Кто в Мензелинске пострадал от вируса WannaCry и как с ним бороться

В то время как организации по всему миру пытаются избавиться от последствий кибератаки, совершенной при помощи программы-вымогателя WannaCry, сотрудники служб и компаний кибербезопасности пытаются определить, кто именно стоит за этим нападением.

По сообщению программистов Мензелинска вирус пока поразил только один компьютер Мензелинского театра, но наблюдались первые признаки заражения во многих организациях города и района. При включенном интернете компьютеры бесконечно перегружались. Следует отметить, что спасало оборудования - отсоединение от интернета и установки обновления Windows. О признаках заражения сообщили также несколько десятков владельцев домашних компьютеров.

Вирус использует уязвимость в программном обеспечении Windows, которая была изначально обнаружена Агентством национальной безопасности США, но затем была использована в преступных целях кем-то другим.

На данный момент не ясно, кто именно это сделал, и где эти люди находятся. За создателями рэкет-вируса WannaCry охотятся по всему миру

Некоторые специалисты по кибербезопасности в понедельник заявили, что нашли определенные технические улики в WannaCry, на основании которых можно заподозрить в причастности к созданию и запуску вируса Северной Кореи.

Symantec и \"Лаборатория Касперского\" заявили, что более ранняя версия кода WannaCry появлялась в программах так называемой Lazarus Group, которую многие считают северокорейской хакерской организацией, сообщает ftimes.ru.

Обе компании в то же время подчеркивают, что делать выводы о причастности Северной Кореи к этой массовой кибератаке пока преждевременно.

Глава исследовательского отдела компании F-Secure Микко Хиппонен говорит, что анализ программы-вымогателя пока не выявил никаких твердых доказательств.

Первая версия этого вируса появилась 10 февраля, и была использована в рамках небольшой кампании рэкета, начавшейся 25 марта.
WannaCry 1.0 распространялся при помощи спама и \"заминированных\" сайтов, но на эту удочку не попался практически никто.
Версия 2.0, захватившая компьютеры по всему миру, была практически идентична первой, за исключением модуля, который превращал программу в \"червя\", способного распространяться самостоятельно.

Другие исследователи, основываясь на некоторых признаках, склоняются к выводу о том, что WannaCry - дело рук какой-то новой группировки.

Многие обращают внимание на то, что WannaCry не испытывает никаких проблем с проникновением в компьютерные системы, использующие кириллицу. По контрасту с этим многие вредоносные программы, вышедшие из России, старались избегать заражения машин, работающих на кириллице.

Изучающим программный код экспертам до сих пор не удалось найти в нем каких-либо специфических черт, которые могли бы пролить свет на его создателей.

Кроме того, метка времени создания кода указывает, что он был создан на компьютере в девяти часовых поясах к востоку от Гринвича, что дает основания полагать, что его авторы могли находиться в Японии, Корее, Китае, Индонезии, на Филиппинах или российском Дальнем Востоке.

Существуют и другие признаки того, что WannaCry - дело рук относительных новичков в подобного рода вымогательствах.
Во-первых, WannaCry оказался слишком успешным, и нанес удар более чем 200 тысячам компьютеров, что во много раз больше обычного. Собирать выкуп со столь большого числа жертв - чрезвычайно трудоемкое занятие.

Во-вторых, авторы WannaCry забыли зарегистрировать адрес домена, прописанный в коде вируса. Этот адрес работает как рубильник, прекращающий распространение вируса. Исследователь Маркус Хатчинс зарегистрировал адрес этого домена сам, благодаря чему он, неожиданно для себя, сумел остановить распространение вируса по планете.

Теперь эксперты пытаются понять, интересовался ли кто-либо этим доменным адресом ранее, и можно ли вычислить, где эти люди находились.

Но не стоит забывать, что определенная доля улик, которые можно обнаружить в программном коде, вписана туда специально, с тем чтобы запутать следствие.

В третьих, организаторы кибернападений с целью рэкета обычно создают лишь один адрес, по которому следует посылать им биткойны, ибо таким образом им легче определить, кто именно с ними расплатился и кому конкретно можно вернуть контроль над компьютером.

WannaCry использует сразу три аккаунта биткойнов, что серьезно затруднит работу вымогателей, если, конечно, те вообще собирались размораживать захваченные компьютеры.

Стоит ли платить хакерам?

Британское национальное агентство по борьбе с преступностью советует ничего не платить вымогателям.

Доктор Джеймс Смит из компании Elliptic, которая анализирует транзакции в блочной цепи биткойна, говорит, что именно оплата выкупа биткойнами может вывести на след хакеров, так как блокчейн публично регистрирует, кто и когда потратил биткойны.

\"В конце концов, эти люди хотят денег, и рано или поздно эти суммы будут куда-то перенаправлены, - говорит он. - Когда именно это произойдет, неизвестно, и, как мы думаем, это зависит от того, сколько именно денег будет им выплачено в течение ближайших нескольких дней\".

На данный момент на эти адреса биткойнов было переведено более 50 тысяч долларов.
\"Все чрезвычайно внимательно следят за этими адресами\", - говорит доктор Смит.

Начиная с пятницы масштабная атака с требованием выкупа под названием WannaCry инфицировала компьютерные системы в 150 странах, сообщает BBC. По оценке фирмы кибербезопасности Kaspersky Lab, от атаки пострадали не менее 200 тысяч компьютеров - главным образом организации в секторе здравоохранения и компании телекоммуникационных услуг. За разблокирование атакующие требуют выкуп в биткоинах в размере 300 долл.

Специалисты кибербезопасности дают совет, как защититься от атаки WannaCry. Вот те основные шаги, которые нужно предпринять.

Установить обновления!
Первое, что необходимо сделать, это немедленно установить все обновления на системы с Windows, говорит фирма кибербезопасности Cybereason. В марте Microsoft выпустила патч для уязвимости «Eternalblue», ведущей свое происхождение из Агентства национальной безопасности США (NSA), которая, по-видимому, и используется вирусом WannaCry.

В частности, вирус использует дефект в блоке серверных сообщений (SMB) в Windows, который может разрешить удаленное выполнение кода, говорит Cylance. Организации, не установившие своевременно обновления или использующие устаревшие версии операционной системы, в частности, Windows XP, будут подвержены атаке, если не установят все обновления, говорит Cylance.

Microsoft в виде особого исключения уже выпустила специальный патч для Windows XP, блокирующий атаку WannaCry.

Специалисты кибербезопасности говорят также, что помимо установки патчей в операционную систему организациям следует установить обновления на используемые ими сторонние приложения, чтобы надежнее защититься от атаки.
Всегда говорилось, что организациям следует регулярно обновлять резервные копии своих файлов, и эти резервные копии должны храниться на устройствах, не имеющих постоянного подключения к компьютерам в локальной сети, говорит Kaspersky Lab. Если есть текущие резервные копии, то «заражение шифровальщиком не станет катастрофой», говорят специалисты. «Вы можете потратить несколько часов на переустановку операционной системы и приложений, а потом восстановить свои файлы и продолжить работу».
Фирма KnowBe4, которая обучает мерам кибербезопасности, напоминает, что организациям следует проверить конфигурацию межсетевого экрана, обеспечив, что даже если вредоносное ПО проникнет в локальную сеть, его исходящий трафик будет блокирован. Кроме того, следует также отключить блок серверных сообщений SMB1 (Server Message Block), в котором и содержится используемая уязвимость), пишет фирма.

Организации могут также уменьшить риск инфицирования, установив шлюз защиты электронной почты, который фильтрует URL-адреса, пишет KnowBe4.
Есть инструменты для обнаружения программ-вымогателей как на самих клиентских системах, так и при попытках распространения в локальной сети. Некоторые инструменты могут также автоматически предотвратить шифрование файлов. Если инфицирование шифровальщиком всё же произошло, следует полностью стереть с жесткого диска (или SSD) всё содержимое и заново переустановить из образа на «голом железе», говорит KnowBe4. (Образ должен быть предварительно сохранен.)

Обучайте пользователей!
Специалисты кибербезопасности напоминают, что атаки с требованием выкупа распространяются во многом так же, как и другие кибератаки, - посредством фишинга через почту, инфицированных баннеров и методами «социальной инженерии». Ответственные за безопасность в организациях должны подчеркнуть (или вновь напомнить), что нельзя трогать непонятные ссылки, вложения в почте и подозрительные исполнимые (.exe) файлы, пишет Cybereason. Не лишним был бы также специальный тренинг для сотрудников, моделирующий типичные приемы социальной инженерии, говорит KnowBe4.