Вирус-шифровальщик. Wanna Cryptor: что это было?

16 Мая 2017
Всего за сутки вирус-шифровальщик Wanna Cryptor атаковал 200 000 компьютеров в 150 странах мира. Вирус прошелся по сетям университетов и школ в Китае, заводов Renault во Франции, телекоммуникационной компания Telefonica в Испании и железнодорожного оператора Deutsche Bahn в Германии. Из-за заблокированных компьютеров в клиниках Великобритании пришлось отложить операции, а региональные подразделения МВД РФ — не смогли выдавать водительские права.

За разблокировку компьютеров преступники требовали сравнительно небольшой выкуп - от 300 до 600$, и за день заработали всего $42 000. Мы знаем об этом доподлинно, ведь биткоин-кошельки устроены таким образом, что их содержимое (но не принадлежность) видно любому. Сумма для киберпреступного мира смехотворная, и она указывает на перелом в человеческом восприятии шифровальщиков как явления: люди больше не готовы платить за расшифровку, при 200 000 заражений деньги заплатило всего 100-150 человек. Возможно, данная атака, с учетом ее показательности, станет одновременнопиком и концом эпохи шифровальщиков.

Однако в целом история Wanna Cryptor наглядно показала, насколько уязвим современный цифровой мир.

Wanna Cryptor – целевая атака (APT)?

Нет, хотя APT-инструменты явно были задействованы.
С чисто технической точки зрения, Wanna Cryptor — достаточно простое вредоносное ПО. Оно атакует все хосты, доступные в локальной сети, и сканирует интернет, чтобы обнаружить уязвимые хосты и там.

Успешное распространение этой вредоносной программы в глобальном масштабе – следствие появления в открытом доступе кибероружия и его использования преступными группировками: Wanna Cryptor использует EternalBlue, предположительно, эксплойт АНБ США, выложенный в утечке ShadowBrokers 14 апреля.

Хотя с тактической точки зрения эта атака достаточно продвинутая, в целом в ней нет ничего нового. Mirai, ботнет IoT, стоящий за исторически значимой DDoS-атакой на блог KrebsOnSecurity в сентябре 2016 года, был создан с использованием схожих подходов к распространению и сокрытию вируса.

Несколько других особенностей Wanna Cryptor:

  • Саморепликация: вирус распространяется на другие компьютеры как компьютерный червь. Он запускает 2 потока: первый сканирует LAN на порте 445 и ищет уязвимые хосты, второй пытается использовать уязвимость на случайных IP-адресах со скоростью 1000 IP-адресов в минуту.
  • Целевое шифрование: вредоносное ПО выбирает для шифрования наиболее чувствительные документы — электронную почту, ключи шифрования и сертификаты, файлы исходных кодов, архивы, файлы MS Office, виртуальные машины, базы данных. 
  • Защита от исследования: он устанавливает TOR для связи с сервером командными серверами (C&C).

Кто в первую очередь под угрозой?

  1. Все компании, на компьютерах которых не установлен патч безопасности MS17-010.
  2. Крупные компании - чем больше компьютеров в локальной сети, тем больше хостов может быть подвержено заражению.
  3. Пользователи пиратского ПО, не поддерживаемого Microsoft.

Под угрозой ли домашние пользователи?

Только если они запустят вирус вручную или имеют доступ к Интернету через локальную сеть провайдера. Настроенные по умолчанию домашние маршрутизаторы, не позволяют 445-порту, который вредоносные программы используют для самораспространения, быть доступным «снаружи».

Я установил патч MS17-010, теперь я в безопасности?

Да, только если не станете запускать вредоносный файл вручную. В этом случае файлы на компьютере будут зашифрованы, даже если патч уже установлен.

Что если я использую версию Windows, не поддерживаемую обновлениям безопасности Microsoft?

Microsoft выпустила специальную серию обновлений безопасности для Win Server 2003 и Win XP. Установите их как можно скорее, иначе у вас могут возникнуть неприятности.

Кто стоит за этой атакой?

Пока точной информации нет. Но мы расследуем это.

Это русские хакеры?

Ни Group-IB, ни кто-либо другой не может подтвердить или опровергнуть российское происхождение нападавших без тщательного расследования. Мы не нашли среди целевых файлов расширений файлов «1С», на которые обычно нацелены шифровальщики, созданные в России. Но без дальнейшего исследования однозначный вывод сделать невозможно.

Почему в первую очередь были затронуты госорганы (правоохранительные органы, здравоохранение и т.д.)?

У нас нет информации, которая указывала бы на то, что именно правительственные органы были целью злоумышленников. Вредоносная программа сканирует и может заразить ЛЮБЫЕ хосты, вне зависимости от их принадлежности.

Остановилась ли эпидемия?

Массовая атака была остановлена, когда исследователь из Великобритании зарегистрировал домен, к которому вредоносная программа обращалась, начиная свою деятельность. Вредоносная программа запускалась при условии, что домен не зарегистрирован. Сейчас, когда домен зарегистрирован, установленная вредоносная программа обращается к нему и, получив ответ, прекращает любую деятельность. Однако организациям, использующим прокси-серверы, этот «kill switch» не поможет, так
как Wanna Cryptor не сможет достичь домена.

Единственный надёжный способ защититься – установить обновления безопасности и не запускать вредоносного ПО вручную.

Зачем вредоносному ПО была нужна такая функция «kill switch»?

Можем только догадываться. Наше мнение - это «выключатель» для авторов программы на случай, если ситуация выйдет из-под контроля.

Можно ли изменить вредоносное ПО, чтобы снова запустить его?

Киберпреступникам потребуется совсем немного времени, чтобы модифицировать Wanna Cryptor и снова запустить атаку. Таким образом, сейчас - лишь временная передышка. Кто-то (предположительно не разработчик оригинальной Wanna Cryptor) уже загрузил в VirusTotal новую версию вируса без функции kill-switch.
Единственный надежный способ защититься – установить обновления безопасности и не запускать вредоносного ПО вручную.

Что надо сделать, чтобы защититься от подобных атак?

  1. Устанавливайте обновления системы и патчи систем безопасности ВОВРЕМЯ.
  2. Если в корпоративной сети остались непропатченные ПК, не позволяйте сотрудникам подключать к сети ноутбуки, принесенные из дома.
  3. Регулярно создавайте резервные копии своих систем.
  4. Внедрите политику «нулевого доверия» и организуйте тренинг по информационной безопасности для ваших сотрудников
  5. Рассмотрите возможность отключения SMB в качестве временной меры
  6. Подпишитесь на уведомления технической безопасности Microsoft
  7. Создание мьютексов MsWinZonesCacheCounterMutexA и Global\MsWinZonesCacheCounterMutexA0 предотвратит запуск вируса. 


В данном конкретном случае решения по сетевой безопасности, запускающие подозрительные файлы в «песочнице», типа Group-IB TDS, доказали свою эффективность. Система киберразведки Group-IB заранее информировала клиентов компании об уязвимости, используемой Wanna Cryptor.

Мы не рекомендуем платить выкуп, так как:

  • таким образом вы помогаете преступникам
  • у нас нет доказательств, что данные тех, кто заплатил, были восстановлены.

Проинструктируйте своих сотрудников

Если вы заметили, что ваш компьютер значительно замедляет работу и начинают появляться файлы со странными расширениями, немедленно выключите его. Таким образом вы предотвратите дальнейшее шифрование файлов. 

Источник: компания Group-IB

Комментарии (0)

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.