История показывает, что исключать повторения WannaCry в том или иной вариации нельзя, но нужно понимать, что оперативное противодействие подобным атакам — достаточно сложная задача. Для подготовки, укрепления «защиты» и принятия соответствующих профилактических мер очень важно не упускать из вида разборы наиболее заметных (как минимум) инцидентов в сфере ИБ.
Для этого мы решили взять наиболее рейтинговые материалы, которые выходили на Hacker News, и все, что было опубликовано по теме WannaCry на «Хабрахабре» и Geektimes.ru. Итоговую тематическую подборку мы дополнили комментариями экспертов Университета ИТМО.
Flickr / Michele M. F. / CC
Подборка устройств, подверженных воздействию WannaCry
Год бесплатной пиццы и 10 тысяч долларов для white-hat’а, который «спас Интернет»
Вся необходимая информации о WannaCry, Wcry и WannaCrypt
WannaCry: наиболее популярный вирус-вымогатель в истории
Обнаружены новые вариации WannaCry
WannaCry: дешифровка с помощью WanaKiwi + демо
Программа-шантажист WannaCrypt атакует необновлённые системы
WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению
Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам
Wannacry — икс-команда, на выезд
Анализ шифровальщика Wana Decrypt0r 2.0
WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужен бэкап
Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt
Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее
Разбираем уязвимость CVE-2017-0263 для повышения привилегий в Windows
Кузьмич Павел Алексеевич, директор лаборатории компьютерной криминалистики при Университете ИТМО:
Григорий Саблин, вирусный аналитик, эксперт в области информационной безопасности Университета ИТМО, победитель международных соревновании по защите компьютерной информации:
Для этого мы решили взять наиболее рейтинговые материалы, которые выходили на Hacker News, и все, что было опубликовано по теме WannaCry на «Хабрахабре» и Geektimes.ru. Итоговую тематическую подборку мы дополнили комментариями экспертов Университета ИТМО.
Flickr / Michele M. F. / CC
Что говорят «у них»
Подборка устройств, подверженных воздействию WannaCry
Мы решили начать с неплохой коллекции устройств, которые попали в объектив смартфонов своих пользователей. Авторам удалось собрать самые различные примеры: от бытовых ПК до служебных систем и пунктов приема платежей. Для тех, кому уже надоела шумиха вокруг WannaCry, есть специальный раздел в конце материала.
Год бесплатной пиццы и 10 тысяч долларов для white-hat’а, который «спас Интернет»
Сразу после раскрытия личности героя в СМИ ряд компаний проявил инициативу и предложил свои варианты вознаграждения за заслуги перед ИТ-сообществом. Справедливое вознаграждение или самореклама «щедрых» компаний — решать вам.
Вся необходимая информации о WannaCry, Wcry и WannaCrypt
Трой Хант, эксперт в области ИБ, имеющий непосредственное отношение к компании Microsoft, начал собирать данные о WannaCry еще 13 мая. По мере развития событий материал был дополнен технологическими подробностями и различной аналитикой (в том числе и финансовыми результатами «работы» шифровальщика-вымогателя). Помимо всего прочего Трой написал отдельный материал о том, почему не стоит отказываться от обновления ОС.
WannaCry: наиболее популярный вирус-вымогатель в истории
Один из MVP компании Microsoft собрал свою wiki-страничку на тему всего, что успел «натворить» шифровальщик-вымогатель. Здесь вы сможете найти информацию о том, как происходит заражение и получить рекомендации относительно профилактических мероприятий. Материал наполнен огромным количеством полезных ссылок (в том числе и на три последующие части рассказа эксперта).
Обнаружены новые вариации WannaCry
Краткая заметка о том, что из себя представляют новые разновидности WannaCry. Характерные особенности и примеры с kill-switch и без него. Помимо постов в своем блоге эксперт дал краткий комментарий в тематической статье NYtimes и собрал пару примеров и сравнений, подтверждающих связь WannaCry и Lazarus Group.
WannaCry: дешифровка с помощью WanaKiwi + демо
Практическое руководство по дешифровке данных, которые подверглись воздействию WannaCry. Проверено на версиях, начиная с Windows XP (x86) и до Windows 7 (x86), включая Windows 2003 (x86), Vista and 2008 and 2008 R2.
Что говорят «у нас»
Программа-шантажист WannaCrypt атакует необновлённые системы
Нет ничего удивительного в том, что основная экспертиза по теме была предоставлена от лица крупнейших компаний, тем или иным образом связанных либо с самой уязвимостью, либо с вопросами ИБ. Microsoft не стала исключением и подготовила перевод статьи с разбором ситуации, которая вышла 12 мая в официальном блоге компании.
WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению
Компания Cisco делится с хабражителями результатами исследования программы-шифровальщика. Основной материал был подготовлен специальным подразделением Cisco Talos. Его англоязычную версию можно просмотреть здесь.
Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам
Компания Panda Security привела свою точку зрения относительно того, что произошло 12 мая, и рассказала о том, что отличает WannaCry от других атак, которые мы видели ранее. Описаны следующие критерии: направление заражения, взаимодействие с уязвимой системой, процессы распространения и шифрования. Помимо этого компания предоставила полезные рекомендации и ссылки по теме.
Wannacry — икс-команда, на выезд
Компания КРОК написала практический материал о том, как происходило общение с клиентам, которые обратились за помощью. Помимо этого эксперты привели варианты действий, которые они рассматривали для реагирования на месте. Что из этого вышло и где остановили Wannacry почти сразу — читайте в материале.
Анализ шифровальщика Wana Decrypt0r 2.0
Интересный разбор особенностей шифровальщика Wana Decrypt0r 2.0 (вторая версия WannaCry) подготовили специалисты компаний T&T Security и Pentestit. Здесь представлен полный комплект: статистика, технологические нюансы и аналитические рассуждения.
WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужен бэкап
Помимо краткого знакомства с WannaCry, его принципами работы и продуктами Acronis, которые могли бы пригодиться читателям, компания привела интересный список «жертв».
Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt
Редакция Geektimes.ru рапортует о последних новостях по теме. Помимо рассказа о случайной находке, которая «спасла Интернет», вы можете почитать о том, как Microsoft обвинила АНБ в накоплении эксплойтов, и новых вариациях WannaCry, в том числе без стоп-крана.
Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее
«Лаборатория Касперского» разбирает последствия ажиотажа по поводу вредоносного ПО. В качестве примера приведена пара последних новостей, которые в очередной раз напоминают нам о том, что самые базовые и безобидные функциональные возможности ПО — это первое, что берут на вооружение злоумышленники.
Разбираем уязвимость CVE-2017-0263 для повышения привилегий в Windows
Компания Positive Technologies решила пойти по следам новостей о WannaCry и рассказать об уязвимости «контекстного меню» и вариантах эксплуатации.
Кузьмич Павел Алексеевич, директор лаборатории компьютерной криминалистики при Университете ИТМО:
Скорее всего, сотрудники тех организаций, где зафиксировали заражение, использовали компьютеры для получения почты и «серфинга» в интернете и, не убедившись в безопасности полученных писем и открываемых сайтов, загрузили на них вредоносное программное обеспечение.
Вполне возможно, что таким образом могли быть скомпрометированы конфиденциальные сведения их клиентов — в случае коммерческих организаций, а также и большие объемы персональных данных — в случае с государственными ведомствами. Стоит надеяться на то, что на данных компьютерах такие сведения не обрабатывались.
Программы-вымогатели — это хорошо известный способ мошенничества и определенные подходы для защиты все-таки есть. Во-первых, нужно внимательно относиться к переходам по тем или иным ссылкам в Сети. Аналогично и с почтой — очень часто вирусы распространяются в файлах, приложенных к письмам якобы от вашего интернет-провайдера или банка. В-третьих, немаловажно хотя бы иногда делать резервные копии значимых документов на отдельные съемные носители.
Чаще всего заражение и активная фаза работы вируса — шифрование данных — проявляется в виде значительного снижения производительности компьютера. Это является следствием того, что шифрование — крайне ресурсоемкий процесс. Также это можно заметить при появлении файлов с непонятным расширением, но обычно на этом этапе уже поздно предпринимать какие-либо действия.
Григорий Саблин, вирусный аналитик, эксперт в области информационной безопасности Университета ИТМО, победитель международных соревновании по защите компьютерной информации:
Злоумышленники используют уязвимость в протоколе SMB MS17_010 — патч уже на серверах Microsoft. Те, кто не обновился, могут попасть под раздачу. Но, можно сказать, эти пользователи сами виноваты — они использовали пиратское ПО или не обновляли Windows. Мне самому интересно, как будет развиваться ситуация: похожая история была с MS08_67, её тогда использовал червь Kido, и тогда тоже многие заразились.
Не факт, что удастся восстановить все заблокированные файлы. Этот вирус может проникнуть куда угодно из-за того, что многие компьютеры еще не обновлены. Кстати, этот эксплойт был взят из архива, который «слили» у Агентства национальной безопасности (АНБ) США, то есть это пример того, как могут действовать спецслужбы в какой-либо экстренной ситуации.
Поделиться с друзьями