Последние новости от Avast: кто больше всего пострадал, кто был мишенью, как удалить WannaCry, нужно ли платить вымогателям и многое другое о вирусе WanaCrypt0r
В минувшую пятницу на календарях было вовсе не 13ое число, хотя многим показалось именно так. Сотни тысяч компьютеров по всему миру, в том числе и в органах государственной власти, были поражены программой-вымогателем WannaCry (WanaCrypt0r, WCry). На данный момент нами зафискировано более 250 000 случаев атак в 116 странах.
По нашим данным около 15% от 400 млн наших клиентов не установило обновления безопасности Windows, закрывающие уязвимость MS17-010. Если на нем не установлен антивирус Avast, который защищает от подобного типа угроз, это может поставить под угрозу данные на устройстве.
Уже к утру пятницы мы зафиксировали более 57 000 случаев атак шифровальщика WCry на наших пользователей. После полуночи, это число увеличилось до 100 000. Более чем сто тысяч человек столкнулись с атакой этого вируса-вымогателя в первые сутки, но антивирус Avast заблокировал угрозу и предотвратил заражение компьютера. По мере развития ситуации все стали понимать, что мы стали свидетелями крупнейшей на данный момент киберэпидемии в истории.
Ниже представлена динамика обнаружения WanaCryptor.
Мы защищаем от всех разновидностей этого вируса. Некоторые исследователи утверждают, что пик заражений вымогателем пройден, но это относится лишь к одной из разновидностей шифровальщика, который как компьютерный червь распространился многие устройства.
После основной вспышки мы фиксировали около 10 000 случаев атак в час, что все равно является очень высоким показателем лишь для одного образца вируса-вымогателя. Позже один из исследователей нашел способ деактивации вируса, «выключатель», о котором мы поговорим позднее. И количество атак к вечеру пятницы значительно снизилось: до 2 000 случаев в час. С этого момента это число понемногу снижается, и мы надеемся, что этот тренд сохранится.
Мы определили 10 стран, которые по нашим данным более всего пострадали от данного вируса:
Более половины зафиксированных нами попыток атак пришлись на российских пользователей.
WanaCrypt0r, как и большинство других вирусов-шифровальщиков, не пытался охватить какую-то специфическую аудиторию. Глобальное распространение осуществлялось при помощи эксплойта EternalBlue (MS17-010), использующего уязвимость в службе SMB (Server Message Block, протокола сетевого доступа к файловым системам) ОС Windows.
Таким образом, по большей части от вымогателя пострадали пользователи, которые не установили мартовское обновление безопасности Windows, закрывающее данную уязвимость. А также обладатели устаревших операционных систем. Из-за этого Microsoft пришлось экстренно выпускать патчи даже для Windows XP, которая не поддерживается компанией уже около трех лет.
Вирус получил столь широкое распространение и потому, что каждый уязвимый компьютер мог заразиться от другого инфицированного устройства в рамках одной локальной сети без каких бы то ни было действий со стороны пользователей. Активированная программа-вымогатель сканирует локальные сети и подсети, случайным образом выбирая IP-адреса для следующей атаки. Обнаружив уязвимый компьютер, вирус распространяется и на это него.
Несмотря на незащищенность поклонников Windows XP, которые вообще не обладали необходимыми обновлениями безопасности; большая часть атак, которую мы отразили, пришлась на Windows 7 — пользователи которой просто не имели установленным патч, несмотря на его наличие. Мы настоятельно рекомендуем установить обновления безопасности Windows тем, кто этого не сделал.
Удаление вируса WCry — нетрудное дело. Антивирусная программа должна быть способна удалить вымогатель и поместить все вредоносные файлы в карантин. Но это не решает проблему восстановления доступа к данным, так как они остаются зашифрованными.
На данный момент не существует ни одной бесплатной программы по дешифровке файлов от данного вымогателя. Судя по нашему анализу, вирусом используются сильные методы шифрования (AES-128 в комбинации с RSA-2048). Лучшим решением на данный момент будет восстановление файлов из источника резервного копирования (если вы его выполняли). Его необходимо сделать уже после переустановки системы, с обновлением всех патчей и, для максимальной безопасности, с отключенным интернетом для минимизации риска заражения файлов резервного копирования.
Исследователю, известному как MalwareTech, удалось замедлить эпидемию, предотвратив распространение самого популярного варианта вируса WаnnaCry.
При атаке вирус обращался к бессмысленному адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. В коде вымогателя указывалось, что если обращение к этому домену прошло успешно (то есть, если он зарегистрирован), то заражение следует прекратить. Зарегистрировав данный адрес, специалист остановил дальнейшее распространение этого вида вымогателя.
До сих пор неясна мотивация киберпреступников в создании этой лазейки. Хочется верить, что она была оставлена для случая, если создатели вируса захотят остановить атаки.
Стоит отметить, что внутренние компоненты вымогателя, его шифрующая часть, не содержат подобные лазейки и все еще опасны. Поэтому при прямой передаче подобного вируса, к примеру, из зараженного файла с USB-носителя, все еще существует вероятность поражения устройства.
Домен в коде можно сравнить с ручным тормозом автомобиля — вы можете использовать его в экстренных случаях для остановки машины, но вы не можете при этом ее контролировать. Вскоре злоумышленники обошли эту защиту, выпустив множество новых версий шифровальщика, в которой отсутствует код для обращения к этому домену.
С момента обнаружения данной лазейки, скорость распространения WаnnaCry существенно снизилась. Но мы уже обнаружили по меньшей мере 6 других вариантов этого вируса, которые содержат другие подобные «выключатели» (в том числе доменные адреса). Также нами было найдено несколько образцов без каких бы то ни было лазеек, что может привести к неконтролируемому распространению этого вредоносного ПО. Основываясь на схожие черты всех образцов, мы считаем, что поздние версии WanaCrypt0r являются лишь модифицированными версиями первоначального варианта и были созданы другими злоумышленниками.
Различные образцы WаnnaCry требуют выкуп в размере $300 – $600. Требуемая сумма со временем может увеличиваться. Угрозы об удалении файлов по истечении семи дней, заявленные большинством образцов, являются беспочвенными.
Мы проследили за биткоин-кошельками, указанными в сообщениях, и на момент написания статьи зафиксировали более 260 платежей на общую сумму в 41 биткоин. Это примерно $70 000, что вряд ли удовлетворяет злоумышленников, учитывая глобальное распространение WanaCryptor и нанесенный им ущерб.
Однако, пока счетчик вымогателя работает, приближая время оплаты к концу и угрожая удалить файлы (что в большинстве данных случаев является обманом), мы ожидаем увеличение количества платежей в ближайшие два дня. Мы настоятельно рекомендуем не платить вымогателям, потому как это не гарантирует, что ваши файлы будут расшифрованы. Более того, получаемые средства поддерживают их деятельность и побуждают киберпреступников на новые вредоносные кампании.
Как только WanaCrypt0r стал популярным, активизировались остальные злоумышленники, которые почувствовали тренд и начали этим пользоваться. Мы все чаще обнаруживаем различные низкокачественные программы-вымогатели, имитирующих WаnnaCry. Например, на скриншоте ниже.
Источник: Karsten Hahn
В тот пятничный день, я и мои коллеги принимали участие в CARO workshop, великолепной антивирусной конференции, на котором мы обсуждали недавнюю программу-вымогатель Spora, которая также распространяется как компьютерный червь. На протяжении конференции, мы разговаривали с экспертами других компаний об трендах и вирусных вспышках последних лет.
Дискуссии о прошлом быстро закончились с приходом новостей о настоящем. Трудно описать атмосферу, в которой мы находились — мы начали делать все возможное, чтобы справиться с этой атакой. В конце дня уже было понятно, что мы только что с толкнулись с самой крупной киберэпидемией в истории.
Мы будем следить за развитием дальнейших событий. Уже наблюдаются различные спекуляции о корнях этой атаки, а также другие онлайн-угрозы с применением похожих методов заражения.
Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Политика конфиденциальности
