Древние скандинавские легенды говорят о массивном змее по имени Йормунганд, настолько большом, что он окружает мир и держит свой хвост в зубах.
Подобные фантастические легенды часто упоминаются только в мифах, но в прошлую пятницу мы стали свидетелями рождения реального цифрового "мирового змея", червя, распространившегося так далеко, что он охватил весь земной шар, заразив такие службы, как Национальная служба Соединенного Королевства. Служба здравоохранения и крупные компании в других частях мира, такие как Telefónica в Испании.
Хотя эксперты все еще пытаются выяснить, как этот червь продолжает распространяться и как противостоять угрозе, у нас есть хорошее представление о том, что произошло, и о том, как вы можете предпринять действия, чтобы предотвратить нанесение вреда вашей системе.
Что случилось?
12 мая 2017 г. произошла массовая кибератака со стороны неизвестной программы-вымогателя (подробнее о программе-вымогателе здесь). В итоге получив название WannaCry, ему удалось заразить беспрецедентные 230 000 систем в 150 странах, используя комбинацию фишинга и эксплуатации незащищенных систем с помощью блоков сообщений локального сервера (SMB).
Программа-вымогатель заблокировала бы доступ к вашим файлам и показала экран (показанный ниже), на котором в течение трех дней требовалось 300 долларов в биткойнах, чтобы восстановить доступ к ним, иначе цена удвоилась бы.
Хотя вымогатели обычно работают именно так, была небольшая заминка, которая заставила их распространяться еще быстрее. WannaCry воспользовался недостатком SMB (который отвечает за совместное использование файлов и принтеров), который позволил ему распространиться на другие компьютеры в той же подсети. Достаточно было заразить один-единственный компьютер, чтобы разграбить всю сеть. Это в основном то, что сделало инфекцию кошмаром для Национальной службы здравоохранения и других крупных учреждений.
Возможно, здесь стоит упомянуть еще одну примечательную вещь: эксплойт SMB был взят из утечки хакерского инструментария АНБ более месяца назад. Мы сообщали об аналогичной утечке файлов хранилища 7 ЦРУ , которые также содержали множество действующих эксплойтов, которые могли быть использованы хакерами в любой момент для написания аналогичных вредоносных программ.
Kill Switch
Некий неизвестный исследователь безопасности, известный под ником "MalwareTech", зарегистрировал домен, который был обнаружен в коде WannaCry, что остановило распространение программного обеспечения. Видите ли, каждый раз, когда вредоносная программа запускается на компьютере, она проверяет, существует ли домен (кстати, это iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Если он будет зарегистрирован, вредоносная программа сможет подключиться к нему и после этого немедленно прекратит распространение. Похоже, что хакер, написавший это, хотел проверить воду и разработать план действий на случай непредвиденных обстоятельств. Этот случайный момент помешал вымогателям нанести еще больший ущерб… по крайней мере, на данный момент.
Вот мрачная правда: здесь нет счастливого конца. Декомпилируйте код, и вы легко найдете фрагменты, в которых приложение вызывает функции WinAPI "InternetOpenURLA ()" или "InternetOpenA ()". В конце концов, вы сможете отредактировать фрагмент, в котором он пытается подключиться к домену аварийного отключения. Для этого не требуется особо квалифицированный программист, и если хакеру придет в голову блестящая идея сделать новую версию WannaCry с удаленным выключателем, прежде чем все исправят свои системы, распространение продолжится. Более предприимчивые хакеры даже отредактируют биткойн-аккаунт, на который должны поступать платежи, и получат изрядную прибыль.
Версии WannaCry с разными доменами аварийного отключения уже были замечены в "дикой природе", и нам еще предстоит подтвердить, появилась ли версия без аварийного переключателя.
Что ты можешь сделать?
В свете того, что произошло, Microsoft быстро отреагировала исправлениями, включая даже неподдерживаемые версии операционной системы, такие как Windows XP. Пока вы поддерживаете свою систему в актуальном состоянии, вы не должны испытывать заражение на уровне SMB. Однако вы все равно можете заразиться, если откроете фишинговое письмо. Помните, что никогда не открывайте исполняемые файлы, отправленные как вложения электронной почты. Если вы проявите немного осмотрительности, вы сможете пережить натиск.
Что касается взломанных правительственных учреждений, этого не произошло бы, если бы они просто взорвали свои критически важные системы.
Стоит ли ожидать более смелых атак после того, как хакеры воспользуются эксплойтами, обнаруженными в недавних утечках в системе безопасности США? Расскажите нам, что вы думаете в комментарии!