курс цб на 15.12:
58.7082
69.4048

Вирус WannaCry: главное

16 мая 2017 16:00 Количество просмотров1063 просмотра

В пятницу, 12 мая, организации по всему миру пострадали от масштабной атаки программы-вымогателя WannaCry. Теперь вы можете отследить ключевые события кибератаки на временной шкале PLUSworld.ru.

Как вирус вымогает деньги?

Вирус активируется на компьютерах под управлением ОС Microsoft Windows, шифрует файлы пользователя, после чего выводит сообщение о преобразовании файлов с предложением в ограниченный срок осуществить оплату ключа дешифрования биткоинами в эквиваленте суммы 300 долларов для разблокировки данных в течение 3 дней. Если нужная сумма не поступит, то сумма автоматически будет увеличена вдвое. На 7 день вирус уничтожит данные.

Вирус WannaCry — что происходит? Мнения специалистов

kasperЛаборатория Касперского:  Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows – о ней стало известно еще 14 апреля из документов, опубликованных группировкой Shadowbrokers.

Общее число вариаций зловреда, циркулирующих в Сети в понедельник 15 мая, до сих пор неизвестно. Однако за выходные дни (13-14 мая) появилось две заметных модификации. «Лаборатория Касперского» полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя – скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.

Анализ сетевых журналов дает основания предполагать, что вымогатель WannaCry начал распространяться в четверг 11 мая. Количество попыток атак WannaCry, задетектированных «Лабораторией Касперского» в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.

esetВиталий Земских, руководитель поддержки продаж ESET Russia: В атаке используется сетевая уязвимость в Microsoft Windows MS17-010, закрытая производителем в марте 2017 года. Что может означать успешная эксплуатация уязвимости, пропатченной два месяца назад? Очевидно, информационной безопасности в мире уделяют недостаточно внимания, а осведомленность некоторых ИТ и ИБ специалистов оставляет желать лучшего.

Более того, даже если бы злоумышленники использовали уязвимость нулевого дня, для которой еще не выпущены обновления безопасности, правильный подход и набор средств ИБ мог бы отбить атаку. Простой пример – облачная система ESET LiveGrid детектировала WannaCryptor в первый день эпидемии еще до обновления вирусных баз. Эвристика и технологии на ее основе позволяют предотвратить заражение даже на необновленных Windows.

В данный момент мы не можем представить исчерпывающие доказательства начального вектора атаки, который используют операторами WannaCryptor. Пока в центре внимания два возможных сценария, которые могли бы прояснить ситуацию: «классический» фишинг и инфицирование через SMB-уязвимость. Худший вариант сложнее стандартных схем и затрагивает безопасность крупнейших интернет-компаний. В любом случае, все встанет на свои места после завершения детальных исследований, которые ведут вирусные лаборатории мира.

Кибератаки различной мощности будут производиться до тех пор, финансовая выгода злоумышленников превышает затраты на реализацию. Либо, пока нет возможности установить исполнителей со стопроцентной точностью. Усложнить задачу атакующих позволит комплексный подход к ИБ: программные и аппаратные средства защиты всех узлов сети, доступ ИТ и ИБ-специалистов к актуальной информации об угрозах, обучение персонала.

dsАлексей Тюрин, директор департамента аудита защищенности Digital Security: 

Вообще, такие вирусные эпидемии уже происходили, так что это не что-то особенно новое. Вирусы-шифровальщики — это в целом актуальная проблема.
Основой вируса является эксплойт, созданный ЦРУ, и который недавно был выложен на WikiLeaks. Так что можно винить ЦРУ, что они не озаботились в полной мере безопасностью своего «кибероружия».

Вирус распространяется по сети, при этом от пользователя не требуется посещать ссылки, скачивать или запускать файлы — достаточно подключения к сети и использовать уязвимую версию ОС. При этом патч под актуальные версии Windows существовал еще до начала вспышки эпидемии. Т.е. оперативная установка обновлений ОС спасла бы.

Отдельной проблемой является то, что уязвимость так же присутствует в Windows XP и 2003, но официальная поддержка которых уже не осуществляется (хотя патч для них тоже есть). Т.е. по большей части заразились те организации, которое либо используют устаревшие версии ОС, либо не оперативно обновляют ОС.

 

cpВасилий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ:

Виновником атак, которые начались в конце прошлой недели по всему миру,  является версия 2.0 WCry ransomware, также известная как WannaCry или WanaCrypt0r ransomware. Версия 1.0 была обнаружена 10 февраля 2017 года и в ограниченных масштабах использовалась в марте.

Версия 2.0 была впервые обнаружена 11 мая, атака возникла внезапно и быстро распространилась в Великобритании, Испании, Германии, Турции, России, Индонезии, Вьетнаме, Японии.

Масштаб атаки подтверждает, насколько опасным может быть вымогательское ПО. Организации должны быть готовы к отражению атаки, иметь возможность сканировать, блокировать и отсеивать подозрительные файлы и контент до того, как он попадет в их сеть. Также очень важно проинструктировать персонал о возможной опасности писем от неизвестных источников».

Команда Check Point начала фиксировать масштабное распространение вируса WannaCryptor 12 мая. Для ее распространения использовались различные векторы атак, в том числе через сетевой протокол прикладного уровня (SMB), brute force атаки на RDP-серверы, вредоносные ссылки в письмах, а также письма со вложениями, содержащими вредоносный контент в файлах PDF или ZIP.

Несмотря на то, что многие пользователи заплатили выкуп, не было ни одного сообщения о том, что их файлы были разблокированы. Исследователи обнаружили, что поступление денег на счет вымогателей позволяет отслеживать, какая именно жертва их перевела. У многих вымогателей есть «служба поддержки», которая быстро отвечает жертвам в случае проблем с оплатой. Но не в случае с WannaCry.  Более того, эксперты сомневаются, что зашифрованные файлы вообще поддаются дешифровке со стороны вымогателей.

Как обезопасить свой компьютер от заражения?

Для предотвращения заражения ESET рекомендуеn принять следующие меры:

  1. Установите все обновления Microsoft Windows.
  2. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО. Рекомендуем технологии на базе эвристики, которые позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа.
  3. Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
  4. Используйте сервисы для доступа к информации о новейших угрозах.
  5. При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.

По материалам PLUSworld.ru

Эта и другие темы будут обсуждаться на нашем Форуме «Дистанционные сервисы, мобильные решения, карты и платежи», который пройдёт в Москве 7-8 июня 2017 года.
Подробная информация и регистрация доступны на нашем официальном сайте.
Будем рады встрече с Вами на Форуме!

 

 




В рубриках:
Безопасность
Форум экспертов
Китайские туристы в России будут активнее использовать мобильные платежи благодаря QuickPass
Накануне Национальная платежная система Китая China UnionPay запустила единое мобильное приложение QuickPass для более чем 30 местных коммерческих банков и платежных. Портал PLUSworld.ru в беседе с главой российского представительства Union Pay International Сашей Фань (Sasha Fan) выяснил дополнительные подробности о возможностях нового приложения и о том, какие преимущества с помощью него получат китайские туристы за рубежом, в том числе и в России.
15 декабря 2017 11:24
Альфа-Банк: Мы готовы активно помогать финтехам, которые несут ценность для клиента
О том, как оценивают белорусские финтех-проекты, какие препятствия для развития финтеха в нашей стране существуют сегодня и как их можно устранить, рассказывает ТОП-менеджер белорусского Альфа-Банка, член правления, руководитель по информационными технологиям Андрей Косач.
11 декабря 2017 14:25
USABILITYLAB поделилась результатами оценки доступности интернет-банков для физлиц 2017
Российские банки все больше внимания уделяют вопросу удобства онлайн-сервисов. Однако доступность интернет-банков для людей с инвалидностью остается на низком уровне. О проблемах доступности и о способах их решения рассказали коммерческий директор USABILITYLAB Дмитрий Силаев и ведущий юзабилити-специалист Татьяна Миронова.
11 декабря 2017 14:08
Смотреть все статьи рубрики >>
Лента новостей
Безопасность
Digital banking Big Data в банкинге. Мифы и реальность
14 декабря 2017 14:03
Количество просмотров 242 просмотра
Мероприятия PRIVATE MONEY 2017: итоги форума
14 декабря 2017 10:39
Количество просмотров 125 просмотров
Digital banking Британцы выбирают цифровой банкинг
13 декабря 2017 13:01
Количество просмотров 178 просмотров
Исследования Positive Technologies: итоги года и прогнозы
13 декабря 2017 11:31
Количество просмотров 175 просмотров
Регуляторы ЦБ приобрел 99,9% акций ФК «Открытие»
11 декабря 2017 15:30
Количество просмотров 429 просмотров
Банки и МФО Тинькофф Мобайл запустят 13 декабря
11 декабря 2017 15:07
Количество просмотров 463 просмотра
Банки и МФО Онлайн-заемщики МФО предпочитают Apple
11 декабря 2017 11:39
Количество просмотров 206 просмотров