WannaCry

В мае 2017 года произошла глобальная атака вируса-вымогателя WannaCry. Представляет ли она угрозу до сих пор? Читайте дальше, чтобы узнать больше.

.st0{fill:#0D3ECC;} СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и Для бизнеса

В наши дни трудно игнорировать атаки вымогателей. По данным отчета ФБР об интернет-преступлениях, в 2020 году количество жалоб на подобные угрозы выросло на 20 %. В глобальном масштабе число атак увеличилось более чем на 60 % в период с 2019 по 2020 год. Атаки ransomware не только учащаются, но и становятся все более заметными.

Не дайте вымогательству захватить ваше устройство

Убедитесь, что ваше устройство защищено от программ-вымогателей.
Попробуйте Malwarebytes Premium бесплатно в течение 14 дней.

УЗНАТЬ БОЛЬШЕ

От нефтепроводов и больниц до школ, банков и благотворительных организаций - похоже, ни одна организация не застрахована от атак с использованием вымогательского ПО. От нарушений кибербезопасности страдают не только крупные компании. Малые предприятия также становятся жертвами ransomware, и им бывает сложнее выжить, поскольку у них обычно меньше ресурсов для восстановления, чем у крупных компаний.

Хотя глобальная атака WannaCry произошла в 2017 году, за прошедшие годы появилось множество других типов вымогательского ПО. Давайте рассмотрим WannaCry и причины, по которым она стала столь значимым киберинцидентом. 

Что представляла собой атака WannaCry? 

"Упс, ваши файлы были зашифрованы!"

В мае 2017 года программа-вымогатель WannaCry распространилась по всему миру через компьютеры, работающие под управлением Windows. Почти за два месяца до этого Microsoft выпустила патч безопасности для EternalBlue, эксплойта, который злоумышленники использовали для распространения WannaCry ransomware. Однако многие пользователи Windows по всему миру не обновили свое программное обеспечение или использовали устаревшие версии Windows, и поэтому были уязвимы для масштабной атаки. 

Злоумышленники из WannaCry зашифровали Windows компьютеров по всему миру и потребовали выкуп в размере сначала 300 долларов в биткойнах, а затем 600 долларов. Всего за несколько часов было заражено около 230 000 компьютеров в 150 странах. После первоначального стремительного распространения по всему миру исследователь безопасности Маркус Хатчинс обнаружил переключатель, который значительно замедлил распространение атаки. 

Тепловая карта заражения вирусом WannaCry Ransomware

Почему WannaCry оказался настолько успешным?

Программы-вымогатели, подобные WannaCry, обычно шифруют ваши файлы или блокируют систему. Затем она требует оплаты в форме криптовалюты, например биткойна, поскольку такие валюты сложнее отследить, чем электронные денежные переводы, чеки или холодные наличные. Однако у WannaCry есть некоторые особенности, которые отличают ее от типичных атак вымогателей, о которых вы читаете сегодня.

Киберганы обычно используют чистые штаммы ransomware для целенаправленных атак. Подумайте об этом, как о луке и стрелах вместо катапульты. Первый вариант лучше подходит для поражения одной цели за раз, а второй - для поражения нескольких целей. Например, вредоносное ПО и преступная группировка, стоявшие за атакой с выкупом Colonial Pipeline, похоже, были нацелены только на одну цель. Чтобы установить DarkSide ransomware, банда, очевидно, воспользовалась известным паролем для старой учетной записи виртуальной частной сети (VPN).

С другой стороны, WannaCry был скорее катапультой. Он оправдал свое название, заразив сотни тысяч компьютеров в более чем 150 странах всего за несколько часов. Он не брал пленных, стремительно поражая все типы систем через бизнес-сети. Почему же распространение червя-вымогателя WannaCry было столь масштабным и успешным?

1. Компонент червяка

Червь - это тип вредоносного ПО, которое может удалять файлы, потреблять пропускную способность и быстро распространяться, не нуждаясь в файле-хосте. Он самораспространяется, то есть, в отличие от вируса, не нуждается в активации человеком для начала своей вредоносной деятельности. Кроме того, черви могут распространять вредоносное ПО, например, выкупные программы. Вирус WannaCry распространился по компьютерам Windows как лесной пожар благодаря своему червячному компоненту.

2. Эксплойты

Эксплойт - это непропатченная уязвимость системы, которую киберпреступник может использовать для вредоносных действий. Уязвимость, которую использует WannaCry, заключается в том, как Windows управляет протоколом SMB (Server Message Block). В двух словах, протокол SMB позволяет сетевым узлам обмениваться данными. Хотя Microsoft исправила уязвимость в 2017 году, угрозы используют SMB-уязвимости и сегодня для троянских и вымогательских атак, поскольку многие пользователи Windows не загружают обновления.  

Какие отрасли больше всего пострадали от WannaCry?

Атака WannaCry распространилась так быстро и заразила так много компьютеров по всему миру, что затронула многие отрасли. В их числе: 

  • Здравоохранение
  • Аварийная ситуация
  • Security
  • Логистика
  • Telecom
  • Газ
  • Бензин
  • Автомобили
  • Образование
  • Реклама

Сколько компьютеров было заражено вирусом WannaCry?

WannaCry поразила примерно 230 000 компьютеров. Вредоносная программа затронула работу больниц, служб экстренной помощи, автозаправочных станций и даже заводов. По некоторым оценкам, финансовые затраты на атаку исчисляются миллиардами.

Кто создал WannaCry?

Соединенные Штаты официально возлагают ответственность за атаку WannaCry на Северную Корею и даже предъявили обвинения трем северокорейцам в создании вредоносной программы и взломе Sony Pictures Entertainment в 2014 году. Интересно, что АНБ (Национальное агентство Security ), возможно, также сыграло свою роль в атаке WannaCry, хотя и непреднамеренно.

Утверждается, что АНБ обнаружило SMB-уязвимость, которую использует WannaCry. Позже этот так называемый инструмент эксплуатации EternalBlue был якобы украден у разведывательной организации и передан хакерской группе The Shadow Brokers (TSB).

Является ли WannaCry все еще угрозой?

WannaCry стал менее опасным во многом благодаря героизму Маркуса Хатчинса. Британский исследователь в области компьютерной безопасности разработал "выключатель" с помощью обратной инженерии и медовых точек, который не позволил WannaCry продолжить работу. Кроме того, команда французских исследователей нашла способ расшифровать некоторые пострадавшие компьютеры без уплаты выкупа.

Однако WannaCry все еще активен. Обязательно регулярно обновляйте операционную систему Windows , чтобы убедиться в наличии последних исправлений безопасности. Вы также можете положиться на интеллектуальную технологию защиты от вредоносных программ Malwarebytes, которая обнаружит и удалит Ransom.WannaCrypt в проактивном режиме.  

Что делает WannaCry, если не заплатить?

WannaCry требует 300 долларов в биткойнах после блокировки системы. Позже он удваивает сумму вымогательства. Он также угрожает удалить ваши данные безвозвратно в течение трех дней. Здесь, на сайте Malwarebytes, мы рекомендуем не платить бандам вымогателей, отчасти потому, что это поощряет новые банды вымогателей, которые ищут быстрый способ обогатиться. Кроме того, нет никакой гарантии, что вы разблокируете свои файлы или компьютер. Например, не все жертвы WannaCry получили свои файлы обратно после оплаты, возможно, из-за недостатков самой программы-вымогателя.  

Каковы некоторые эффективные стратегии борьбы с рандомным ПО?

Для домашних устройств используйте антивирусное/антивирусное программное обеспечение, которое защищает от всех видов вредоносных программ, включая защиту от вымогательства. Для предприятий стратегии борьбы с ransomware включают: 

  1. Используйте программное обеспечение для обеспечения кибербезопасности, способное обнаруживать и блокировать угрозы ransomware. 
  2. Часто создавайте резервные копии данных и делайте промежутки между резервными копиями критически важных данных.
  3. Сегментируйте свою сеть.
  4. Регулярно проверяйте наличие обновлений безопасности и устраняйте уязвимости.
  5. Опасайтесь таких векторов угрозы выкупа, как фишинговые письма.
  6. Установите сложные пароли и периодически меняйте их.
  7. Защитите свою систему и важные учетные записи с помощью двухфакторной аутентификации.

Malwarebytes Защита от трансоматного ПО для бизнеса

Malwarebytes Система Endpoint Detection and Response предоставляет возможности реагирования, выходящие за рамки простого оповещения, включая фирменные функции Linking Engine Remediation и Ransomware Rollback.

УЗНАТЬ БОЛЬШЕ

Статьи о WannaCry из Malwarebytes Labs