо подозрительным ссылкам.

Итог

Несмотря на то, что четыре года назад программа-вымогатель WannaCry оказала огромное влияние, она остается постоянной угрозой и сегодня — еще одно свидетельство того, что тем, кто не извлекает уроки из истории, суждено повторить ее.К счастью, вашей организации не придется этого делать, если вы усердно обновляете свое программное обеспечение и системы.

[1] «Спустя три года после WannaCry, программы-вымогатели ускоряются, а исправления по-прежнему проблематичны», Dark Reading

[2] «Маркус Хатчинс, исследователь вредоносных программ и« герой WannaCry », приговорен к контролируемому освобождению», TechCrunch

[3] «Число атак программ-вымогателей WannaCry с января 2021 года увеличилось на 53%», — NetSec.news

.

Хотите еще больше подобных замечательных статей? Подпишитесь на наш блог.

Получайте все последние новости, советы и статьи прямо на ваш почтовый ящик

Спасибо за подписку

Вскоре вы получите электронное письмо

Вернитесь к статье, пожалуйста

Что вам нужно знать о программе-вымогателе WannaCry

ОБНОВЛЕНИЕ: 23 мая 2017 г., 00:30 GMT:

Symantec обнаружила дополнительные ссылки, позволяющие более тесно связать атаки WannaCry с группой Lazarus.Для получения дополнительной информации см. WannaCry: атаки программ-вымогателей демонстрируют сильные связи с группой Lazarus

ОБНОВЛЕНИЕ

: 15 мая 2017 г., 23:24:21 GMT:

Symantec обнаружила две возможные связи, которые слабо связывают атаку программы-вымогателя WannaCry и группу Lazarus:

• Совместное появление известных инструментов Lazarus и программы-вымогателя WannaCry: Symantec выявила наличие инструментов, используемых исключительно Lazarus на машинах, также зараженных более ранними версиями WannaCry.Эти более ранние варианты WannaCry не могли распространяться через SMB. Инструменты Lazarus потенциально могли использоваться как метод распространения WannaCry, но это не подтверждено.
• Общий код : Как написал в Твиттере Нил Мехта из Google, существует некоторый общий код между известными инструментами Lazarus и программой-вымогателем WannaCry. Symantec определила, что этот общий код является формой SSL. Эта реализация SSL использует определенную последовательность из 75 шифров, которые на сегодняшний день можно увидеть только в инструментах Lazarus (включая Contopee и Brambul) и вариантах WannaCry.

Хотя эти результаты не указывают на окончательную связь между Lazarus и WannaCry, мы считаем, что существует достаточно связей, чтобы потребовать дальнейшего расследования. Мы продолжим делиться более подробной информацией о нашем исследовании по мере его развития.

С момента своего появления в пятницу, 12 мая, новый опасный штамм вымогателей, известный как WannaCry (Ransom.Wannacry), поразил сотни тысяч компьютеров по всему миру. сети организации, используя критические уязвимости компьютеров Windows, которые были исправлены Microsoft в марте 2017 года (MS17-010).Эксплойт, известный как «Eternal Blue», был опубликован в сети в апреле в последней из серии утечек, совершенных группой, известной как Shadow Brokers, которая утверждала, что украла данные группы кибершпионажа Equation.

Защищен ли я от программы-вымогателя WannaCry?

Symantec Endpoint Protection (SEP) и Norton проактивно заблокировали любую попытку использования уязвимостей, используемых WannaCry, что означает, что клиенты были полностью защищены до того, как WannaCry впервые появился.SEP14 Расширенное машинное обучение проактивно блокировало все заражения WannaCry в нулевой день без каких-либо обновлений.

Blue Coat Global Intelligence Network (GIN) обеспечивает автоматическое обнаружение для всех включенных продуктов попыток заражения через Интернет.

Клиенты Symantec и Norton автоматически защищены от WannaCry с помощью комбинации технологий. Проактивную защиту обеспечили:

• IPS сетевая защита
• Технология определения поведения SONAR
• Расширенное машинное обучение
• Интеллектуальное облако угроз

У клиентов должны быть включены эти технологии для полной проактивной защиты.Клиентам SEP рекомендуется перейти на SEP 14, чтобы воспользоваться преимуществами проактивной защиты, обеспечиваемой сигнатурами Advanced Machine Learning.

Что такое программа-вымогатель WannaCry?

WannaCry ищет и шифрует 176 различных типов файлов и добавляет .WCRY в конец имени файла. Он просит пользователей заплатить выкуп в размере 300 долларов США в биткойнах. В записке о выкупе указано, что сумма платежа будет удвоена через три дня. Если платеж не будет произведен в течение семи дней, он утверждает, что зашифрованные файлы будут удалены.Однако Symantec не обнаружила в программе-вымогателе никакого кода, который мог бы привести к удалению файлов.

Могу ли я восстановить зашифрованные файлы или мне нужно заплатить выкуп?

Расшифровка зашифрованных файлов в настоящее время невозможна, но исследователи Symantec продолжают изучать эту возможность. См. Эту статью для получения более подробной информации. Если у вас есть резервные копии затронутых файлов, вы можете их восстановить. Symantec не рекомендует платить выкуп.

В некоторых случаях файлы можно восстановить без резервного копирования.Файлы, сохраненные на рабочем столе, в «Моих документах» или на съемном диске, зашифровываются, а их исходные копии стираются. Это не подлежит восстановлению. Файлы, хранящиеся в другом месте на компьютере, зашифровываются, а их исходные копии просто удаляются. Это означает, что их можно восстановить с помощью средства восстановления.

Когда появился WannaCry и как быстро распространился?

WannaCry впервые появился в пятницу, 12 мая. В Symantec наблюдается резкий рост числа попыток использования уязвимостей Windows, используемых WannaCry примерно с 8:00 по Гринвичу.Количество попыток использования эксплойтов, заблокированных Symantec, несколько снизилось в субботу и воскресенье, но оставалось довольно высоким. Число эксплойтов увеличилось в понедельник, предположительно, когда люди вернулись на работу после выходных.

Что такое атака программы-вымогателя WannaCry?

WannaCry — это кибератака с шифровальщиком-вымогателем, нацеленная на компьютеры под управлением операционной системы Microsoft Windows. Первоначально он был выпущен 12 мая 2017 года. Программа-вымогатель зашифровала данные и потребовала выкуп в размере от 300 до 600 долларов, выплаченный в криптовалюте Биткойн.WannaCry также известен как WannaCrypt, WCry, Wana Decrypt0r 2.0, WanaCrypt0r 2.0 и Wanna Decryptor.

После установки WannaCry установил бэкдор в зараженных системах.

WannaCry использовал известную уязвимость в старых системах Windows под названием EternalBlue, обнаруженную Агентством национальной безопасности США (NSA).

EternalBlue был украден и просочился группой под названием The Shadow Brokers за несколько месяцев до атаки. В то время как EternalBlue был быстро исправлен, большая часть успеха WannaCry была связана с тем, что организации не устанавливали исправления и не использовали старые системы Windows.

Быстрое установление исправлений и обнаружение доменов аварийного отключения не позволяло зараженным компьютерам распространять WannaCry. Тем не менее, по оценкам Европола, количество зараженных компьютеров составляет более 200 000 в 150 странах с ущербом от сотен миллионов до миллиардов долларов.

Эксперты по безопасности США, Великобритании, Канады, Японии, Новой Зеландии и Австралии официально заявили, что за атакой стояла Северная Корея.

В августе 2018 года новый вариант WannaCry вынудил компанию Taiwan Semiconductor, занимающуюся производством микросхем, закрыть несколько своих заводов, когда вирус распространился на 10 000 машин на самых современных предприятиях.

Как WannaCry распространился?

Распространение WannaCry было обеспечено EternalBlue, эксплойтом нулевого дня в устаревших версиях компьютеров Windows, которые использовали устаревшую версию протокола Server Message Block (SMB).

WannaCry — сетевой червь с транспортным механизмом, предназначенным для автоматического распространения. Транспортный код сканирует системы, уязвимые для эксплойта EternalBlue, а затем устанавливает DoublePulsar и выполняет свою копию.

Это означает, что WannaCry может распространяться автоматически без участия жертвы.Разительный контраст с другими атаками программ-вымогателей, которые распространяются через фишинг и атаки социальной инженерии.

WannaCry также может воспользоваться существующими инфекциями DoublePulsar вместо того, чтобы устанавливать его самостоятельно. DoublePulsar — это бэкдор-инструмент, выпущенный Shadow Brokers 14 апреля 2017 года. К 21 апреля 2017 года исследователи безопасности сообщили, что на десятках тысяч компьютеров был установлен DoublePulsar. По оценкам, к 25 апреля 2017 года количество зараженных компьютеров исчислялось сотнями тысяч.

Как работает WannaCry?

При выполнении WannaCry проверяет, доступен ли домен аварийного выключателя. Если он недоступен, программа-вымогатель шифрует компьютерные данные, а затем пытается использовать EternalBlue для распространения на другие компьютеры в Интернете и в той же сети.

Зараженный компьютер будет искать в целевой сети устройства, принимающие трафик на TCP-портах 135–139 или 445, что указывает на то, что система настроена для работы с протоколом SMB.

Затем он инициирует соединение SMBv1 с устройством и использует переполнение буфера, чтобы взять под контроль систему и установить компонент атаки вымогателя.

Как и другие программы-вымогатели, вредоносная программа отображает сообщение, информирующее пользователя о том, что их файлы были зашифрованы, и требует выкупа в размере 300 долларов США в биткойнах в течение трех дней или 600 долларов США в течение семи дней.

Три жестко запрограммированных адреса Биткойн используются для приема платежей от жертв. Как и во всех биткойн-кошельках, транзакции и балансы общедоступны, но владельцы остаются неизвестными.

Эксперты по безопасности советуют пострадавшим пользователям не платить выкуп, поскольку платеж часто не приводит к восстановлению данных.

Когда был обновлен WannaCry?

На следующий день после первоначальной атаки Microsoft выпустила обновления безопасности для Windows XP, Windows Server 2003 и Windows 8. Эти исправления были созданы в феврале после сообщения об уязвимости в январе 2017 года.

14 марта 2017 года Microsoft выпустила MS17-010, в котором подробно описан недостаток и исправлен эксплойт EternalBlue для Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 и Windows Server 2016.

Помимо патча, Маркус Хатчинс из MalwareTech обнаружил домен аварийного отключения, жестко запрограммированный в WannaCry. Затем он зарегистрировал домен, чтобы остановить распространение атаки, поскольку червь будет шифровать компьютерные файлы только в том случае, если не сможет подключиться к домену. Это не помогло зараженным системам, но сильно замедлило распространение червя и дало время для принятия защитных мер.

14 мая 2017 года появился новый вариант WannaCry с новым и вторым выключателем, который был зарегистрирован Мэттом Суичем в тот же день.На следующий день аналитики угроз Check Point зарегистрировали еще один вариант с третьим и последним аварийным переключателем.

В последующие дни была обнаружена другая версия WannaCry, в которой вообще отсутствовал аварийный выключатель.

19 мая 2017 года хакеры пытались использовать ботнет для выполнения распределенной атаки типа «отказ в обслуживании» (DDoS) на домен аварийного выключателя WannaCry, чтобы отключить его. 22 мая 2017 года домен был защищен путем перехода на кэшированную версию сайта, которая способна справляться с гораздо большей нагрузкой трафика, чем действующие сайты.

Отдельно исследователи из Университетского колледжа Лондона и Бостонского университета сообщили, что их система PayBreak может противостоять WannaCry и другим атакам программ-вымогателей, восстанавливая ключи, используемые для шифрования пользовательских данных, что позволяет дешифровать данные без оплаты.

Кто стоял за кибератакой WannaCry?

Лингвистический анализ записок о выкупе показал, что авторы свободно владели китайским и английским языком, поскольку версии заметок на этих языках казались написанными людьми, в то время как другие языки были переведены автоматически.

Центр киберповеденческого анализа ФБР сообщил, что на компьютере, создавшем языковые файлы программ-вымогателей, были установлены шрифты на языке хангыль из-за наличия тега Rich Text Format «\ fcharset129». Метаданные в языковых файлах также указали, что на компьютерах установлено значение UTC + 09: 00, используемое в Корее.

Исследователи из Google, Microsoft, Kaspersky Lab и Symantec заявили, что этот код имеет сходство с вредоносным ПО, используемым северокорейской Lazarus Group, которая была связана с кибератакой на Sony Pictures в 2014 году и ограблением банка в Бангладеш в 2016 году.

Просочившаяся служебная записка АНБ и Национальный центр кибербезопасности Великобритании также пришли к такому же выводу.

18 декабря 2017 года правительство США официально заявило о своей уверенности в том, что за атакой WannaCry стоит Северная Корея. Канада, Новая Зеландия, Австралия, Великобритания и Япония поддержали утверждение Соединенных Штатов.

Северная Корея, однако, отрицала свою ответственность за кибератаку.

Кто пострадал от WannaCry?

Масштаб WannaCry был беспрецедентным: согласно оценкам «Лаборатории Касперского», заражено около 200 000 компьютеров в 150 странах, причем больше всего пострадали Россия, Украина, Индия и Тайвань.

Одним из крупнейших затронутых агентств была Национальная служба здравоохранения, государственная государственная система здравоохранения Англии и одна из четырех национальных служб здравоохранения в каждой стране, входящей в состав Соединенного Королевства. Это крупнейшая в мире система здравоохранения с единым плательщиком.

Пострадало до 70 000 устройств, включая компьютеры, МРТ-сканеры, холодильники для хранения крови и театральное оборудование. Это привело к тому, что некоторые службы NHS отказались от помощи при некритических чрезвычайных ситуациях, а машины скорой помощи были перенаправлены.

Наряду с NHS, Telefónica, один из крупнейших телефонных операторов и поставщиков мобильных сетей в мире, была одной из первых крупных организаций, сообщивших о проблемах, вызванных WannaCry. Также пострадали FedEx, Nissan, российское министерство внутренних дел, полиция Андхра-Прадеш, Индия, университеты Китая, Hitachi, китайская полиция и Renault.

Какова была реакция на WannaCry?

Большая часть внимания СМИ к WannaCry была связана с тем фактом, что Агентство национальной безопасности (АНБ) обнаружило уязвимость и использовало ее для создания эксплойта для своей собственной оскорбительной работы, а не сообщило об этом в Microsoft.Эдвард Сноуден сказал, что если бы АНБ «в частном порядке раскрыло уязвимость, использованную для атаки на больницы, когда они ее обнаружили, а не когда они ее потеряли, нападение могло бы и не произойти».

17 мая 2017 года, в ответ на критику по поводу недостаточного раскрытия информации, законодатели США представили Закон о PATCH, который направлен на «баланс между необходимостью раскрытия уязвимостей и другими интересами национальной безопасности при одновременном повышении прозрачности и подотчетности основного общественного доверия к процессу. «.

Атака программы-вымогателя WannaCry — одна из самых ужасных кибератак за последнее время.Несмотря на масштаб, в атаке используется тот же механизм, что и во многих успешных атаках: обнаружение открытых портов в Интернете и использование известных уязвимостей.

Когда вы думаете об этом так, WannaCry теряет свою загадочность.

Как предотвратить кибератаки, такие как WannaCry

Лучший способ предотвратить атаки, подобные WannaCry, — это базовые настройки безопасности ИТ, такие как установка исправлений для всех систем. EternalBlue подключается к открытым портам SMB, которые в любом случае никогда не должны быть открыты для Интернета.

Это безопасность 101 для всех, у кого есть центр обработки данных Microsoft. Порты 135–139 и 445 небезопасно раскрывать публично, и их не было уже десять лет.

Это показывает, насколько низкая киберустойчивость во всем мире, предотвратимые неправильные конфигурации и известные уязвимости могут нанести глобальный ущерб и привести к потере производительности от сотен миллионов до миллиардов долларов. Все сводится не к недостаткам программного обеспечения, кода или брандмауэров (хотя они и помогают), а к процессам и приоритетам.

Две основные аксиомы безопасности — поддерживать системы в исправном состоянии и использовать программное обеспечение, срок эксплуатации которого еще не истек.Если бы этим двум идеям следовали во всем мире, вероятно, WannaCry оказал бы гораздо меньшее влияние.

Что действительно беспокоит, так это то, насколько мы должны быть уязвимы для действительно продвинутых киберугроз и хакерских инструментов.

Еще мы должны учитывать информационную безопасность и управление информационными рисками. Никогда не должно быть ситуации, когда важные данные, конфиденциальные данные или личная информация (PII) не хранятся где-либо еще. Также у критически важной бизнес-функции не должно быть адекватных процессов для восстановления системы до рабочего состояния.

Вот как предотвратить атаки, подобные WannaCry, и минимизировать их влияние, если они все же произойдут:

• Нет единой точки отказа: Будь то программа-вымогатель, сбой оборудования, ошибка базы данных или что-то еще. Если ваши данные важны, их следует создать резервную копию, по крайней мере, в одном другом безопасном месте.
• Автоматизация процесса инициализации: Если актив был отключен программой-вымогателем или чем-то еще, вы сможете вернуть его в рабочее состояние как можно скорее.
• Исправьте все: Держите свои системы в актуальном состоянии, чтобы избежать известных эксплойтов.

Эта тактика снижает риск кибербезопасности программ-вымогателей, превращая их из катастрофы в незначительную неприятность. Вот почему важна кибербезопасность, недостаточно установить антивирус и надеяться на лучшее. Вам и вашим сторонним поставщикам необходим мониторинг кибербезопасности в режиме реального времени, чтобы снизить риск третьих сторон и риск третьих сторон. Вам необходимо сформулировать процесс оценки рисков кибербезопасности, стороннюю структуру управления рисками и программу управления рисками поставщиков.

Как UpGuard может помочь защитить вашу организацию от атак программ-вымогателей, таких как WannaCry

UpGuard помогает таким компаниям, как Intercontinental Exchange, Тейлор Фрай, Нью-Йоркская фондовая биржа, IAG, First State Super, Akamai, Morningstar и NASA защитить свои данные и предотвратить утечки.

Наша платформа показывает, где вы и ваши поставщики подвержены уязвимостям, таким как EternalBlue. UpGuard BreachSight может помочь бороться с типосквоттингом, предотвратить утечку и утечку данных, избежать штрафов со стороны регулирующих органов и защитить доверие ваших клиентов с помощью рейтингов кибербезопасности и постоянного обнаружения уязвимостей.

Мы также можем помочь вам непрерывно отслеживать, оценивать и отправлять анкеты безопасности вашим поставщикам, чтобы контролировать риски третьих сторон и риски третьих сторон и улучшить состояние вашей безопасности, а также автоматически создавать инвентарь, применять политики и обнаруживать неожиданные изменения. в вашу ИТ-инфраструктуру. Помогая вам масштабировать процессы управления рисками поставщиков, стороннего управления рисками и оценки рисков кибербезопасности.

Кибербезопасность становится более важной, чем когда-либо прежде.

Забронируйте демо сегодня.

Важное руководство на 2021 год

Введение

В настоящее время большая часть нашей повседневной деятельности осуществляется через Интернет, и он стал частью нашей жизни, поэтому мы обязаны знать все угрозы и вероятность того, что многие из вас не знают о кибератаках. в мире. Итак, вот информация об одной из кибератак, получившей название Wannacry Ransomware Attack, которая быстро распространилась по нескольким компьютерным сетям под управлением операционной системы Microsoft Windows в мае 2017 года.Прочтите это, узнайте о причинах появления программы-вымогателя Wannacry и о том, как она влияет на вашу систему.

1. Что такое программа-вымогатель Wannacry?
2. Как Wannacry заражает ПК
3. Wannacry patch

1)

Что такое Wannacry Ransomware?

Wannacry также известен как Wannacrypt, Wanna Decryptor, Wana Decrypt0r 2.0 и WanaCrypt0r 2.0 — вредоносное ПО в виде вымогателя, которое может распространяться в другую систему, как червь.Эта атака привлекла внимание к идее угроз программ-вымогателей. Эта всемирная атака нарушает работу многих систем, включая больницы, компании, телекоммуникации, производителей и правоохранительные органы. По оценкам, атака Wannacry затронула более 200 000 компьютеров в 150 странах мира с общим ущербом от сотен миллионов до миллиардов долларов.

Wannacry поддерживался для 28 языков, что указывает на то, что атака была нацелена на большую часть населения мира.Некоторые эксперты по безопасности заявили, что эта атака произошла в Северной Корее. После выпуска Microsoft аварийных исправлений атака была остановлена, и обнаружение аварийного выключателя стало помощью для вышедших из строя компьютеров от дальнейшего распространения вредоносных программ. Атака программы-вымогателя Wannacry была распространена в организациях, которые использовали старую версию системы Windows или не применяли исправления для уязвимостей, выпущенных Microsoft ранее.

2)

Как Wannacry заражает ПК

В атаке Wannacry хакеры использовали эксплойт под названием eternal blue, который было обнаружено Агентством национальной безопасности США (NSA) для старых систем Windows.За год до нападения вечная синь была украдена и просочилась группой под названием «Теневые брокеры». Вечный синий цвет позволил Wannacry распространяться за счет использования уязвимости в протоколе блокировки сообщений сервера Microsoft. Подобно другим вспышкам программ-вымогателей, атака распространялась, когда пользователи переходили по гиперссылкам, полученным в фишинговых письмах или в виде рекламы.

После заражения компьютеров по этим гиперссылкам он шифрует файлы на жестком диске компьютера, и пользователи теряют доступ к своим файлам.Чтобы расшифровать файлы, хакеры требуют выкуп в биткойнах или другой неизвестной криптовалюте. Хакеры требуют 300 долларов США в биткойнах в течение трех дней или 600 долларов США в течение 7 дней. Платеж был получен тремя жестко запрограммированными биткойн-адресами или кошельками, потому что транзакции и остатки на них общедоступны, но владельцы кошелька криптовалюты остаются неизвестными.

3)

Патч Wannacry

За несколько месяцев до атаки Microsoft в конце концов обнаружила уязвимость и выпустила бюллетень по безопасности MS17-010 для предотвращения заражения через вечный синий цвет, в котором подробно описывается недостаток и объявляются исправления для всех версий Windows, включая Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008R2, Windows Server 2012 и Windows Server 2016, которые в то время поддерживались. Но хуже всего не все были в курсе обновлений в день начала атаки.

• Факторы, ответственные за распространение атаки Wannacry Обращает на себя внимание

Теперь wannacry — это хрестоматийный пример атаки программ-вымогателей — атаки, которая шифрует данные и требует выкупа для их расшифровки из-за ее быстрого распространения.Одним из факторов, которые являются вымогателями, является исследование уязвимости протокола, называемого блоком сообщений сервера Windows. Во-вторых, Symantec и другие исследователи в области безопасности предварительно связали его с группой Lazarus, организацией по борьбе с киберпреступностью, состоящей из неизвестного числа лиц, связанных с правительством Северной Кореи. Другая причина заключается в том, что эта атака нарушает работу нескольких высокопоставленных лиц и важных систем, в том числе многих в Национальной службе здравоохранения Великобритании.

• Wannacry все еще активен, но вызывает меньше слез горя

Хотя исследователи успешно остановили распространение вымогателя Wannacry 17 мая, оно все еще заражает системы, это показывает, что проблема root f еще не устранена.В марте 2018 года на Boeing произошла предполагаемая атака Wannacry, но компания заявила, что нанесла небольшой ущерб их системе. Это показывает, что есть еще не исправленная система Windows, которую нужно исправить.

• Последствия атаки в мае 2017 года

Четыре страны, наиболее пострадавшие от этой атаки, — Индия, Россия, Украина и Тайвань. В Индии затронутыми организациями были полиция Андхра-Прадеш и правительство штатов Махараштра, Гуджрат, Керала и Западная Бенгалия.Больницы национальных служб здравоохранения в Англии и Шотландии были крупнейшими застрявшими организациями в мире. Около 70000 устройств, включая холодильники для хранения крови, сканеры МРТ и театральное оборудование, могли быть затронуты. Эта атака также затронула производство двигателей Nissan в Тайн-энд-Уэр, Англия. Несколько сайтов Renault также прекратили свое производство, чтобы избежать распространения программ-вымогателей. Испанские FedEx, Telefonica и Deutsche Bahn также пострадали.

Заключение

В заключение, есть несколько важных указаний, которые вы должны запомнить:

• всегда создавать резервные копии файлов
• использовать обновленную версию системы
• Не раскрывать протокол SMB внешнему миру

Итак, вы решили сделать карьеру в кибербезопасности? Посетите наш мастер-сертификат в области кибербезопасности (Red Team) для получения дополнительной помощи.Это первая программа по наступательным технологиям в Индии, которая позволяет учащимся практиковаться в смоделированной экосистеме в реальном времени, что даст им преимущество в этом конкурентном мире.

ТАКЖЕ ПРОЧИТАЙТЕ

Что такое WannaCry и что я могу с этим поделать?

Недавно мы обсуждали программы-вымогатели и почему к ним нужно готовиться. WannaCry, пожалуй, самая известная и многочисленная из недавних атак в стиле вымогателей. Он останавливает бизнес, малый и крупный, на своем пути, удерживая свои данные в заложниках и требуя тысячи или десятки тысяч долларов в биткойнах, без гарантии, что данные действительно будут дешифрованы.

Вот как это работает: как только WannaCry проникает в компьютер, он шифрует все, что может найти, что делает данные недоступными (и совершенно бесполезными) для бизнеса. На компьютере появляется экран, запрашивающий деньги в обмен на восстановление данных. Цена продолжает расти по мере того, как дни продолжаются. По окончании обратного отсчета файлы полностью уничтожаются.

Как вы понимаете, для компаний это разрушительно не только из-за потери данных, но и из-за потери производительности и клиентов.И, к сожалению, WannaCry необычайно эффективен: это довольно прибыльное занятие для хакеров. Хуже всего: есть несколько способов остановить это.

Что можно сделать с WannaCry

Итак, что вы можете сделать, чтобы уменьшить влияние WannaCry на ваш бизнес? Мы собрали несколько наиболее эффективных способов минимизировать ущерб.

• Запустите обновление безопасности Microsoft прямо сейчас. В марте этого года Microsoft выпустила обновление для системы безопасности, которое специально нацелено на уязвимость, уязвимую для WannaCry.Обновление обеспечивает защиту от данной уязвимости.
• Регулярно обновляйте плагины и исправления. Не позволяйте другим обновлениям задерживаться. Сюда входят такие приложения, как Adobe и Java. Кроме того, блокировщики рекламы делают больше, чем блокируют рекламу; они помогают предотвратить переход пользователей по плохим ссылкам и доступ к вредоносному ПО, которое может привести к атакам, подобным программам-вымогателям.
• Обучайте своих сотрудников. Ваши коллеги по работе часто представляют собой самую большую угрозу, поскольку именно их решения и действия могут либо способствовать распространению программ-вымогателей, либо предотвращать их.Объясните своим пользователям, что искать и что делать, если они видят или испытывают что-то подозрительное. Кроме того, расскажите им о том, какие процедуры следует предпринять в случае реальной атаки с использованием программ-вымогателей.
• Узнай свою точку безопасности. Узнайте, как определить точное время, когда программа-вымогатель поразила ваши данные, и использовать этот маркер времени для восстановления самых последних версий файлов и виртуальных машин. (Это может быть утомительным процессом, если вы не инвестировали в аварийное восстановление как услугу, но оно того стоит).
• Попробуйте вернуть часы BIOS. Это может не всегда работать, но вы можете попытаться вернуть часы BIOS до истечения срока действия выкупа. Это эффективно отсрочило крайний срок выкупа, но работает только с определенными типами программ-вымогателей.

Наконец, найдите время, чтобы быть в курсе последних новостей о WannaCry и программах-вымогателях в целом. Развитие кибербезопасности происходит быстро, и если ваш бизнес подвергнется атаке, вы будете счастливы, что нашли время, чтобы оставаться в курсе последних проблем и стратегий.