История показывает, что исключать повторения WannaCry в том или иной вариации нельзя, но нужно понимать, что оперативное противодействие подобным атакам — достаточно сложная задача. Для подготовки, укрепления «защиты» и принятия соответствующих профилактических мер очень важно не упускать из вида разборы наиболее заметных (как минимум) инцидентов в сфере ИБ.

Для этого мы решили взять наиболее рейтинговые материалы, которые выходили на Hacker News, и все, что было опубликовано по теме WannaCry на «Хабрахабре» и Geektimes.ru. Итоговую тематическую подборку мы дополнили комментариями экспертов Университета ИТМО.

Flickr / Michele M. F. / CC



Что говорят «у них»




Подборка устройств, подверженных воздействию WannaCry
Мы решили начать с неплохой коллекции устройств, которые попали в объектив смартфонов своих пользователей. Авторам удалось собрать самые различные примеры: от бытовых ПК до служебных систем и пунктов приема платежей. Для тех, кому уже надоела шумиха вокруг WannaCry, есть специальный раздел в конце материала.

Год бесплатной пиццы и 10 тысяч долларов для white-hat’а, который «спас Интернет»
Сразу после раскрытия личности героя в СМИ ряд компаний проявил инициативу и предложил свои варианты вознаграждения за заслуги перед ИТ-сообществом. Справедливое вознаграждение или самореклама «щедрых» компаний — решать вам.

Вся необходимая информации о WannaCry, Wcry и WannaCrypt
Трой Хант, эксперт в области ИБ, имеющий непосредственное отношение к компании Microsoft, начал собирать данные о WannaCry еще 13 мая. По мере развития событий материал был дополнен технологическими подробностями и различной аналитикой (в том числе и финансовыми результатами «работы» шифровальщика-вымогателя). Помимо всего прочего Трой написал отдельный материал о том, почему не стоит отказываться от обновления ОС.

WannaCry: наиболее популярный вирус-вымогатель в истории
Один из MVP компании Microsoft собрал свою wiki-страничку на тему всего, что успел «натворить» шифровальщик-вымогатель. Здесь вы сможете найти информацию о том, как происходит заражение и получить рекомендации относительно профилактических мероприятий. Материал наполнен огромным количеством полезных ссылок (в том числе и на три последующие части рассказа эксперта).

Обнаружены новые вариации WannaCry
Краткая заметка о том, что из себя представляют новые разновидности WannaCry. Характерные особенности и примеры с kill-switch и без него. Помимо постов в своем блоге эксперт дал краткий комментарий в тематической статье NYtimes и собрал пару примеров и сравнений, подтверждающих связь WannaCry и Lazarus Group.

WannaCry: дешифровка с помощью WanaKiwi + демо
Практическое руководство по дешифровке данных, которые подверглись воздействию WannaCry. Проверено на версиях, начиная с Windows XP (x86) и до Windows 7 (x86), включая Windows 2003 (x86), Vista and 2008 and 2008 R2.



Что говорят «у нас»




Программа-шантажист WannaCrypt атакует необновлённые системы
Нет ничего удивительного в том, что основная экспертиза по теме была предоставлена от лица крупнейших компаний, тем или иным образом связанных либо с самой уязвимостью, либо с вопросами ИБ. Microsoft не стала исключением и подготовила перевод статьи с разбором ситуации, которая вышла 12 мая в официальном блоге компании.

WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению
Компания Cisco делится с хабражителями результатами исследования программы-шифровальщика. Основной материал был подготовлен специальным подразделением Cisco Talos. Его англоязычную версию можно просмотреть здесь.

Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам
Компания Panda Security привела свою точку зрения относительно того, что произошло 12 мая, и рассказала о том, что отличает WannaCry от других атак, которые мы видели ранее. Описаны следующие критерии: направление заражения, взаимодействие с уязвимой системой, процессы распространения и шифрования. Помимо этого компания предоставила полезные рекомендации и ссылки по теме.

Wannacry — икс-команда, на выезд
Компания КРОК написала практический материал о том, как происходило общение с клиентам, которые обратились за помощью. Помимо этого эксперты привели варианты действий, которые они рассматривали для реагирования на месте. Что из этого вышло и где остановили Wannacry почти сразу — читайте в материале.

Анализ шифровальщика Wana Decrypt0r 2.0
Интересный разбор особенностей шифровальщика Wana Decrypt0r 2.0 (вторая версия WannaCry) подготовили специалисты компаний T&T Security и Pentestit. Здесь представлен полный комплект: статистика, технологические нюансы и аналитические рассуждения.

WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужен бэкап
Помимо краткого знакомства с WannaCry, его принципами работы и продуктами Acronis, которые могли бы пригодиться читателям, компания привела интересный список «жертв».

Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt
Редакция Geektimes.ru рапортует о последних новостях по теме. Помимо рассказа о случайной находке, которая «спасла Интернет», вы можете почитать о том, как Microsoft обвинила АНБ в накоплении эксплойтов, и новых вариациях WannaCry, в том числе без стоп-крана.

Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее
«Лаборатория Касперского» разбирает последствия ажиотажа по поводу вредоносного ПО. В качестве примера приведена пара последних новостей, которые в очередной раз напоминают нам о том, что самые базовые и безобидные функциональные возможности ПО — это первое, что берут на вооружение злоумышленники.

Разбираем уязвимость CVE-2017-0263 для повышения привилегий в Windows
Компания Positive Technologies решила пойти по следам новостей о WannaCry и рассказать об уязвимости «контекстного меню» и вариантах эксплуатации.



Кузьмич Павел Алексеевич, директор лаборатории компьютерной криминалистики при Университете ИТМО:

Скорее всего, сотрудники тех организаций, где зафиксировали заражение, использовали компьютеры для получения почты и «серфинга» в интернете и, не убедившись в безопасности полученных писем и открываемых сайтов, загрузили на них вредоносное программное обеспечение.

Вполне возможно, что таким образом могли быть скомпрометированы конфиденциальные сведения их клиентов — в случае коммерческих организаций, а также и большие объемы персональных данных — в случае с государственными ведомствами. Стоит надеяться на то, что на данных компьютерах такие сведения не обрабатывались.

Программы-вымогатели — это хорошо известный способ мошенничества и определенные подходы для защиты все-таки есть. Во-первых, нужно внимательно относиться к переходам по тем или иным ссылкам в Сети. Аналогично и с почтой — очень часто вирусы распространяются в файлах, приложенных к письмам якобы от вашего интернет-провайдера или банка. В-третьих, немаловажно хотя бы иногда делать резервные копии значимых документов на отдельные съемные носители.

Чаще всего заражение и активная фаза работы вируса — шифрование данных — проявляется в виде значительного снижения производительности компьютера. Это является следствием того, что шифрование — крайне ресурсоемкий процесс. Также это можно заметить при появлении файлов с непонятным расширением, но обычно на этом этапе уже поздно предпринимать какие-либо действия.



Григорий Саблин, вирусный аналитик, эксперт в области информационной безопасности Университета ИТМО, победитель международных соревновании по защите компьютерной информации:

Злоумышленники используют уязвимость в протоколе SMB MS17_010 — патч уже на серверах Microsoft. Те, кто не обновился, могут попасть под раздачу. Но, можно сказать, эти пользователи сами виноваты — они использовали пиратское ПО или не обновляли Windows. Мне самому интересно, как будет развиваться ситуация: похожая история была с MS08_67, её тогда использовал червь Kido, и тогда тоже многие заразились.

Не факт, что удастся восстановить все заблокированные файлы. Этот вирус может проникнуть куда угодно из-за того, что многие компьютеры еще не обновлены. Кстати, этот эксплойт был взят из архива, который «слили» у Агентства национальной безопасности (АНБ) США, то есть это пример того, как могут действовать спецслужбы в какой-либо экстренной ситуации.

P.S. Будем признательны обсуждение в комментариях дополнительных материалов и мнений, которые показались вам интересными. Соберем эту подборку вместе :)
Поделиться с друзьями
-->

Комментарии (10)


  1. petropavel
    26.05.2017 08:38
    -1

    Никаких доказательств, конечно, но есть мысли, что WannaCry — это, скорее, хорошо, чем плохо:


    • денег просили немного, собрали на удивление мало для эпидемии такого масштаба. Если бы была цель денег заработать, с такими термоядерными эксплоитами можно было бы что-нибудь повыгоднее придумать
    • независимо от цели, попугали всех знатно. каждая домохозяйка, небось, про WannaCry слышала, обновились, пожалуй, даже те, кто никогда этого раньше не делал. Microsoft — в первый раз! — выпустила патчи для старых неподдерживаемых версий Windows.
    • Ущерб, конечно, был немаленький. Но, подозреваю, что если б какие-то скрытные и предприимчивые ребята стали использовать эти эксплоиты, с целью, именно, максимизации своей прибыли — ущерб был бы больше. Тогда дропперы пролезали бы на предприятия и банки тайно, и не вывешивали бы большое красное окно по центру экрана. А такие ребята бы точно нашлись, и скоро — раз эксплоиты уже ушли в открытый доступ.

    Может создатели WannaCry — идиоты, не сумевшие использовать потенциал эксплоитов? А может благодетели, целью которых было попугать мир и всех пропатчить?


    1. MurzikFreeman
      26.05.2017 09:32

      Благодетели бы просто закрывали эту дыру молча, не причиняя вреда пользователю.


      1. Andrey_911
        26.05.2017 10:09

        Разумеется «благодетели», а не просто благодетели. Так что если попугали и ничего особо страшного не сделали- уже не плохо.


      1. petropavel
        26.05.2017 15:49

        Просто закрыть дыру на всех версиях Windows — это ж надо Microsoftом быть. А выдавать окошко с предупреждением недостаточно, его будут просто закрывать. Эффекта не будет.


    1. Serge78rus
      26.05.2017 09:40
      +1

      Может создатели WannaCry — идиоты, не сумевшие использовать потенциал эксплоитов? А может благодетели, целью которых было попугать мир и всех пропатчить?

      Почему Вы не рассматриваете какие-либо интересы создателей, помимо чисто экономических — например, политические? Как один из вариантов со стороны любителей «запрещать интернет» — показать «опасность» сети для электората. У тех или иных спецслужб тоже могут быть какие-то интересы.


    1. LoadRunner
      26.05.2017 10:08

      Но, подозреваю, что если б какие-то скрытные и предприимчивые ребята стали использовать эти эксплоиты, с целью, именно, максимизации своей прибыли — ущерб был бы больше.
      А кто Вам сообщит о реальном ущербе? Может это был финальный аккорд какой-нибудь многоходовочки, чтобы завуалировать другую вредоносную деятельность или чтобы замести следы.


      1. Ugrum
        26.05.2017 12:36

        Может это был финальный аккорд какой-нибудь многоходовочки, чтобы завуалировать другую вредоносную деятельность


        Заставить юзеров пропатчить отработавшую и раскрытую уязвимость, подсунув с заплатками свежих, с пылу с жару никому пока неизвестных. Да вы гений.
        /салютую фольгированной кипой/


      1. petropavel
        26.05.2017 15:54

        Может быть. Но самый вероятный вариант — самый простой, какие-то идиоты решили по-быстрому срубить бабла. Вариант с "благодетелями" — уже сложнее и невероятнее. Вероятность финального аккорда уже слишком мала для аргументированного обсуждения.


  1. iZevs
    26.05.2017 14:45

    А файлы у кого-нибудь расшифровались из тех кто деньги заплатил?


  1. steff
    26.05.2017 14:49
    +2

    https://wanadecryptor.ru/wannacry-victims-list/ — список пострадавших от WannaCry компаний,

    https://wanadecryptor.ru/adylkuzz-world-attack/ — о том, что до WannaCry был более скромный вирус-майнер, использующий ту же технологию распространения.