Масштабна світова атака вірусів-здирників зачепила понад 200 000 жертв і продовжує зростати

Новий інструмент WannaCry Wanakiwi може врятувати більше даних людей

Марк Коппок 19 травня 2017 року

У п’ятницю, 12 травня 2017 року, компанія Avast, що спеціалізується на кібербезпеці, повідомила про масовану атаку вірусу-здирника, від якої постраждало понад 75 000 жертв у 99 країнах, а до вечора суботи кількість жертв зросла до понад 126 000 у 104 країнах. Хоча більшість цілей були розташовані в Росії, Україні і Тайвані, інші жертви були виявлені в Європі.

Зокрема, постраждала іспанська телекомунікаційна компанія Telefonica, а також лікарні у Великій Британії. За даними британської газети The Guardian, атаки вразили щонайменше 16 об’єктів Національної системи охорони здоров’я (NHS) та безпосередньо скомпрометували інформаційно-технологічні (ІТ) системи, які використовуються для забезпечення безпеки пацієнтів.

В основі вірусу-здирника WanaCryptOR, або WCry, лежить уразливість, яка була виявлена в протоколі Windows Server Message Block і виправлена в березневих оновленнях безпеки Microsoft Patch Tuesday 2017 року, повідомляє “Лабораторія Касперського”. Перша версія WCry була виявлена в лютому і з тих пір переведена на 28 різних мов.

Корпорація Microsoft відреагувала на атаку публікацією у власному блозі Windows Security, де ще раз підтвердила, що підтримувані на даний момент комп’ютери під управлінням Windows, на яких встановлені останні оновлення безпеки, захищені від шкідливого програмного забезпечення. Крім того, Windows Defenders вже було оновлено для забезпечення захисту в режимі реального часу.

“12 травня 2017 року ми виявили нову програму-вимагач, яка поширюється як черв’як, використовуючи вразливості, які були раніше виправлені”, – почалося резюме атаки від Microsoft. “Хоча оновлення безпеки автоматично застосовуються на більшості комп’ютерів, деякі користувачі та підприємства можуть затримувати розгортання патчів. На жаль, шкідливе програмне забезпечення, відоме як WannaCrypt, схоже, вплинуло на комп’ютери, які не застосували патч для цих вразливостей. Поки атака розгортається, ми нагадуємо користувачам про необхідність встановити MS17-010, якщо вони ще не зробили цього”.

Далі в заяві йдеться: “Телеметрія антивірусних програм Microsoft негайно зафіксувала ознаки цієї кампанії. Наші експертні системи надали нам видимість і контекст цієї нової атаки, що дозволило антивірусу Windows Defender забезпечити захист в режимі реального часу. Завдяки автоматизованому аналізу, машинному навчанню та прогнозному моделюванню ми змогли швидко захиститися від цього шкідливого програмного забезпечення”.

Avast також припустила, що основний експлойт був викрадений у Equation Group, яка підозрюється у зв’язках з АНБ, хакерською групою, яка називає себе ShadowBrokers. Експлойт відомий під назвою ETERNALBLUE і отримав код MS17-010 від компанії Microsoft.

Під час ураження шкідливе програмне забезпечення змінює назву уражених файлів на розширення “.WNCRY” та додає маркер “WANACRY!” на початку кожного файлу. Крім того, він поміщає свою вимогу про викуп у текстовий файл на комп’ютері жертви:

Потім програма-здирник відображає повідомлення з вимогою викупу в розмірі від 300 до 600 доларів США у валюті біткойн і надає інструкції про те, як заплатити, а потім відновити зашифровані файли. Мова інструкцій з викупу є напрочуд невимушеною і схожа на те, що можна прочитати в пропозиціях про купівлю товару в Інтернеті. Насправді, користувачі мають три дні на оплату до того, як сума викупу буде подвоєна, і сім днів на оплату до того, як файли більше не можна буде відновити.

Цікаво, що атака була сповільнена або потенційно зупинена “випадковим героєм”, який просто зареєстрував веб-домен, що був жорстко закодований в код програми-вимагача. Якщо цей домен відповідав на запит шкідливого програмного забезпечення, то воно припиняло заражати нові системи – діючи як своєрідний “вимикач”, який кіберзлочинець міг використати, щоб зупинити атаку.

Як зазначає The Guardian, дослідник, відомий лише як MalwareTech, який зареєстрував домен за $10,69, не знав про існування “вимикача”: “Я був на обіді з другом, повернувся близько 15:00 і побачив потік новин про те, що NHS та інші британські організації були атаковані. Я трохи подивився на це, а потім знайшов зразок шкідливого програмного забезпечення, яке стояло за цим, і побачив, що воно підключалося до певного домену, який не був зареєстрований. Тому я підняв його, не знаючи, що він робив на той момент”.

MalwareTech зареєстрував домен від імені своєї компанії, яка займається відстеженням бот-мереж, і спочатку саме їх звинуватили в ініціації атаки. “Спочатку хтось неправильно повідомив, що ми спричинили зараження, зареєструвавши домен, тому у мене була міні-істерика, поки я не зрозумів, що насправді все було навпаки, і ми зупинили це”, – розповів MalwareTech в інтерв’ю The Guardian.

Однак, швидше за все, це не кінець атаки, оскільки зловмисники можуть змінити код, щоб не включати перемикач. Єдине реальне рішення – переконатися, що машини повністю виправлені і на них встановлено правильне програмне забезпечення для захисту від шкідливого програмного забезпечення. Хоча метою цієї конкретної атаки є комп’ютери під управлінням Windows, MacOS також продемонструвала власну вразливість, тому користувачам ОС Apple також слід вжити відповідних заходів.

Набагато приємнішою новиною є те, що з’явився новий інструмент, який може визначити ключ шифрування, що використовується вірусом-здирником на деяких комп’ютерах, що дозволяє користувачам відновити свої дані. Новий інструмент, який називається Wanakiwi, схожий на інший інструмент, Wannakey, але він пропонує більш простий інтерфейс і потенційно може виправити машини, що працюють під управлінням більшої кількості версій Windows. Як повідомляє Ars Technica, Wanakiwi використовує деякі хитрощі для відновлення простих чисел, що використовуються при створенні ключа шифрування, в основному шляхом витягування цих чисел з оперативної пам’яті, якщо заражена машина залишається включеною і дані ще не були перезаписані. Wanawiki використовує деякі “недоліки” в інтерфейсі прикладного програмування Microsoft Cryptographic, який використовувався WannaCry та іншими програмами для створення ключів шифрування.

За словами Бенджаміна Делпі, який брав участь у розробці Wanakiwi, інструмент був протестований на низці машин із зашифрованими жорсткими дисками, і на деяких з них він успішно розшифрував дані. Серед протестованих версій були Windows Server 2003 і Windows 7, і Делпі припускає, що Wanakiwi буде працювати і з іншими версіями. За словами Делпі, користувачі можуть “просто завантажити Wanakiwi, і якщо ключ може бути побудований знову, він витягує його, реконструює (добре) і починає розшифровувати всі файли на диску. В якості бонусу, ключ, який я отримую, можна використовувати з дешифрувальником шкідливого програмного забезпечення, щоб він розшифровував файли, як якщо б ви заплатили”.

Недоліком є те, що ні Wanakiwi, ні Wannakey не працюють, якщо заражений комп’ютер був перезавантажений або якщо область пам’яті, де зберігаються прості числа, вже була перезаписана. Тому це, безумовно, інструмент, який слід завантажити і тримати напоготові. Для більшої впевненості слід зазначити, що компанія Comae Technologies допомагала у розробці та тестуванні Wanakiwi і може підтвердити його ефективність.

Завантажити Wanakiwi можна тут. Просто розпакуйте додаток і запустіть його, і зверніть увагу, що Windows 10 поскаржиться, що додаток є невідомою програмою і вам потрібно буде натиснути “Детальніше”, щоб дозволити йому працювати.

Марк Коппок / Digital Trends

Програми-вимагачі є одним з найгірших видів шкідливого програмного забезпечення, оскільки вони атакують нашу інформацію і блокують її за допомогою надійного шифрування, якщо ми не заплатимо гроші зловмиснику в обмін на ключ для її розблокування. У програм-вимагачів є щось особисте, що відрізняє їх від випадкових атак шкідливих програм, які перетворюють наші комп’ютери на безликих ботів.

Найкращий спосіб захиститися від WCry – переконатися, що на вашому комп’ютері з Windows встановлені останні оновлення. Якщо ви слідкували за розкладом Microsoft Patch Tuesday і використовували принаймні Windows Defender, то ваші комп’ютери вже повинні бути захищені – хоча наявність автономної резервної копії найважливіших файлів, які не можуть бути зачеплені такою атакою, є важливим кроком, який необхідно зробити. В майбутньому тисячі комп’ютерів, які ще не отримали виправлення, продовжуватимуть страждати від цієї широко розповсюдженої атаки.

Оновлено 5-19-2017 Марком Коппоком: Додано інформацію про інструмент Wanakiwi.

Рекомендації редакції

• Google, можливо, тільки що виправив найбільш дратівливу проблему Chrome
• Я замінив свій MacBook на Quest Pro на цілий робочий тиждень. І ось що з цього вийшло
• Ось додатки, які змусили мене приклеїтися до Quest Pro
• Windows 11 проти Windows 10: нарешті настав час оновитися?
• Хакери опускаються до нового мінімуму, викрадаючи облікові записи Discord в атаках з вимогою викупу