Эксперты Group-IB поделились информацией, известной о WannaCrypt на данный момент. Всего за сутки вирус-шифровальщик Wanna Cryptor атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов и школ в Китае, заводов Renault во Франции, телекоммуникационной компания Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД РФ — не смогли выдавать водительские права.

За разблокировку компьютеров преступники требовали сравнительно небольшой выкуп -от 300 до 600$, и за день заработали всего $42 000. Биткоин-кошельки устроены таким образом, что их содержимое (но не принадлежность) видно любому. Сумма для киберпреступного мира смехотворная, и она указывает на перелом в человеческом восприятии шифровальщиков как явления: люди больше не готовы платить за расшифровку, при 200 000 заражений деньги заплатило всего 100-150 человек. Возможно, данная атака, с учетом ее показательности, станет одновременно пиком и концом эпохи шифровальщиков.

Однако в целом история Wanna Cryptor наглядно показала, насколько уязвим современный цифровой мир.

С чисто технической точки зрения, Wanna Cryptor — достаточно простое вредоносное ПО. Оно атакует все хосты, доступные в локальной сети, и сканирует интернет, чтобы обнаружить уязвимые хосты и там.

Успешное распространение этой вредоносной программы в глобальном масштабе — следствие появления в открытом доступе кибероружия и его использования преступными группировками: Wanna Cryptor использует EternalBlue, предположительно, эксплойт АНБ США, выложенный в утечке ShadowBrokers 14 апреля.

Хотя с тактической точки зрения эта атака достаточно продвинутая, в целом в ней нет ничего нового. Mirai, ботнет IoT, стоящий за исторически значимой DDoS-атакой на блог KrebsOnSecurity в сентябре 2016 года, был создан с использованием схожих подходов к распространению и сокрытию вируса.

Wanna Cryptor распространяется на другие компьютеры как компьютерный червь. Он запускает два потока: первый сканирует LAN на порте 445 и ищет уязвимые хосты, второй пытается использовать уязвимость на случайных IP-адресах со скоростью 1000 IP-адресов в минуту.

Вредоносное ПО выбирает для шифрования наиболее чувствительные документы — электронную почту, ключи шифрования и сертификаты, файлы исходных кодов, архивы, файлы MS Office, виртуальные машины, базы данных.

Вирус устанавливает TOR для связи с сервером командными серверами (C&C).

В первую очередь под угрозой оказываются: все компании, на компьютерах которых не установлен патч безопасности MS17-010; крупные компании — чем больше компьютеров в локальной сети, тем больше хостов может быть подвержено заражению; пользователи пиратского ПО, не поддерживаемого Microsoft.

Домашние пользователи могут оказаться под угрозой, только если они запустят вирус вручную или имеют доступ к Интернету через локальную сеть провайдера. Настроенные по умолчанию домашние маршрутизаторы, не позволяют 445-порту, который вредоносные программы используют для самораспространения, быть доступным «снаружи».

Ни Group-IB, ни кто-либо другой не может подтвердить или опровергнуть российское происхождение нападавших без тщательного расследования. Среди целевых файлов не найдены расширения файлов «1С», на которые обычно нацелены шифровальщики, созданные в России. Но без дальнейшего исследования однозначный вывод сделать невозможно.

Массовая атака была остановлена, когда исследователь из Великобритании зарегистрировал домен, к которому вредоносная программа обращалась, начиная свою деятельность. Вредоносная программа запускалась при условии, что домен не зарегистрирован. Сейчас, когда домен зарегистрирован, установленная вредоносная программа обращается к нему и, получив ответ, прекращает любую деятельность.

Однако организациям, использующим прокси-серверы, этот «kill switch» не поможет, так как Wanna Cryptor не сможет достичь домена.

Единственный надёжный способ защититься — установить обновления безопасности и не запускать вредоносного ПО вручную.

Киберпреступникам потребуется совсем немного времени, чтобы модифицировать Wanna Cryptor и снова запустить атаку. Таким образом, сейчас — лишь временная передышка. Кто-то (предположительно не разработчик оригинальной Wanna Cryptor) уже загрузил в VirusTotal новую версию вируса без функции kill-switch.

Единственный надежный способ защититься — установить обновления безопасности и не запускать вредоносного ПО вручную.

Чтобы защититься от подобных атак: устанавливайте обновления системы и патчи систем безопасности вовремя; если в корпоративной сети остались непропатченные ПК, не позволяйте сотрудникам подключать к сети ноутбуки, принесенные из дома; регулярно создавайте резервные копии своих систем; внедрите политику «нулевого доверия» и организуйте тренинг по информационной безопасности для ваших сотрудников; рассмотрите возможность отключения SMB в качестве временной меры; подпишитесь на уведомления технической безопасности Microsoft; создание мьютексов MsWinZonesCacheCounterMutexA и Global\MsWinZonesCacheCounterMutexA0 предотвратит запуск вируса.

В данном конкретном случае решения по сетевой безопасности, запускающие подозрительные файлы в «песочнице», типа Group-IB TDS, доказали свою эффективность. Система киберразведки Group-IB заранее информировала клиентов компании об уязвимости, используемой Wanna Cryptor.

Group-IB не рекомендует платить выкуп, так как: таким образом вы помогаете преступникам; нет доказательств, что данные тех, кто заплатил, были восстановлены.

Если вы заметили, что ваш компьютер значительно замедляет работу и начинают появляться файлы со странными расширениями, немедленно выключите его. Таким образом вы предотвратите дальнейшее шифрование файлов.

Пресс-релиз

Версия для печати