Что такое вирус WannaCry, история, принцип работы и другие вымогатели
Вирус-вымогатель WannaCry — вредоносное программное обеспечение для ПК и ноутбуков, обнаруженное в мае 2017-го. Распространялось через ПО типа «рансомвар», то есть шифровало файлы жертвы и требовало выкуп в Bitcoin для раскодирования. Ванна Край за короткий промежуток времени атаковал тысячи компьютеров и сетей.
Компьютерный вирус использовал уязвимость в ОС Windows под названием EternalBlue, которая разработана и украдена из Национального Секретного Агентства (NSA) США. Злоумышленники использовали проблему для распространения вредоносного ПО по сети, заражая подходящие ПК.
Ниже рассмотрим, как и когда появился WannaCry. Приведем его принцип работы, особенности попадания на компьютер или ноутбук, последствия для владельца. Разберемся, что происходит в случае отсутствия действий, выделим структуру, способы обнаружения и другие особенности. Дадим рекомендации, как защититься от проблемы, рассмотрим вопросы и ответы по теме.
Хронология развития вируса WannaCry
Впервые вредоносная программа появилась в мае 2017-го. Распространение осуществлялось через уязвимость в ОС Windows, которая была изначально обнаружена и использована АНБ (NSA) США.
Проблема EternalBlue, была утечкой бюро и попала в руки группы хакеров, которые впоследствии создали вирус WannaCry. «Вечный синий» эксплуатировал уязвимость в протоколе SMB (Server Message Block), используемом для обмена файлами и принтерами в сетях Windows. Позволяла внедрить вредоносный код на целевой компьютер без необходимости пользовательского взаимодействия.
После того как вирус WannaCry запустили, он начал распространяться через сеть, сканируя уязвимые компьютеры и автоматически заражая их. Вирус кодировал сведения на ПК жертв и требовал выкуп в Bitcoin для расшифровки. Хакеры зашифровывали данные и оставляли на экране компьютера сообщение с требованиями выкупа.
WannaCry затронул тысячи организаций, включая больницы, транспортные компании, банки и госучреждения. После обнаружения вируса Microsoft выпустила экстренное исправление уязвимости, которая использовалась в атаке. При этом многие компьютеры оставались не обновленными, а вирус продолжал причинять ущерб в течение нескольких дней.
Кто создал
WannaCry разработан группой хакеров под названием Lazarus Group. Это преступная организация, связанная с Северной Кореей. Она также имела отношение к другим атакам, включая нападение на Sony Pictures в 2014-м. Более подробной информации о членах команды нет.
Принцип работы вируса WannaCry
Вымогатель использует комбинацию нескольких методов для работы:
- Инфицирование: вредоносное ПО распространяется через сеть, сканируя уязвимые компьютеры. Оно ищет ПК, которые не были обновлены с патчем безопасности, выпущенным Microsoft для исправления уязвимости EternalBlue. После нахождения проблемного компьютера вирус внедряется в систему.
- Распространение: WannaCry использует слабое место, чтобы распространяться по сети и заражает другие ПК в той же локальной сети. Работа выполняется путем сканирования с последующей атакой.
- Шифрование файлов. После заражения компьютера WannaCry кодирует информацию на жестком диске с помощью алгоритма AES. Шифрование затрагивает документы, изображения, видео и тд.
- Вымогательство выкупа. На экране отображается сообщение с требованием выкупа в Bitcoin для раскодирования данных. В описании указываются инструкции о том, как произвести оплату и получить ключ для снятия кодировки.
- Продолжение заражения. Использование уязвимости в протоколе SMB, чтобы перехватывать учетные данные и получить доступ к другим ПК.
- Остановка процесса. Вирус WannaCry пытается подключиться к доменному имени и проверить его наличие. Если оно активно, ПО прекращает деятельность и не распространяется дальше. Эту особенность эксперты использовали для борьбы с мошенничеством.
Структура
Конструкция компьютерного вируса WannaCry сформирована из нескольких элементов:
- Загрузчик (Loader). Первый компонент, который запускается при заражении системы. Отвечает за инициализацию и запуск вредоносного кода WannaCry.
- Вредоносный исполняемый файл (Malicious Executable). Главный элемент вируса WannaCry. Содержит код, отвечающий за сканирование сети, эксплуатацию уязвимости и шифрование.
- Компоненты эксплойта (Exploit Components). Ванна Край использует уязвимость EternalBlue для распространения по сети. Содержит код, который эксплуатирует SMB и позволяет вирусу получить удаленный доступ к целевым ПК. Вредоносное ПО также содержит другие компоненты эксплойта, которые используются для распространения через иные уязвимости или методы.
- Узлы шифрования (Encryption Components). WannaCry применяет AES, которые отвечают за генерацию ключа кодирования для каждого файла и их содержимого, а также хранение ключей.
- Элементы вымогательства (Ransomware Components). Компоненты отвечают за отображение сообщения, включая инструкции о платеже и контактные данные для связи с хакерами.
- Функционал для самораспространения (Self-Propagation Components). Компонент содержит код, который осуществляет поиск уязвимых компьютеров, эксплуатирует уязвимость и передает вирус на целевые системы.
Как обнаружить
Обнаружить WannaCry после заражения сложно. Выделим признаки и методы, которые помогают выявить вредоносное ПО:
- файлы имеют новое расширение или непонятные изменения в их названии или содержимом;
- отображение вымогательского сообщения на экране компьютера после завершения кодирования;
- обнаружение и предупреждение о наличии вредоносных программ со стороны антивирусного обеспечения;
- мониторинг сетевых портов и протоколов для распространения и коммуникации с командным сервером;
- проверка логов и приложений на наличие подозрительных действий, ошибок или событий.
Что происходило в случае отказа от выплат
Если жертва вируса-вымогателя отказывается платить выкуп, могут возникнуть следующие последствия:
- Потеря данных. WannaCry шифрует файлы на компьютере жертвы, и без ключа доступ становится невозможным. Если жертва отказывается платить, она рискует потерять доступ к сведениям.
- Угроза печати данных. Некоторые вирусы-вымогатели угрожают публиковать украденные данные или сделать их общедоступными, если выкуп не будет уплачен. Часто это влечет серьезные последствия, если в украденных данных содержится конфиденциальная или чувствительная информация.
- Возможность повторных атак. Если жертва не платит выкуп и не принимает меры для полного удаления вредоносной программы с компьютера, она остается уязвимой для дальнейших атак или заражений. Злоумышленники могут использовать уязвимости в системе или повторно зашифровать файлы в попытке заставить жертву изменить решение.
- Утрата репутации и финансовые потери. Отказ от выплаты выкупа и возможная утеря данных могут нанести ущерб репутации организации. Кроме того, восстановление системы и информации после атаки требует финансовых затрат.
Несмотря на такие последствия от действий WannaCry, платить выкуп не рекомендуется. Уплата не гарантирует возврата файлов или восстановления доступа к системе, а также стимулирует злоумышленников продолжать деятельность и атаковать других пользователей. Лучшей стратегией является предотвращение заражения вредоносными программами-вымогателями путем регулярного обновления ПО, использования антивирусного программного обеспечения и создания резервных копий данных. Подробнее на этом вопросе остановимся ниже.
Как скачивался вирус WannaCry
Вымогатель использовал несколько каналов для инфицирования компьютеров и распространения по сети:
- Уязвимость EternalBlue в протоколе SMB (Server Message Block). Позволяла вирусу получить удаленный доступ к компьютерам с проблемными версиями операционной системы Windows, не требуя от пользователя никаких действий. WannaCry сканировал сеть в поисках проблемных ПК и эксплуатировал уязвимость для заражения.
- Phishing-атаки. Иногда WannaCry мог распространяться через электронные письма и вредоносные вложения, а также ссылки на опасные сайты. При открытии файла или переходе по URL вирус запускался и начинал деятельность на компьютере жертвы.
- Внедрение внутри сети. Если один ПК в локальной сфере уже был заражен WannaCry, он мог распространяться на другие компьютеры. Это происходило путем сканирования сети и эксплуатации уязвимости EternalBlue.
Как вирус выбирает ПК
Вымогатель WannaCry определяет компьютеры для заражения и распространения по сети, используя следующие методы:
- Сканирование IP-адресов и поиск ПК, которые подключены к сети и доступны для взаимодействия. Может использовать алгоритмы перебора или случайный выбор Ай-Пи.
- Проверка открытых портов на найденных IP-адресах, чтобы определить, есть ли на компьютере уязвимости, которые можно эксплуатировать. В случае WannaCry, он ищет уязвимость EternalBlue в протоколе SMB (используется порт 445) для определения подверженности системы.
- Контроль версии операционной системы на целевом компьютере. Вирус специально нацелен на уязвимые варианты ОС Windows, такие как XP, 7 и Server 2008 R2. Если ПК работает на одной из этих версий, WannaCry приступает к эксплуатации уязвимости.
- Распространение внутри сети. Здесь используется принцип, который уже рассматривался выше.
Жертвы вируса-вымогателя
Использование WannaCry в 2017-м стало кибератакой, затронувшей тысячи организаций. Выделим следующих жертв злоумышленников:
- Национальная система здравоохранения Великобритании (NHS). Вымогатель повлиял на медицинские учреждения, приведя к временной недоступности услуг и задержке лечения пациентов.
- Телекоммуникационные компании. Некоторые организации, включая Телефонию (Telefónica) в Испании, были затронуты атакой WannaCry. Это вызвало проблемы с доступом к сети и обслуживанию клиентов.
- Транспортные системы. Вирус-вымогатель оказал влияние на некоторые представители сети, включая железные дороги и авиакомпании. Атака приводила к задержкам и отменам рейсов.
- Финансовые учреждения. Многие банки были атакованы WannaCry. Это могло привести к временной недоступности онлайн-банкинга и других финансовых услуг.
- Государственные организации. Вирус затронул многие структуры на уровне государства, включая некоторые министерства и учреждения, приводя к нарушениям работы и доступности информации.
Среди жертв вредоносного ПО были и люди, многие из которых пошли на условия преступной организации.
Как лечить от WannaCry и других вирусов-вымогателей
Если ПК заражен вирусом WannaCry или другим вымогателем, следует немедленно принять следующие шаги:
- Отключите компьютер от сети, чтобы предотвратить дальнейшее распространение вируса. Помогает предотвратить заражение других ПК.
- Проверьте, что ОС и установленные программы обновлены до последних версий. WannaCry эксплуатирует уязвимости в Windows, которые исправлены патчами, выпущенными Microsoft. Загрузите и установите обновления с официального сайта компании.
- Запустите антивирусный софт на зараженном ПК и выполните полное сканирование. Обновите антивирусы, чтобы обнаружить и удалить вредоносные файлы.
- Используйте специализированные утилиты и инструменты для обнаружения и удаления вредоносного ПО. Обратитесь к официальным сайтам антивирусных компаний и организаций по информационной безопасности для получения таких инструментов.
- Попытайтесь восстановить файлы их из резервной копии данных, если таковая имеется. Убедитесь, что она создана до заражения вирусом WannaCry.
Если попытки удалить вымогателя не дали результатов, или вы не уверены в действиях, рекомендуется обратиться за помощью к профессионалам в области информационной безопасности или технической поддержки.
Топовые антивирусы для защиты
Когда речь идет о защите от WannaCry и других подобных угроз, важно использовать надежное антивирусное программное обеспечение. Приведем список программ, способных помочь в защите от WannaCry:
- Kaspersky Anti-Virus. Известен надежностью в обнаружении и блокировке вредоносных программ, включая вирусы-вымогатели.
- Bitdefender Antivirus Plus. Еще одно популярное решение, которое обеспечивает защиту от WannaCry и других угроз. Bitdefender предлагает антивирусный сканер, систему предотвращения вторжений, веб-фильтры и другие функции безопасности.
- Norton AntiVirus Plus. Нортон считается проверенным брендом в области кибербезопасности. Функции: интеллектуальный движок защиты, защита от вредоносных веб-сайтов и инструменты для проверки загрузок файлов.
- Avast Free Antivirus. Бесплатное решение, которое предлагает базовую защиту от вирусов, включая WannaCry и предлагает дополнительные функции: фишинг-защита и инструменты оптимизации.
- McAfee Total Protection. Предлагает полнофункциональное решение для защиты от угроз, включая вирусы-вымогатели. Включает брандмауэр, антиспам и другие функции.
Какие меры приняты
Атака вируса WannaCry в 2017-м вызвала ответные меры со стороны организаций и государственных структур:
- Выпуск обновлений безопасности Microsoft для закрытия уязвимости EternalBlue, использованной вирусом WannaCry. Позволило установить патчи и обновления, чтобы защитить системы от подобных атак.
- Распространение информации и руководств о мероприятиях по повышению кибербезопасности. Предоставили пользовательские сведения о том, как защитить системы, включая регулярное обновление ПО, использование надежных антивирусных программ и осторожность при открытии вложений в email.
- Улучшение сотрудничества и обмен информацией о новых угрозах и атаках. Это позволяет обнаруживать и бороться с вирусами-вымогателями.
- Обновление политик безопасности и усиление мер защиты, включая регулярную установку новых версий ПО, обучение сотрудников и внедрение строгого контроля доступа.
- Усиление международного сотрудничества для борьбы с киберугрозами. Государства и мировые организации начали укреплять усилия в этой области, обмениваясь информацией, координируя действия и совместно разрабатывая стратегии защиты.
Аналогичные вирусы-вымогатели: ТОП самых опасных
Было разработано и распространено десятки вирусов-вымогателей, которые функционируют аналогично WannaCry, шифруя файлы на компьютерах жертв и требуя выкуп. Приведем некоторые из них.
Petya и NotPetya
Эти угрозы появились в 2017-м году, имеют схожие характеристики, но различаются по природе и способу действия:
- Petya обнаружен в 2016-м и представляет собой вредоносную программу-вымогатель, которая шифрует загрузочный сектор диска (Master Boot Record, MBR). Это делает невозможным запуск операционной системы. Petya распространялся через инфицированные веб-сайты и вредоносные вложения электронной почты. После заражения он требовал от пользователя уплатить выкуп в Bitcoin для получения ключа для расшифровки данных.
- NotPetya появился в июне 2017-го. В отличие от оригинального Petya он не был исключительно программой-вымогателем. Вместо этого софт специально разрабатывался для атаки на целевые компьютерные сети. NotPetya использовал уязвимость EternalBlue для распространения по сети, аналогично WannaCry. Цель заключалась в нанесении ущерба и разрушении, а не в вымогательстве. Он шифровал файлы, но раскодирование после уплаты выкупа была невозможно, поскольку такая опция не была доступной.
Оба вируса привлекли внимание в связи с масштабом и разрушительностью атак. Они нанесли ущерб организациям по всему миру, подчеркивая необходимость принятия мер по обеспечению кибербезопасности.
Locky
Locky — вредоносная программа-вымогатель, которая была активна в 2016-м. Распространялся вирус преимущественно через спам-письма, содержащие вложения в формате Microsoft Office (например, файлы Word или Excel) или ссылки на вредоносные страницы в интернете. Когда пользователь открывал письмо или переходил по ссылке, Locky загружался на компьютер и начинал шифровать файлы. Последние получали новое расширение, например “.locky” или “.zepto”, и становились недоступными для пользователя. Под удар попадали документы, фотографии, видео, архивы и другие.
После шифрования файлов Locky отображал вымогательское сообщение на экране компьютера. Сообщение содержало инструкции о том, как пользователь может расшифровать = заплатить определенную сумму в Bitcoin в установленный срок. В противном случае предусматривалось полное удаление ключа. Сумма выкупа зависела от версии Locky и требований злоумышленников.
После заражения одного компьютера вирус-вымогатель использовал сетевые ресурсы, чтобы распространиться и заразить другие ПК в той же сети. Он ищет доступные сетевые шары и другие уязвимые компьютеры для распространения вредоносного кода.
Locky массовым вирусом-вымогателем, который привлек внимание и нанес ущерб тысячам организаций. Он продемонстрировал необходимость в регулярном обновлении ПО, осторожности при открытии вложений в электронной почте и резервном копировании данных для защиты от угроз.
CryptoLocker
Вирусов-вымогатель действовал с 2013 по 2014 год. Распространялся через письма по электронной почте, в которых прикреплялся вредоносный файл в формате ZIP или PDF. Пользователь, открывая вложение или переходя по ссылке, активировал код.
После попадания на ПК CryptoLocker кодировал файлы на компьютере с применением асимметричного шифрования. Вирус генерировал пары ключей — публичный и приватный. Последний использовался для кодирования файлов, а первый для расшифровки. Кодировались фотографии, видео, архивы и тд.
После завершения «черного дела» CryptoLocker отображал вымогательское сообщение, в котором содержались инструкции о расшифровки файлов. Это требовало уплаты выкупа в цифровой валюте в установленный срок. В случае неуплаты появлялась угроза удаления приватного ключа, делающего расшифровку файлов невозможной.
CryptoLocker использовал сложную инфраструктуру команды, включающую серверы и систему управления, которая применялась для обработки выкупных платежей и предоставления ключей. Это позволяло злоумышленникам автоматизировать процесс и быстро реагировать на платежи. Крипто Локер вызвал панику среди пользователей и причинил ущерб в миллионы долларов.
Ryuk
Зловредное программное обеспечение-вымогатель, которое начало действовать в августе 2018-го. Это высокоорганизованная угроза, нацеленная преимущественно на крупные организации и компании.
Ryuk, как и рассмотренные выше «коллеги», попадал на ПК через спамные письма, содержащие вредоносные вложения, а также через эксплуатацию уязвимостей в ПО. Некоторые варианты применяли сетевые уязвимости для распространения внутри сети.
После заражения запускалось шифрование файлов на компьютере с помощью асимметричного метода. Кодировались различные типы данных, включая документы, базы данных, архивы и другие. Файлы получали новое расширение, например, “.ryk”.
После завершения процесса Ryuk отображает сообщение с требованиями на экране. В нем содержатся инструкции о том, как пользователь может расшифровать файлы путем оплаты выкупа в криптовалюте.
Ryuk имеет ряд особенностей, которые делают его относительно сложным в обнаружении и обходе. Например поддержка “детектирования песочницы” (sandbox detection), что позволяет избежать обнаружения вредоносного ПО. Считается, что Ryuk имеет связь с другой киберпреступной группировкой TrickBot.
Sodinokibi/REvil
Этот вирус-вымогатель начал деятельность в 2019-м. Используется преступными группировками для атак на организации и компании. Чаще всего распространяется через спам-письма, уязвимости или через компрометацию удаленного рабочего стола (RDP). Достигается путем отправки вредоносных вложений в e-mail, использования вредоносных ссылок и другими методами.
После заражения запускается шифровка файлов на компьютере жертвы с помощью асимметричного шифрования. Кодируются фото, видео, архивы и другие типы файлов. Они получают новое расширение: .sodinokibi или .revil.
Далее Sodinokibi/REvil отображает сообщение на экране. В нем приводится инструкция о том, как пользователь может расшифровать файлы путем оплаты выкупа в криптовалюте, чаще в Bitcoin.
Кроме шифрования, вирус-вымогатель известен способностью кражи и утечки конфиденциальных данных. Злоумышленники могут требовать выкуп не только за расшифровку, но и за предотвращение публикации или продажи украденных сведений.
Sodinokibi/REvil имеет развитую инфраструктуру команды, включая серверы команды и систему управления, которая используется для координации атак и обработки выкупных платежей.
Важно принимать меры предосторожности при открытии вложений в электронной почте, использовании антивирусного ПО и регулярного резервного копирование данных для защиты от подобных угроз.
Профилактика
Защита от вирусов-вымогателей — аспект обеспечения кибербезопасности. Для предотвращения рассмотренных выше угроз важно делать следующие шаги:
- Регулярно обновляйте ОС и установленные программы до последних версий. Уязвимости в ПО используются злоумышленниками для распространения вирусов-вымогателей. Обновления включают исправления проблем, которые часто предотвращают атаку.
- Используйте надежное антивирусное ПО и обновляйте его регулярно. Такая программа помогает в обнаружении и блокировке вредоносных программ, включая вирусы-вымогатели.
- Будьте внимательны при открытии электронных писем от неизвестных отправителей. Не открывайте вложения из недоверенных источников и не кликайте на подозрительные ссылки. Спам-письма часто содержат опасные вложения, которые могут запустить вирус-вымогатель на компьютере.
- Регулярно создавайте резервные копии информации на отдельных носителях, которые не подключены к ПК или сети. В случае заражения вирусом-вымогателем можно восстановить информацию из резервной копии.
- Используйте сетевые механизмы безопасности. Установите и настройте фаерволы, системы обнаружения вторжений и другие средства, чтобы защитить сеть от несанкционированного доступа и распространения вредоносного ПО.
- Проводите обучение и информируйте пользователей о возможных угрозах, таких как фишинговые атаки и вредоносные вложения. Обучение сотрудников поможет им узнать признаки подозрительных писем и как соблюдать безопасные практики.
- Проводите регулярные проверки систем на наличие уязвимостей. Это помогает быстро выявить подозрительную активность и своевременно принять меры.
Применение упомянутых шагов помогает укрепить защиту от вирусов-вымогателей. Угрозы постоянно развиваются, поэтому регулярное обновление и соблюдение упомянутых советов необходимо.
Последствия для мира
Атака вируса WannaCry имела влияние на мир и вызвала резонанс в международном масштабе. Последствия:
- Недоступность услуг. Организации, которые затронул WannaCry столкнулись с временной невозможностью осуществлять свою деятельность.
- Финансовые потери. Атака вируса-вымогателя нанесла убытки организациям, которые были заражены. Отказ от платежей или временная недоступность сервисов привели к потере доходов, дополнительным расходам на восстановление систем и данных.
- Угроза безопасности. Действие Ванна Край подчеркнуло уязвимость компьютерных систем и сетей перед киберугрозами. Это привело к осознанию необходимости обновления ПО, установки патчей безопасности, принятия мер по защите от вирусов-вымогателей и другого подобного софта.
- Влияние на общество. Атака привлекла интерес СМИ. Это создало общую тревогу и осознание угрозы кибербезопасности.
- Международное сотрудничество. WannaCry стимулировал усиление борьбы с киберугрозами на мировом уровне. Государства и организации начали обмениваться данными, совместно разрабатывать стратегии защиты и координировать действия для предотвращения атак в будущем.
Вредоносная программа-вымогатель действующая в 2017-м году. Шифрует сведения на компьютерах жертв и требует выкуп для расшифровки.
Компьютерный вирус WannaCry распространяется через уязвимость EternalBlue в ОС Windows. Передается по локальной сети или через интернет.
Данные на компьютере становятся недоступными, так как они шифруются. Злоумышленники требуют выкуп в криптовалюте для предоставления ключа раскодирования. Заражение может привести к недоступности системы и повреждению данных.
Рекомендуется установить необходимые обновления безопасности для ОС Windows. Использовать надежное антивирусное ПО и регулярно его обновлять. Важно проявлять осторожность при открытии вложений в электронной почте и при посещении непроверенных веб-сайтов. Стоит отключить ненужные службы и закрыть порты, чтобы снизить уязвимость системы. Необходимо регулярно создавать резервные копии важных данных.
В ряде случаев были разработаны инструменты для раскодирования некоторых версий WannaCry. Рекомендуется обратиться к экспертам в области кибербезопасности для получения помощи.
После атаки вируса WannaCry были выполнены различные шаги для предотвращения подобных атак в будущем. Выпущены обновления безопасности, патчи и указания для пользователей по обеспечению защиты систем.
Итоги
WannaCry стал одной из самых разрушительных и распространенных атак. Создан группой хакеров Lazarus Group, связанной с Северной Кореей. Использовался в мае 2017-го, классифицирован как вирус-вымогатель (ransomware). Атака задействовала уязвимость EternalBlue в операционных системах Windows. Разработана и удерживалась американскими разведслужбами, но позже утекла в публичное пространство. WannaCry эксплуатировал уязвимость для распространения по сети, заражая компьютеры и блокируя доступ к файлам, требуя их разблокировки.
Комментарии