Шифровальщик WannaCryptor: изучаем, защищаемся и делаем выводы


Обновление 17.05.2017: добавлен раздел "Что делать, если заразились WannaCrypt", добавлены ссылки на зпись вебинара и слайды, обновлен раздел Дополнительные ресурсы

В прошлую пятницу 12 мая в сети стали появляться сообщения о массовых заражениях вирусом-вымогателем (ransomwareWannaCrypt, так же известным как WanaCryptor или WannaCry. В первую очередь заражению подверглись учреждения здравоохранения Великобритании и Португалии, а затем и организации в других странах. По данным Лаборатории Касперского на данный момент зафиксировано более 200000 заражений в 74 странах, причем по числу зараженных систем лидирует Россия. Карта заражения вирусом WannaCryptor

Чем опасен WannaCrypt

В данный момент активна уже вторая версия вируса-вымогателя WannaCrypt 2.0.

Шифровальщик WannaCryptor: изучаем, защищаемся и делаем выводы

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue из архива АНБ США, обнародованного хакерской группировкой ShadowBrokers. Он эксплуатирует уязвимость в протоколе SMBv1, которая была закрыта нашим обновлением MS17-010, выпущенным 14 марта.

Вирус зашифровывает все файлы 179 популярных форматов на компьютере жертвы и требует выкуп 300 долларов США в биткоинах. На выплату дается 3 дня, после чего сумма увеличивается вдвое. Через 7 дней восстановления файлов может стать невозможным.

После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет, после чего зашифровывает файлы на этих хостах.

По некоторым данным, минимальное время заражения уязвимой системы после выставления в интернет с открытым 445 портом — 3 минуты.

Несмотря на окончания поддержки Windows XP, Windows 8, and Windows Server 2003 мы выпустили обновления, закрывающее уязвимость MS17-010 на этих системах. Системы с Windows 10 не подверглись атакам.

Как предотвратить заражение

Для поддерживаемых систем загрузите последний накопительный пакет обновлений, который включает обновление MS17-010

Для неподдерживаемых систем, загрузите следующие обновлени (по ссылке доступен выбор обновления для русскоязычных систем):

Windows XP SP3 x86

Windows XP SP2 x64

Windows Server 2003 SP2 x86

Windows Server 2003 SP2 x64

Windows 8 x86

Windows 8 x64

Windows XP Embedded SP3 x86

Если вы не можете установить обновление MS17-010, отключите использование протокола SMBv1 или перейдите на использование SMB Direct.

Обновите антивирус наши продукты Windows Defender и System Center Endpoint Protection определяют вирус как Ransom:Win32/WannaCrypt. Убедитесь, что у вас включены обновления и версия антивирусных баз 1.243.290.0 или более поздняя.

Что делать, если заразились WannaCrypt

Нельзя очистить зараженную систему, установить патч. Установка патча лишь устраняет уязвимость, которая уже была успешно использована для заражения.

Нельзя очистить зараженную систему, удалив бэкдор. После компрометации вы не сможете гарантировать, что этот бэкдор был единственным.

Нельзя очистить зараженную систему, обновив антивирус. После компрометации вы можете более доверять системе, а это необходимо для корректной работы антивируса.

Нельзя очистить зараженную системе, переустановив ОС поверх существующей. После компрометации файлы вредоноса могут размещаться не в системных директориях и не будут затронуты переустановкой.

Единственный способ - это полная переустановка системы после форматирования системных разделов. Еще раз, единственный способ - это полная переустановка системы после форматирования системных разделов.

Если вы уставливаете системы централизованно из подготовленного образа (golden image), убедитесь что установщик обновить систему и базы антивируса (в идеале, до раскатки на рабочие места).

Вебинар с подробностями по WannaCrypt

Хотите узнать подробности о появлении WannaCrypt и способах защиты из уст вендора? Смотрите запись нашего вебинара, собравшего более 7000 пользователей и порядка 500 вопросов, и вы узнаете, что будет, если:

дать дураку экплойт спецслужб

сидеть на пиратской версии ОС 15 летней давности

не патчить системы, невзирая на обнародование критической уязвимости

не делать выводы и не учиться на ошибках

Посмотреть запись вебинара

Загрузить слайды свебинара

 

Поддерживайте ваши ОС и антивирусное ПО в актуальном состоянии, своевременно устанавливайте обновления и переходите на использование современных версий ПО до истечения срока их поддержки.

 

Дополнительные материалы:

Рекомендации по WannaCrypt от Microsoft Security Response Center

Анализ работы WannaCrypt от Microsoft Malware Protection Center

Официальный перевод статьи президента Microsoft Брэда Смита про новый дивный мир после WannaCryptor

Отключение SMBv1 https://aka.ms/disablesmb1   https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

Как бороться с вирусами-вымогателями https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

Что делать, если вас хакнули https://technet.microsoft.com/en-us/library/cc700813.aspx

Анализ работы WannaCrypt от SANS

Анализ работы WannaCrypt от Лаборатории Касперского

Анализ работы WannaCrypt от Сisco

Анализ работы WannaCrypt от Pentestit

 

Артём Синицын

руководитель программы информационной безопасности в Центральной и Восточной Европе

@ArtyomSinitsyn

Comments (0)

Skip to main content