WannaCry: текущая ситуация
16 мая 2017
Рубрика: Новости.
Автор: .

Центр обеспечения информационной безопасности продолжает анализировать ситуацию…

По утверждению ряда экспертов, пятничная атака вируса-вымогателя «WannaCry» поразила более 200 000 компьютеров в 150 странах. Благодаря этому, данная атака стала «беспрецедентной по своему размеру». Но о полном масштабе заражений говорить пока рано, так как ряд исследователей, экспертов и энтузиастов информационной безопасности начали говорить о второй волне атаки. Напомним, что первую атаку удалось остановить путем регистрации доменного имени, которое было указано как «выключатель» в исходном коде вируса.

Вирус «WannaCry» сочетает функциональность криптографического вымогателя и червя, распространяясь по случайным IP-адресам после заражения компьютера, используя критическую уязвимость во всех версиях Windows.

Очень важно знать, в том числе рядовым пользователям, как вирус работает. Несуществующее изначально доменное имя в коде позволяло вирусу-вымогателю определять «сел» ли он на физический хост, или же функционирует внутри виртуальной машины, например в «песочнице». В последнем случае, он просто не исполнялся, и увидеть его функционал было невозможно. К такому же выводу пришел и британский специалист по безопасности, автор блога «MalwareTech Blog», который оперативно зарегистрировал доменное имя «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com», к которому обращалась каждая версия вируса-вымогателя перед выполнением вредоносного кода. Позже выяснилось, что это доменное имя программа использовала в качестве «аварийного стоп-крана», вероятно все же для того, чтобы защититься от анализа специалистами своей функциональности в виртуальной среде (песочнице). Несмотря на сообщения об остановке вируса-вымогателя, эксперты сразу выступили с предупреждениями, что расслабляться рано.

По их мнению, в ближайшее время можно ожидать появления новой версии вируса-вымогателя без подобного ограничителя. Так, несколько часов назад некий сотрудник «Microsoft» сообщил в Twitter об обнаружении нового варианта WannaCry с видоизменённым «стоп-краном», который проверял уже другой домен «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[dot]com» перед выполнением. С этой информацией можно ознакомиться здесь.

Моментально была подана заявка на регистрацию и запуск и этого домена, чтобы остановить вторую волну атаки.

Общий механизм работы вируса-вымогателя и механизм обнаружения песочницы остался прежним. Как и раньше, в случае успешного запроса к доменному имени выполнение программы прекращается. Но теперь есть основания предполагать, что существует несколько вариантов зловреда с разными доменными именами, прошитыми в коде.

К настоящему времени стало известно и о третьем варианте вируса-вымогателя WannaCry.

Третий вариант обнаружила «Лаборатория Касперского» — и там выключатель отсутствует. К сведению, этот вариант не может извлечь свои исполняемые файлы из-за поврежденного архива. Одно можно утверждать несомненно – увеличение масштабов массового заражения вирусом-вымогателем еще предстоит.

Следует быть готовыми к появлению новых вариантов WannaCry, которые, наверняка будут модернизированы и станут более изощренными. А временную передышку необходимо использовать для принятия мер по защите своих данных от вирусной атаки.

Напоминаем, что «Microsoft» оперативно выпустила патчи для исправления уязвимости «Microsoft Security Bulletin MS17-010», в том числе и для тех версий операционных систем, которые она официально прекратила поддерживать:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Уязвимость также можно закрыть, полностью отключив поддержку SMBv1:
https://www.saotn.org/disable-smbv1-windows-10-windows-server/

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В Одноклассники
ВКонтакте