За один только день удалось зафиксировать более 45 000 случаев атак, заблокировавших компьютеры госпиталей Великобритании, сетей Испании, перекинувшись в том числе и на Россию, атаковав МВД, МЧС, оператора мобильной связи «Мегафон», компанию «Связной», кредитные организации и множество других компаний. К счастью, большинство атак удалось успешно отразить. Однако за возвращение доступа к компьютерам, которые все же оказались заблокированными, хакеры требуют перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников.
Принцип работы WannaCry
WannaCry представляет собой эксплойт – подвид вредоносной программы, которая содержит исполняемый код, способный воспользоваться уязвимостями в программном обеспечении на локальном или удаленном компьютере. Помимо распространения и заражения системы, WannaCry запускает функцию шифровальщика. При этом не обязательно посещать подозрительные ссылки или запускать сомнительные вложения из писем. Заразиться WannaCry можно вообще ничего не делая. Используя уязвимость Microsoft, которая, к слову сказать, была закрыта в обновлении безопасности MS17-010 от 14 марта 2017 года, злоумышленник получает удаленный доступ к компьютеру и запускает установку шифровальщика. Следовательно, те пользователи или компании, которые не позаботилась об установке обновления и закрытия уязвимости, стали первыми жертвами кибератаки. Если же обновление установлено, удаленно взломать компьютер не получится. Но если шифровальщик попал на компьютер пользователя иными способами и был запущен, патч в такой ситуации окажется бессильным.
Таким образом компьютеры, к которым нет прямого доступа из интернет также уязвимы, т.к. достаточно заражения любой машины в локальной сети, чтобы она распространила это заражение на все другие сервера локальной сети. Даже защищенные firewall облачные сервера, если они доступны из зараженной локальной сети по каналу L2 или через VPN, также находятся под угрозой.
Что происходит дальше? Успешный взлом одного из компьютеров в сети компании – только начало. WannaCry пытается распространиться и на другие узлы организации, перекидываясь по сети на уязвимые компьютеры. Это происходит путем сканирования систем и нахождения прорех в безопасности. Как только такие претенденты находятся, происходит атака и их шифрование.
Что шифруется? Шифруются различные типы файлов, но особый приоритет отдается офисным документам, фотографиям, архивам и тому, что может оказаться наиболее важным для пользователя или организации. Зашифрованный WannaCry файл имеет сходное с названием шифровальщика расширение *.WCRY, в результате чего документ становится абсолютно не читабельным.
Что требуют злоумышленники? Чтобы пользователь наверняка узнал об атаке, меняются обои рабочего стола, выводятся уведомления о заражении, которые в том числе попадают в текстовые файлы и размещаются по папкам, а также выводится список действий, который якобы приведет к расшифровке файлов. Изначально злоумышленники требовали перевести 300 долларов, однако в последних версиях WannaCry ставка выросла ровно в два раза. Если же пользователь не вносит запрашиваемую сумму в течение трех дней, выводится предупреждение об увеличении суммы. Также сообщается, что по истечении семи дней, файлы и вовсе нельзя будет расшифровать.
География распространения и способы защиты
По предварительным данным больше всего атак приходится на Россию (распространение WannaCry отмечено красным цветом), хотя от WannaCry также серьезно пострадали Украина, Индия, Тайвань. В целом атаки зафиксированы в 74 странах мира.
Карта распространения WannaCry
Чтобы не стать жертвой WannaCry, советуем придерживаться отдельных рекомендаций. Ведь лучше не допустить подобной ситуации, поскольку файлы на компьютере, подвергшемся атаке – невозможно расшифровать. Следовательно, ваша задача – не допускать заражения.
Чтобы минимизировать риски заражения WannaCry, придерживайтесь следующих действий:
- Регулярно выполняйте резервное копирование данных и храните копии на носителях, не подключенных к компьютеру или на надежных удаленных площадках в облаке провайдера. В зависимости от степени критичности информации, используйте различные схемы бэкапа, не забывая про возможность ежечасного, ежедневного, еженедельного резервного копирования. Наличие копий данных позволит с легкостью восстановите поврежденную информацию.
- Выполняйте своевременное обновление ОС и ПО, особенно если вы используете продукты компании Microsoft. Как можно быстрее установите системное обновление безопасности MS17-010, позволяющее предотвратить security-уязвимости в системе и не допустить удаленного подключения к компьютеру, с целью распространения WannaCry. Помните, что несмотря на выпуск обновлений безопасности для официально более неподдерживаемых ОС Windows XP, Windows 2003, использовать устаревшие системы – прямой путь к заражению.
- Не открывайте вложения в сообщениях электронной почты от неизвестных отправителей, используйте опцию «показывать расширения файлов» в настройках ОС Windows и не запускайте файлы форматов *.exe, *.vbs, *.scr. В случае обнаружения подозрительных процессов, немедленно отключите устройства от интернета или Wi-Fi.
- Используйте проверенные антивирусные решения и выполняйте регулярное обновление баз в строго определённые сроки.
Помните, соблюдение установленных мер безопасности – не только правило хорошего тона, а действенный способ, минимизирующий кибератаки различного характера, в том числе WannaCry.
