«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
24 мая 2018 2888

Плачь и шифруй. Год с начала эпидемии шифратора WannaCry

В мае все кибербезопасники отмечают годовщину с начала эпидемии шифратора WannaCry. Вспомним бурные события тех дней и расскажем, что изменилось спустя год.

Если бы по киберугрозам снимали фильмы, то эпидемия WannaCry стала отличным сюжетом для шпионского технотриллера.


Секретный ингридиент


В чем секрет успеха этой довольно банальной программы-шифратора? В средстве доставки.

В отличие от большинства вредоносных программ, WannaCry не запускался при клике на вредоносную ссылку на сайте или на зараженный файл в спам-письме.

Своим успехом он обязан эксплойту (программе-взломщику) EternalBlue, которая использовала одну из уязвимостей Windows.

Предположительно, эта программа создавалась под крышей Агентства национальной безопасности США для точечного взлома. Однако что-то пошло не так, и в середине апреля 2017 года исходники EternalBlue появились в открытом доступе на хакерских форумах.

Примечательно, что Microsoft выпустила патч, который закрыл эту уязвимость за два месяца до начала эпидемии — но большинство пользователей проигнорировали это обновление, как и многие другие.


Оплата счетов


Отдельно стоит остановиться на теме выкупа — WannaCry требовал около $300 в биткоинах, обещая после получения средств разблокировать файлы. По факту же у киберпреступников не было возможности идентифицировать отправителя средств и разблокировать его файлы, т.к. все биткоин-транзакции, очевидно, были анонимны.

За весь срок эпидемии на кошельки хакеров было отправлено около $140 000, что можно назвать очень скромным уловом. Заражению подверглись около 300 000 компьютеров в 150 странах; причиненный компаниям ущерб оценивается в сотни миллионов долларов.

Ряд экспертов по кибербезопасности предположили, что WannaCry изначально не предназначался для получения денег (300 тысяч зараженных ПК умножить на выкуп в $300 = $90 млн возможной прибыли вместо реальных $140 тысяч), и что вся эпидемия — операция, которая вышла из-под контроля.


Сказка с концом


Знаете, сколько стоило остановить эпидемию? Ответ: $9,99 (девять долларов и девяносто девять центов).

Британский аналитик, 22-летний Маркус Хатчинс изучил вредоносный код WannaCry и обнаружил, что в процессе заражения шикратор пытается подключиться к домену с мусорным названием iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Хатчинс ради любопытства заплатил за регистрацию этого домена, что остановило работу шифратора, который для успешной работы должен был получать уведомление об отсутствии домена с таким названием. Как только домен появился, механизм шифрования оказался заблокирован.

Казалось бы, хэппи энд — добро торжествует, зло повержено юным и отважным героем.

Но нет, сюжет делает новый виток — спустя три месяца Хатчинс был задержан в аэропорту Лас-Вегаса по обвинению в разработке и распространении банковского трояна Kronos, который атаковал пользователей в 2014-15 годах. Сейчас спасителю интернета от WannaCry грозит до 40 лет тюрьмы.


Послесловие


WannaCry больше не угрожает миру. Чего не скажешь о пресловутом эксплойте EternalBlue, который по-прежнему нацелен на незакрытые уязвимости. Как показывают данные телеметрии ESET, последнее время его активность достигает пиковых значений — даже выше, чем при эпидемии годовой давности.



EternalBlue по сей день успешно использует уязвимость MS17-010, устаревшую версию Microsoft Server Message Block (SMB). Уязвимость, патч для которой был выпущен четырнадцать месяцев назад.

Для атаки киберпреступники сканируют сеть на предмет открытых портов SMB и, в случае успеха, запускают код эксплойта.

Если система уязвима, злоумышленник затем запускает собственно вредоносный код — по этой схеме распространялись WannaCry, а также Petya.C и BadRabbit.

Такой метод не работает на устройствах, защищенных ESET NOD32. Наш модуль защиты от сетевых атак блокирует эту угрозу “на лету”, еще до запуска вредоносного кода в системе.

По той же причине ни один клиент ESET не был заражен в ходе эпидемии WannaCry. Пожалуй, такой итог можно считать счастливым концом этого сюжета.

Берегите себя и свои данные, не забывайте устанавливать системные апдейты и пользоваться надежным антивирусным решением.

Комментарии

2
Оставьте комментарий!
Вадим Логвинюк 28 мая 2018 в 18:50 #
Должен не согласится с тезой в статье "По той же причине ни один клиент ESET не был заражен в ходе эпидемии WannaCry. Пожалуй, такой итог можно считать счастливым концом этого сюжета." . На момент активности вируса Petya 27.06.2017 использовал корпоративное решение для 30 компьютеров "ESET NOD32 Antivirus Business Edition" - обновления базы были последних версий, но в в той момент антивирус не справился из проблемой, пострадали все компьютеры
Валерия Ларионова 28 мая 2018 в 20:33 #
Вадим, спасибо за комментарий. Важно понять, как это произошло: какое поколение продуктов ESET установлено у Вас на рабочих станциях? Также крайне важно, чтобы на всех компьютерах были установлены все доступные обновления операционной системы. И уточните, пожалуйста, обращались ли Вы по данному вопросу в техподдержку ESET.

При правильной настройке комплексной зашиты, уровень заражения шифратором стремиться к нулю. Наши рекомендации по обеспечению безопасности мы разместили по адресу:
https://www.esetnod32.ru/landing/noransom/