Информационная безопасность

Последние новости WannaCry: крупнейшая киберэпидемия в истории

Jakub Křoustek, 17 мая 2017

Последние новости от Avast: кто больше всего пострадал, кто был мишенью, как удалить WannaCry, нужно ли платить вымогателям и многое другое о вирусе WanaCrypt0r

В минувшую пятницу на календарях было вовсе не 13ое число, хотя многим показалось именно так. Сотни тысяч компьютеров по всему миру, в том числе и в органах государственной власти, были поражены программой-вымогателем WannaCry (WanaCrypt0r, WCry). На данный момент нами зафискировано более 250 000 случаев атак в 116 странах.

По нашим данным около 15% от 400 млн наших клиентов не установило обновления безопасности Windows, закрывающие уязвимость MS17-010. Если на нем не установлен антивирус Avast, который защищает от подобного типа угроз, это может поставить под угрозу данные на устройстве.

СКАЧАТЬ БЕСПЛАТНЫЙ АНТИВИРУС

Уже к утру пятницы мы зафиксировали более 57 000 случаев атак шифровальщика WCry на наших пользователей. После полуночи, это число увеличилось до 100 000. Более чем сто тысяч человек столкнулись с атакой этого вируса-вымогателя в первые сутки, но антивирус Avast заблокировал угрозу и предотвратил заражение компьютера. По мере развития ситуации все стали понимать, что мы стали свидетелями крупнейшей на данный момент киберэпидемии в истории.

Где был обнаружен WannaCry

Ниже представлена динамика обнаружения WanaCryptor.

Динамика распространения WannaCry

Мы защищаем от всех разновидностей этого вируса. Некоторые исследователи утверждают, что пик заражений вымогателем пройден, но это относится лишь к одной из разновидностей шифровальщика, который как компьютерный червь распространился многие устройства

После основной вспышки мы фиксировали около 10 000 случаев атак в час, что все равно является очень высоким показателем лишь для одного образца вируса-вымогателя. Позже один из исследователей нашел способ деактивации вируса, «выключатель», о котором мы поговорим позднее. И количество атак к вечеру пятницы значительно снизилось: до 2 000 случаев в час. С этого момента это число понемногу снижается, и мы надеемся, что этот тренд сохранится.

Мы определили 10 стран, которые по нашим данным более всего пострадали от данного вируса:

  1. Россия
  2. Украина
  3. Тайвань
  4. Индия
  5. Бразилия
  6. Таиланд
  7. Румыния
  8. Филиппины
  9. Армения
  10. Пакистан

Более половины зафиксированных нами попыток атак пришлись на российских пользователей.

Кто больше всего пострадал от WannaCry

На кого был нацелен WannaCry

WanaCrypt0r, как и большинство других вирусов-шифровальщиков, не пытался охватить какую-то специфическую аудиторию. Глобальное распространение осуществлялось при помощи эксплойта EternalBlue (MS17-010), использующего уязвимость в службе SMB (Server Message Block, протокола сетевого доступа к файловым системам) ОС Windows.

Таким образом, по большей части от вымогателя пострадали пользователи, которые не установили мартовское обновление безопасности Windows, закрывающее данную уязвимость. А также обладатели устаревших операционных систем. Из-за этого Microsoft пришлось экстренно выпускать патчи даже для Windows XP, которая не поддерживается компанией уже около трех лет.

Вирус получил столь широкое распространение и потому, что каждый уязвимый компьютер мог заразиться от другого инфицированного устройства в рамках одной локальной сети без каких бы то ни было действий со стороны пользователей. Активированная программа-вымогатель сканирует локальные сети и подсети, случайным образом выбирая IP-адреса для следующей атаки. Обнаружив уязвимый компьютер, вирус распространяется и на это него.

Несмотря на незащищенность поклонников Windows XP, которые вообще не обладали необходимыми обновлениями безопасности; большая часть атак, которую мы отразили, пришлась на Windows 7 — пользователи которой просто не имели установленным патч, несмотря на его наличие. Мы настоятельно рекомендуем установить обновления безопасности Windows тем, кто этого не сделал.

Как удалить WannaCry

Удаление вируса WCry — нетрудное дело. Антивирусная программа должна быть способна удалить вымогатель и поместить все вредоносные файлы в карантин. Но это не решает проблему восстановления доступа к данным, так как они остаются зашифрованными.

На данный момент не существует ни одной бесплатной программы по дешифровке файлов от данного вымогателя. Судя по нашему анализу, вирусом используются сильные методы шифрования (AES-128 в комбинации с RSA-2048). Лучшим решением на данный момент будет восстановление файлов из источника резервного копирования (если вы его выполняли). Его необходимо сделать уже после переустановки системы, с обновлением всех патчей и, для максимальной безопасности, с отключенным интернетом для минимизации риска заражения файлов резервного копирования.

«Выключатель»

Исследователю, известному как MalwareTech, удалось замедлить эпидемию, предотвратив распространение самого популярного варианта вируса WаnnaCry.

При атаке вирус обращался к бессмысленному адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. В коде вымогателя указывалось, что если обращение к этому домену прошло успешно (то есть, если он зарегистрирован), то заражение следует прекратить. Зарегистрировав данный адрес, специалист остановил дальнейшее распространение этого вида вымогателя.

До сих пор неясна мотивация киберпреступников в создании этой лазейки. Хочется верить, что она была оставлена для случая, если создатели вируса захотят остановить атаки.

Стоит отметить, что внутренние компоненты вымогателя, его шифрующая часть, не содержат подобные лазейки и все еще опасны. Поэтому при прямой передаче подобного вируса, к примеру, из зараженного файла с USB-носителя, все еще существует вероятность поражения устройства.

Код WannaCry

Домен в коде можно сравнить с ручным тормозом автомобиля — вы можете использовать его в экстренных случаях для остановки машины, но вы не можете при этом ее контролировать. Вскоре злоумышленники обошли эту защиту, выпустив множество новых версий шифровальщика, в которой отсутствует код для обращения к этому домену.

С момента обнаружения данной лазейки, скорость распространения WаnnaCry существенно снизилась. Но мы уже обнаружили по меньшей мере 6 других вариантов этого вируса, которые содержат другие подобные «выключатели» (в том числе доменные адреса). Также нами было найдено несколько образцов без каких бы то ни было лазеек, что может привести к неконтролируемому распространению этого вредоносного ПО. Основываясь на схожие черты всех образцов, мы считаем, что поздние версии WanaCrypt0r являются лишь модифицированными версиями первоначального варианта и были созданы другими злоумышленниками.

Сколько заработали киберпреступники

Различные образцы WаnnaCry требуют выкуп в размере $300 – $600. Требуемая сумма со временем может увеличиваться. Угрозы об удалении файлов по истечении семи дней, заявленные большинством образцов, являются беспочвенными.

Мы проследили за биткоин-кошельками, указанными в сообщениях, и на момент написания статьи зафиксировали более 260 платежей на общую сумму в 41 биткоин. Это примерно $70 000, что вряд ли удовлетворяет злоумышленников, учитывая глобальное распространение WanaCryptor и нанесенный им ущерб.

Однако, пока счетчик вымогателя работает, приближая время оплаты к концу и угрожая удалить файлы (что в большинстве данных случаев является обманом), мы ожидаем увеличение количества платежей в ближайшие два дня. Мы настоятельно рекомендуем не платить вымогателям, потому как это не гарантирует, что ваши файлы будут расшифрованы. Более того, получаемые средства поддерживают их деятельность и побуждают киберпреступников на новые вредоносные кампании.

Это выглядит как WannaCry, но не является им

Как только WanaCrypt0r стал популярным, активизировались остальные злоумышленники, которые почувствовали тренд и начали этим пользоваться. Мы все чаще обнаруживаем различные низкокачественные программы-вымогатели, имитирующих WаnnaCry. Например, на скриншоте ниже.

Клоны WannaCry

Источник: Karsten Hahn

Эпилог

В тот пятничный день, я и мои коллеги принимали участие в CARO workshop, великолепной антивирусной конференции, на котором мы обсуждали недавнюю программу-вымогатель Spora, которая также распространяется как компьютерный червь. На протяжении конференции, мы разговаривали с экспертами других компаний об трендах и вирусных вспышках последних лет.

Дискуссии о прошлом быстро закончились с приходом новостей о настоящем. Трудно описать атмосферу, в которой мы находились — мы начали делать все возможное, чтобы справиться с этой атакой. В конце дня уже было понятно, что мы только что с толкнулись с самой крупной киберэпидемией в истории.

Мы будем следить за развитием дальнейших событий. Уже наблюдаются различные спекуляции о корнях этой атаки, а также другие онлайн-угрозы с применением похожих методов заражения.

Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter.