Вірус wannacrypt

Друга декада травня 2017 ознаменувалася глобальним подією в області IT - сотні тисяч комп`ютерів були заражені новим вірусом, що має назву WannaCrypt.

хроніка подій

WannaCrypt почав своє поширення з Іспанії і Великобританії (за різною інформацією) 12 травня і швидко розійшовся по комп`ютерам усього світу. Атаки зазнали тільки системи під управлінням Windows, переважно старих її версій: Windows XP - 8. Жертвами зараження стали організації, в тому числі державні структури різного рівня, і рядові користувачі. У першу добу постраждало близько 45 тисяч машин в 74 країнах континенту, за наступні дні число країн, котрі підтвердили факт атаки WannaCrypt, зросла до 150, а кількість атакованих ПК перевищила 200 тисяч.

• хроніка подій
• Технічна складова
• Тимчасове рішення проблеми
• Щоб уникнути зараження
• Чи не вдалося запобігти проникненню WannaCrypt

У Британії постраждали медичні установи, зникли результати робіт кількох останніх днів, в Німеччині - сервери великого ж / д оператора, кілька автомобільних брендів призупинило роботу заводів для перевірки комп`ютерів. У США почалися перебої в роботі служби доставки, в Іспанії було завдано збитків енергетичним, комунікаційним, консалтинговим компаніям і банку, а Росія відзначила зараження комп`ютерів Мегафона, деякими порушеннями в роботі ж / д транспорту і ГИБДД. Навіть представники слідчого комітету і МВС заявили, що небезпека локалізована. Масштаб, дійсно, немаленький. Україна подія, що дивно, фактично обійшло стороною, незважаючи на що завершилися свята і велика кількість неліцензійного ПЗ на комп`ютерах користувачів, бізнесу і навіть держструктур.

Більше за всіх постраждали Тайвань, Росія і Індія, а Захід почав шукати слід російських хакерів в цій історії. Експерт в безпеки Е. Сноуден прокоментував подію, як копітку роботу АНБ, на що вказують непрямі докази. Хтось шукає риси діяльності міжнародних хакерських організацій, але винуватець навряд чи буде знайдений і покараний.

Поширюється шкідлива програма, за великим рахунком, через електронну пошту у вигляді виконуваного додатка, скрипта - мініатюрної програми з розширенням .js або .vbs, або ж посилання на зовнішній ресурс. Що цікаво, виконаний модуль у вигляді хробака, здатного заражати інші комп`ютери мережі, в якій знаходиться машина, вже постраждала від його діяльності.

Технічна складова

У Windows для файлового обміну по мережі використовується протокол SMB, створений IBM ще в 1983 році і давно застарілий, так як призначений для вирішення широкого кола завдань. Навіть після кількох оновлень, істотно модернізувати технологію, хтось відшукав діру в найпершій версії SMB з відкритим портом TCP 445 і скористався нею для запуску WannaCrypt. Працює вірус за наступною схемою.

1. Проникнувши на ПК, запускає процес розпакування власного інсталятора.
2. Після установки вірус завантажує анонімний браузер TOR в тлі.
3. За допомогою оглядача встановлює з`єднання з власними серверами.
4. Виконує скрипт, який надає привілеї для шифрування файлів на зараженому ПК.
5. Завершує системні процеси, які не позначаться на працездатності ОС і шифрує всі доступні бази даних.
6. Приступає до кодування інформації.

Шифруванню піддаються файли більше 160 поширених форматів, в число яких не входять файли 1C.

До заблокованого об`єкту додається розширення wncry, а в кожен порушене їм каталог копіюється текстовік з інструкцією з дешифрування і дешифровщик - @ WanaDecryptor @ .exe.

7. Черговим етапом роботи WannaCrypt є безповоротне стирання копій заблокованих об`єктів (як він надходить в разі, коли для зберігання зашифрованих дублікатів на диску недостатньо місця, поки не повідомляється), щоб позбавити користувача можливості відновити їх безкоштовно.

Тут потрібні розширені привілеї з боку ОС, якщо служба UAC активована. У разі відмови вірусу у виконанні дії копії документів залишаться, зробивши можливим повернення зашифрованої інформації абсолютно безкоштовно.

8. Далі відобразиться вікно «WannaCrypt0r 2.0» з попередженням про те, що ваші файли піддалися шифрування за складним алгоритмом, і подальша робота при таких умовах неможлива.

Щоб її продовжити, необхідно перевести суму в біткоіни, еквівалентну $ 300 або $ 600, на вказаний рахунок. Якщо після закінчення трьох діб ключ для дешифрування викуплений ні, сума подвоюється, а через тиждень після інфікування, інформація буде безповоротно видалена. Повідомлення переведено на 3 десятка мов, які вибираються в випадаючому меню. Спочатку послання відображається на використовуваному в системі за замовчуванням мовою.

Офіційно вірус називається Ransom: Win32.WannaCrypt, юзерам відомий він під назвами: WCry, WannaCrypt, Wanna Cry. Це вірус-шифрувальник, експлойт - використовує недоліки і уразливості в ПЗ додаток для атаки і зараження комп`ютерів, і ransomware - шкідливий софт, створений для вимагання грошей.

винні

Цікаво, що Microsoft випустили патч для виправлення уразливості MS17-010 за 2 місяці до атак - 14.03.2017 року, і всі користувачі, які активно оновлюються або залишають функцію автоматичного завантаження та інсталяції апдейтів включеної, не постраждали. У лютому 2017 з`явилися перші, не настільки вдалі, версії WannaCry, вони і змусили Майкрософт до рішучих дій.

Також софтверна корпорація випустила оновлення для XP, кою перестали підтримувати ще в 2014 році, для Server 2003 - 2016, Vista, 7, і «вісімки». Ці заплатки можна і настійно рекомендується завантажити з офіційного сайту Майкрософт. По крайней мере, на якийсь час проблема буде вирішена.

Факт, що постраждали користувачі, які не користуються автоматичним оновленням системи всупереч рекомендаціям софт-гіганта, поряд з появою патча, наявність кого не дозволяє WannaCrypt діяти, за 2 місяці до масових заражень, наводить на певні думки. Мовляв, «не хочете оновлюватися добровільно, ми змусимо робити це примусово». На користь висновку говорить і усунення вразливості в Windows 10, відомої своїм призначеним для користувача угодою і обмеженням свободи дій користувача.

Експлоїт EternalBlue раніше використовувався АНБ, що підтвердили представники міжнародної хакерської групи публікацією інструментів агентства нацбезпеки США, зробивши і себе підозрюваними в здійсненні злочину.

Тимчасове рішення проблеми

Спеціаліст в області безпеки відомим тільки йому способом, зміг виявити, що вірус звертається по неіснуючому і на перший погляд безглуздого доменному імені iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Після його створення, шкідлива програма тимчасово припинила подорож по мережі через вдале переходу з вищезазначеного URL. Незабаром процес запустився знову, після незначної модифікації тіла програми з огляду на зміни домену, якому ПО відправляє запит.

Щоб уникнути зараження

Користувачам Windows 10 нинішня модифікація шкідливої ​​програми не страшна. У ній закрита використовувана для запуску скриптів вразливість. Всім іншим рекомендується дотримуватися наведених нижче рекомендацій.

1. Інсталювати на комп`ютер антивірусну програму Avast і оновити її. Антивірус знаходить і блокує всі версії WannaCrypt.
2. Закрити порт 445, якщо він відкритий.

Перевіряємо, чи відкритий даний порт: йдемо на сайт https://canyouseeme.org/, вводимо номер порту в полі введення тексту натискаємо «Check port». Перевіряємо статус: якщо над формою з`явився напис «Error» з рядком «Connection timed out», все нормально, загроза не страшна навіть при попаданні вірусу на ПК.

Якщо порт відкритий і не використовується, виконуємо інструкцію.

1. Викликаємо пункт панелі управління «Програми та засоби».

2. Кількома за посиланням «Вкл. / Викл. компонентів Windows ».

3. Прибираємо прапорець, який стоїть біля пункту «SMB1.0 / CIFS ...».
4. Кількома «ОК» і перезапускати.

5. Microsoft же пропонує перейти по посиланню https://technet.microsoft.com/en-us/library/security/ms17-010.aspx для своєї версії Windows.
6. Увімкнення модуля «Моніторинг системи» в продуктах від Касперського.
7. Проскануйте ПК на наявність загроз.

Переходьте на невідомі ресурси тільки з повною впевненістю в їх безпеки і надійності, будьте уважні при завантаженні додатків.

8. Запустіть оснащення «Служби».
9. Тиснемо Win + R.
10. Виконуємо «services.msc».

11. Викликаємо «Властивості» служби «Сервер» або «Server».

12. Відключаємо її автоматичний старт і зупиняємо.

І навіть після всіх цих заходів можна очікувати свіжої модифікації WannaCrypt.

Чи не вдалося запобігти проникненню WannaCrypt

Все-таки стали жертвою шахраїв або роботи спецслужб, але у вікні UAC відмовили в наданні виконуваного файлу вірусу розширених привілеїв? Тоді врятувати дані можна.

1. Перезавантажуємося і запускаємо ПК в безпечному режимі з підтримкою мережі.
2. Викачуємо додаток для видалення вірусів, начебто Anti-malware, AVZ.
3. Скануємо ПК і видаляємо всі шкідливі файли.
4. Після знищення всіх слідів вірусу, завантажуємо утиліту-дешифровщик і додаток для роботи з тіньовими копіями (Shadow Explorer).

Якщо вже підтвердили видалення тіньових копій, отримати назад особисті дані буде дуже непросто.

Як бачимо, убезпечити себе від такої страшної загрози нескладно, і набагато простіше, ніж усувати наслідки її функціонування. А цими простими правилами та інструкціями нехтують навіть в установах державного рівня, за що платять цінною інформацією.

Буду вдячний, якщо скористаєтеся кнопочками: