Подписаться
Читать в телеграм
Если кратко, то WannaCry – классический шифровальщик совмещенный с червем. То есть основной функционал вируса – шифрование файлов на зараженных машинах, а основной метод распространения – использование уязвимости MS 17-010.
Каждый экземпляр вируса сканирует доступные ему сети на предмет хостов с открытым 445 портом и проверяет уязвимы ли они к MS 17-010. Если да, то происходит заражение шифровальщиком и распространение по этому же принципу дальше. Параллельно со сканированием вирус пытается применить эксплойт к случайным IP-адресам.
Модуль шифрования ищет преимущественно следующие типы файлов:
- Файлы электронной почты
- Файлы баз данных
- Ключи шифрования
- Сертификаты
- Архивы
- Документы MS Office
- Виртуальные машины
- Исходные коды ПО
Для сокрытия своей деятельности и командных серверов вирус использует Tor.
Что за уязвимость MS 17-010
Уязвимость существует в реализации протокола SMBv1 для MS Windows и позволяет удаленно выполнить произвольный код на уязвимой машине. Уязвимость была устранена Microsoft в марте и был выпущен патч. Когда эпидемия набрала обороты, Microsoft был выпущен патч на более неподдерживаемые версии ОС Windows(XP, 2003).
Что за эксплойт:
Эксплойт был разработан предположительно для АНБ США и был выложен в открытый доступ в результате утечки информации 14 апреля, получив название EternalBlue.
Масштабы эпидемии и ее причины:
Вирус уже поразил сотни тысяч компьютеров по всему миру во время первой волны заражения, включая корпоративные сети МВД, РЖД и «Мегафона», международного аэропорта во Франкфурте. Также об атаках на свои системы сообщили Сбербанк и Минздрав, были зашифрованы данные, хранящиеся в больницах в Великобритании, однако многими организациями факт заражения скрывается, поэтому истинный масштаб сложно оценить.
Основная причина столь массовой эпидемии – несвоевременная установка обновлений безопасности и использование устаревших версий ОС.
Основные способы защиты:
1. Для гарантированного предотвращения заражения рекомендуется обновить операционную систему. Для всех версий ОС Windows, включая устаревшие версии были выпущены специальные патчи, доступные по ссылке (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)
2. Также для гарантированного предотвращения заражения на системах, на которых невозможна установка обновлений, возможно отключить поддержку протокола SMBv1, для этого необходимо выполнить следующую команду:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Однако это может помешать работе службе Active Directory.
3. Для уменьшения риска заражения вирусом, рекомендуется установить Антивирусное ПО, или сконфигурировать межсетевой экран для блокировки 445 порта в сеть Интернет.
4. Для защиты от подобных атак в будущем настоятельно рекомендуется регулярное обновление ПО, а также регулярное резервное копирование на защищенные носители или сервера.
Мы будем следить, за развитием ситуации.
