В минувшую пятницу вирус WannaCrypt (WannaCry, WCry) поразил десятки тысяч компьютеров по всему миру. Одномоментная активация вымогателя привлекла внимание СМИ, которые в силу разных причин очень неточно описали инцидент. Постараемся коротко и доступной форме рассказать о том, что на самом деле происходит.
Что случилось?
Примерно 21:40 по московскому времени на десятках тысяч компьютеров по всему миру (по большей части в России) началась активация вируса-вымогателя (ransomware). Бурная реакция СМИ была вызвана сочетанием ряда факторов. Во-первых, вирус вмешался в работу значимых учреждений, таких как больницы или розничные магазины. В России, в частности, WannaCry полностью нарушил работу компьютеров службы поддержки и сети салонов оператора «МегаФон». Во-вторых, на фоне информационного затишья в пятницу вечером, ряд изданий и телеканалов попытались немного расширить аудиторию используя громкие заголовки. Это оказалось совсем несложным, ведь совсем недавно широко освещались политические скандалы, связанные с компьютерной безопасностью. Страшный вирус-вымогатель идеально вписался в этот сюжет. Ну и в-третих, уязвимость, использованная для распространения WannaCry была известна ранее и ее обнаружение сопровождалось скандалом, так как вероятно, что она эксплуатировалась спецслужбами много лет подряд.
Не смотря на впечатляющую карту мира, на которой «в реальном времени» показывают распространение WannaCry, масштаб атаки не является уникальным. Злоумышленники используют уязвимости постоянно, и неоднократно это приводило к заражению многих миллионов компьютеров. Просто какие-то из этих инцидентов не так активно освещались в прессе, о каких-то публика уже забыла.
Утверждается, что WannaCrypt поразил около 70 тысяч компьютеров по всему миру. Но, к примеру, почти десять лет назад червь ILOVEYOU смог заразить 75 тысяч машин всего за несколько минут, а по итогу первых десяти дней он проник уже в 50 миллионов компьютеров. При этом нужно помнить, что количество подключенных к сети устройств в середине нулевых было значительно меньше, а каналы связи были в разы медленней.
Не являются чем-то новым и программы-вымогатели шифрующие файлы. Специалистам хорошо известны как минимум десятки образцов подобных вирусов, не говоря уже о многочисленных случаях их применения.
Отличительной особенностью WannaCrypt является эксплуатация уязвимости в Windows, которая позволяет осуществить удаленное исполнение кода (RCE — remote code execution). Уязвимости такого класса считаются самыми опасными, так как для получения контроля над системой не требуется никаких действий со стороны пользователя.
В апреле 2017 года хакерская группа Shadow Brokers опубликовала в открытом доступе набор инструментов для проведения атак на компьютерные системы. Утверждалось, этот набор, как и публиковавшиеся хакерами ранее, используется АНБ (агентством национальной безопасности США) для проведения спецопераций. Можно предположить, что целью публикации было лишение АНБ возможности пользоваться данным набором инструментов, так как появление в публичном доступе даже описания подобных атак, как правило, приводит к оперативному закрытию уязвимостей. Это и произошло — довольно оперативно Microsoft выпустила несколько обновлений, которые ликвидируют опубликованные уязвимости (кроме Windows XP снятой с поддержки*).
Подобные атаки не являются редкостью. Нужно понимать, что люди эксплуатирующие подобные уязвимости столь топорным образом и люди умеющие их находить и писать соответствующее ПО — это разные люди, даже если речь идет о самых нелепых дырах в системе безопасности.
Например, зимой группа немецких студентов обнародовала исследование, рассказывающее о беспечности большого количества администраторов баз данных MongoDB, которые не выполнили настройку доступа к базе данных после установки и не использовали файрвол. Как результат любой желающий мог просто подключиться к базе зная лишь IP-адрес машины на которой она установлена. Вскоре после публикации появились сообщения о многочисленных утечках данных, а через некоторое время стало известно и о случаях вымогательства. В одну из пятниц многие сисадмины обнаружили потерю данных и сообщения о возможности их восстановить заплатив выкуп в биткойнах эквивалентный сумме от 200 до 500 долларов. Текст с угрозами также указывал на то, что по истечении некоторого времени сумма выкупа возрастёт.
По большому счету, это все та же схема, которая использовалась в конце нулевых многочисленными троянами типа Winlock. Изменены лишь детали: вместо платных смс стали использоваться биткойны, а вместо примитивной блокировки рабочего стола в ход пошла порча пользовательских данных. Что же касается самого эксплойта — с самого начала не было никаких сомнений в том, что попадание столь мощного инструмента в руки сомнительной публики не останется без последствий.
Обычно в случае публикации данных о какой-либо уязвимости, в течение нескольких дней появляются инструменты для создания вредоносного ПО. В случае же с WannaCrypt был опубликован сразу сам инструмент и сделано это было максимально публично. В этой ситуации предсказать последствия не составляло никакого труда, вопрос был лишь в сроках. Стоит отметить, что с момента появления официального патча Microsoft прошло уже несколько недель. Этого времени было более чем достаточно для установки любых обновлений, и относительно небольшое количество систем, заблокированных вирусом 12 мая, говорит о том, что большинство IT-служб успели установить все необходимые заплатки. Массовое поражение компьютеров в отдельных компаниях говорит не столько об опасности вируса, сколько о качестве работы IT-служб пострадавших организаций. Показательно и то, что по предварительной информации, большинство пострадавших машин работали под управлением устаревшей Windows XP.
Учитывая географию распространения WannaCrypt нельзя исключить, что к этой атаке причастны отечественные любители легкого заработка. Тем более, что некоторые персонажи уже должны были выйти на свободу после ряда неудач с смс-каналом монетизации.
Как защититься?
Уязвимость затрагивает только операционные системы Windows. Если у вас актуальная система (Windows 7 и выше) и вы устанавливаете обновления безопасности, то WannaCrypt не представляет для вас угрозы.
Для того, чтобы закрыть уязвимость необходимо установить обновления безопасности или отключить службу SMBv1.
Для устаревших систем снятых с поддержки (Windows Server 2003, Windows XP SP2 и SP3) Microsoft сегодня в виде исключения выпустила патч. (Прямые ссылки на наиболее распростренненные в нашей стране конфигурации: Windows XP SP3 (kb4012598, rus, x86), Windows Server 2003 (kb4012598, rus, x86))
Отключение и удаление службы SMBv1 подробно описано в официальном руководстве.
Если вы используете PowerShell, то можно отключить SMBv1 выполнив следующую команду:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
или редактированием реестра, установив в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0
Можно вообще удалить службу SMBv1 все в той же PowerShell:
sc.exe config lanmanworkstation depend=browser/mrxsmb20/nsisc.exe config mrxsmb10 start=disabled
Еще одной мерой (хотя в некоторых случаях она может оказаться излишне радикальной), которая может ограничить распространение WannaCrypt является закрытие TCP-портов 135 и 445.
Кроме того, в коде вредоносной программы специалистами был обнаружен пароль, который позволяет расшифровать пораженные файлы: WNcry@2ol7