курс цб на 18.10:
57.3392
67.4596

Вирус WannaCry: главное

16 мая 2017 16:00 Количество просмотров1026 просмотров

В пятницу, 12 мая, организации по всему миру пострадали от масштабной атаки программы-вымогателя WannaCry. Теперь вы можете отследить ключевые события кибератаки на временной шкале PLUSworld.ru.

Как вирус вымогает деньги?

Вирус активируется на компьютерах под управлением ОС Microsoft Windows, шифрует файлы пользователя, после чего выводит сообщение о преобразовании файлов с предложением в ограниченный срок осуществить оплату ключа дешифрования биткоинами в эквиваленте суммы 300 долларов для разблокировки данных в течение 3 дней. Если нужная сумма не поступит, то сумма автоматически будет увеличена вдвое. На 7 день вирус уничтожит данные.

Вирус WannaCry — что происходит? Мнения специалистов

kasperЛаборатория Касперского:  Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows – о ней стало известно еще 14 апреля из документов, опубликованных группировкой Shadowbrokers.

Общее число вариаций зловреда, циркулирующих в Сети в понедельник 15 мая, до сих пор неизвестно. Однако за выходные дни (13-14 мая) появилось две заметных модификации. «Лаборатория Касперского» полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя – скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.

Анализ сетевых журналов дает основания предполагать, что вымогатель WannaCry начал распространяться в четверг 11 мая. Количество попыток атак WannaCry, задетектированных «Лабораторией Касперского» в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.

esetВиталий Земских, руководитель поддержки продаж ESET Russia: В атаке используется сетевая уязвимость в Microsoft Windows MS17-010, закрытая производителем в марте 2017 года. Что может означать успешная эксплуатация уязвимости, пропатченной два месяца назад? Очевидно, информационной безопасности в мире уделяют недостаточно внимания, а осведомленность некоторых ИТ и ИБ специалистов оставляет желать лучшего.

Более того, даже если бы злоумышленники использовали уязвимость нулевого дня, для которой еще не выпущены обновления безопасности, правильный подход и набор средств ИБ мог бы отбить атаку. Простой пример – облачная система ESET LiveGrid детектировала WannaCryptor в первый день эпидемии еще до обновления вирусных баз. Эвристика и технологии на ее основе позволяют предотвратить заражение даже на необновленных Windows.

В данный момент мы не можем представить исчерпывающие доказательства начального вектора атаки, который используют операторами WannaCryptor. Пока в центре внимания два возможных сценария, которые могли бы прояснить ситуацию: «классический» фишинг и инфицирование через SMB-уязвимость. Худший вариант сложнее стандартных схем и затрагивает безопасность крупнейших интернет-компаний. В любом случае, все встанет на свои места после завершения детальных исследований, которые ведут вирусные лаборатории мира.

Кибератаки различной мощности будут производиться до тех пор, финансовая выгода злоумышленников превышает затраты на реализацию. Либо, пока нет возможности установить исполнителей со стопроцентной точностью. Усложнить задачу атакующих позволит комплексный подход к ИБ: программные и аппаратные средства защиты всех узлов сети, доступ ИТ и ИБ-специалистов к актуальной информации об угрозах, обучение персонала.

dsАлексей Тюрин, директор департамента аудита защищенности Digital Security: 

Вообще, такие вирусные эпидемии уже происходили, так что это не что-то особенно новое. Вирусы-шифровальщики — это в целом актуальная проблема.
Основой вируса является эксплойт, созданный ЦРУ, и который недавно был выложен на WikiLeaks. Так что можно винить ЦРУ, что они не озаботились в полной мере безопасностью своего «кибероружия».

Вирус распространяется по сети, при этом от пользователя не требуется посещать ссылки, скачивать или запускать файлы — достаточно подключения к сети и использовать уязвимую версию ОС. При этом патч под актуальные версии Windows существовал еще до начала вспышки эпидемии. Т.е. оперативная установка обновлений ОС спасла бы.

Отдельной проблемой является то, что уязвимость так же присутствует в Windows XP и 2003, но официальная поддержка которых уже не осуществляется (хотя патч для них тоже есть). Т.е. по большей части заразились те организации, которое либо используют устаревшие версии ОС, либо не оперативно обновляют ОС.

 

cpВасилий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ:

Виновником атак, которые начались в конце прошлой недели по всему миру,  является версия 2.0 WCry ransomware, также известная как WannaCry или WanaCrypt0r ransomware. Версия 1.0 была обнаружена 10 февраля 2017 года и в ограниченных масштабах использовалась в марте.

Версия 2.0 была впервые обнаружена 11 мая, атака возникла внезапно и быстро распространилась в Великобритании, Испании, Германии, Турции, России, Индонезии, Вьетнаме, Японии.

Масштаб атаки подтверждает, насколько опасным может быть вымогательское ПО. Организации должны быть готовы к отражению атаки, иметь возможность сканировать, блокировать и отсеивать подозрительные файлы и контент до того, как он попадет в их сеть. Также очень важно проинструктировать персонал о возможной опасности писем от неизвестных источников».

Команда Check Point начала фиксировать масштабное распространение вируса WannaCryptor 12 мая. Для ее распространения использовались различные векторы атак, в том числе через сетевой протокол прикладного уровня (SMB), brute force атаки на RDP-серверы, вредоносные ссылки в письмах, а также письма со вложениями, содержащими вредоносный контент в файлах PDF или ZIP.

Несмотря на то, что многие пользователи заплатили выкуп, не было ни одного сообщения о том, что их файлы были разблокированы. Исследователи обнаружили, что поступление денег на счет вымогателей позволяет отслеживать, какая именно жертва их перевела. У многих вымогателей есть «служба поддержки», которая быстро отвечает жертвам в случае проблем с оплатой. Но не в случае с WannaCry.  Более того, эксперты сомневаются, что зашифрованные файлы вообще поддаются дешифровке со стороны вымогателей.

Как обезопасить свой компьютер от заражения?

Для предотвращения заражения ESET рекомендуеn принять следующие меры:

  1. Установите все обновления Microsoft Windows.
  2. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО. Рекомендуем технологии на базе эвристики, которые позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа.
  3. Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
  4. Используйте сервисы для доступа к информации о новейших угрозах.
  5. При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.

По материалам PLUSworld.ru

Эта и другие темы будут обсуждаться на нашем Форуме «Дистанционные сервисы, мобильные решения, карты и платежи», который пройдёт в Москве 7-8 июня 2017 года.
Подробная информация и регистрация доступны на нашем официальном сайте.
Будем рады встрече с Вами на Форуме!

 

 




В рубриках:
Безопасность
Форум экспертов
Блокчейн – реальность или утопия? Мнение профессионалов
На международном форуме Sibos 2017, проходящем 16-19 октября в канадском Торонто, радужный оптимизм одних участников мероприятия – сторонников блокчейна, столкнулся с расчетливым прагматизмом других в ходе сессии, посвященной использованию блокчейна в сфере наличных платежей и расчетов по операциям с ценными бумагами.
18 октября 2017 15:00
Платежи в системе Swift: станет ли PCI DSS руководством по их защите? 
Заместитель руководителя глобальных транзакционных и платежных услуг Филипп Лепутр и директор по информационной безопасности Тьерри Оливье, фирма SocGen, дали оценку программы безопасности клиентов Swift (Customer Security Programme, CSP) и проанализировали возможные сценарии ее дальнейшего развития  с целью повышения сетевой безопасности потоков межбанковских платежей.
13 октября 2017 13:28
Виктор Достов об «антикарточной» директиве, удаленной идентификации и технологии блокчейн
Председатель Совета Ассоциации участников рынка электронных денег и денежных переводов Виктор Достов делится мнением о том, куда движется рынок розничных финансовых услуг, и каковы новейшие тенденции регулирования в этой сфере, как развиваются институты удаленной идентификации клиентов и какое место занимают во всех этих трансформациях блокчейн и криптовалюты.
10 октября 2017 12:42
Лента новостей
Безопасность
Технологии Big Data для корпоративного бизнеса
18 октября 2017 13:02
Количество просмотров 1111 просмотров
Мероприятия SOC-Форум 2017 — 22 ноября в Москве
17 октября 2017 10:20
Количество просмотров 215 просмотров
Криптовалюты Crypterium: как работает криптобанк?
13 октября 2017 14:36
Количество просмотров 826 просмотров
Регуляторы Банкноты 200 и 2000 рублей: какие они?
12 октября 2017 15:00
Количество просмотров 499 просмотров
Технологии Сбербанк выводит роботов на работу
12 октября 2017 14:02
Количество просмотров 1067 просмотров