Visuotinis „Ransomware“ išpuolis ir kaip apsaugoti jūsų duomenis

Skelbimas

Visame pasaulyje kompiuteriai smogė didžiuliam kibernetiniam puolimui. Labai virulentiškas save atkartojantis išpirkos programų rinkinys - žinomas kaip „WanaCryptor“, „Wannacry“ arba „Wcry“ - iš dalies paskyrė Nacionalinės saugumo agentūros (NSA) išnaudojimą praėjusį mėnesį paleistas į gamtą Kibernetiniai nusikaltėliai turi CŽV įsilaužimo įrankius: ką tai reiškia jumsCentrinės žvalgybos agentūros pavojingiausia kenkėjiška programinė įranga, galinti nugriauti beveik visą bevielę buitinę elektroniką, dabar galėtų sėdėti vagių ir teroristų rankose. Taigi, ką tai reiškia tau? Skaityti daugiau įsilaužėlių grupės, žinomos kaip „The Shadow Brokers“.

Manoma, kad išpirkos programinė įranga užkrėtė mažiausiai 100 000 kompiuterių, antivirusinių programų kūrėjų teigimu, Avastas. Masinis išpuolis daugiausia buvo nukreiptas į Rusiją, Ukrainą ir Taivaną, tačiau jis išplito pagrindinėse institucijose mažiausiai 99 kitose šalyse. Infekcija taip pat pastebima ne tik reikalaujant 300 USD (apie 0,17 „Bitcoin“ rašymo metu) daugiakalbis požiūris į išpirkos užtikrinimą: kenkėjiška programa palaiko daugiau nei dvi dešimtis kalbomis.

Kas vyksta?

„WanaCryptor“ sukelia didžiulius, beveik precedento neturinčius sutrikimus. Išpirkos programinė įranga daro įtaką bankams, ligoninėms, telekomunikacijoms, elektros energijos įmonėms, ir kita būtinai misijai reikalinga infrastruktūra Kai vyriausybės užpuola: atidengta nacionalinės valstybės kenkėjiška programaKibernetinis karas vyksta dabar, yra paslėptas interneto, jo rezultatai retai pastebimi. Bet kas yra šio karo teatro žaidėjai ir kokie jų ginklai? Skaityti daugiau .

Vien tik Jungtinėje Karalystėje bent jau 40 NHS (Nacionalinė sveikatos tarnyba) patikos fondai paskelbė ekstremalias situacijas, priversdami atšaukti svarbius dalykus operacijos, taip pat kenkia pacientų saugai ir saugumui ir beveik neabejotinai sukelia žuvusiųjų.

Policija yra Southporto ligoninėje, o greitosios medicinos pagalbos automobiliai yra „palaikomi“ A&E, nes darbuotojai susiduria su tebevykstančia įsilaužimo krize #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 2017 m. Gegužės 12 d

„WanaCryptor“ pirmą kartą pasirodė 2017 m. Vasario mėn. Pradinė ransomware versija pakeitė paveiktus failų plėtinius į „.WNCRY“, taip pat pažymėdama kiekvieną failą eilute „WANACRY!“.

„WanaCryptor 2.0“ sparčiai plinta tarp kompiuterių, naudodamas išnaudojimą, susijusį su lygčių grupe, a įsilaužimo kolektyvas, glaudžiai susijęs su NSA (ir labai sklinda gandai, kad tai jų „nešvarus“ įsilaužimas į namus) vienetas). Gerbiamas saugumo tyrinėtojas Kafeine'as patvirtino, kad išnaudojimas, žinomas kaip ETERNALBLUE arba MS17-010, greičiausiai buvo paminėtas atnaujintoje versijoje.

„WannaCry“ / „WanaCrypt0r 2.0“ iš tikrųjų suaktyvina ET taisyklę: 2024218 „TINKAMAI išnaudoti galimą ETERNALBLUE MS17-010 aido atsaką“ pic.twitter.com/ynahjWxTIA

- „Kafeine“ (@kafeine) 2017 m. Gegužės 12 d

Keli išnaudojimai

Šis išpirkos programos protrūkis skiriasi nuo to, ką galbūt jau matėte (ir, tikiuosi, nepatyrėte). „WanaCryptor 2.0“ sujungia nutekėjusį SMB (serverio pranešimų bloką, „Windows“ tinklo failų mainų protokolą). išnaudokite naudodamiesi savarankiškai atkartojančia naudinga apkrova, leidžiančia išpirkos programoms plisti iš vienos pažeidžiamos mašinos į Kitas. Šis išpirkos kirminas panaikina įprastą užkrėstų el. Laiškų, nuorodų ar kitų veiksmų pristatymo išpirkos būdu programą.

Adomas Kujawa, Malwarebytes tyrėjas pasakojo „Ars Technica“ „Pradinį infekcijos vektorių mes vis dar bandome išsiaiškinti... Atsižvelgiant į tai, kad ši ataka atrodo tikslinės, tai galėjo būti padaryta arba dėl tinklo gynybos pažeidžiamumo, arba dėl labai gerai sukurto sukčiavimo puolimas. Nepaisant to, jis plinta per užkrėstus tinklus, naudodamas „EternalBlue“ pažeidžiamumą, užkrėsdamas papildomas nepateiktas sistemas. “

„WanaCryptor“ taip pat naudojasi „DOUBLEPULSAR“, kitas nutekėjęs NSA išnaudojimas CŽV įsilaužimas ir skliautas 7: naujausio „WikiLeaks“ leidimo vadovasVisi kalba apie „WikiLeaks“ - vėlgi! Bet ar tikrai CŽV tavęs nestebi per savo išmanųjį televizorių? Ar tikrai nutekėję dokumentai yra suklastoti? O galbūt tai yra sudėtingesnis dalykas. Skaityti daugiau . Tai užpakalinis duris, naudojamas kenksmingo kodo švirkštimui ir valdymui nuotoliniu būdu. Infekcija nuskaito pagrindinius kompiuterius, anksčiau užkrėstus užpakalinius duris, o radusi naudoja esamą funkcionalumą „WanaCryptor“ diegti. Tais atvejais, kai pagrindinėje sistemoje nėra esamų „DOUBLEPULSAR“ užpakalinių durų, kenkėjiškos programos grąžinamos į „ETERNALBLUE SMB“ išnaudojimą.

Kritinis saugos atnaujinimas

Dėl didžiulio NSA įsilaužimo įrankių nutekėjimo antraštės pasirodė visame pasaulyje. Čia yra neatidėliotinų ir neprilygstamų įrodymų, kad NSA renka ir kaupia neišleistus nulinės dienos eksploatacijos reikmenis savo reikmėms. Tai kelia didžiulę saugumo riziką 5 būdai apsisaugoti nuo nulio dienos išnaudojimoNulinis dienos išnaudojimas, programinės įrangos pažeidžiamumas, kurį išnaudoja įsilaužėliai, kol taps prieinamas pataisas, kelia realią grėsmę jūsų duomenims ir privatumui. Štai kaip galite išlaikyti įsilaužėlius. Skaityti daugiau , kaip mes matėme dabar.

Laimei, „Microsoft“ pataisytas „Eternalblue“ išnaudojimas kovo mėn., kol „Shadow Brokers“ masyvi ginklų rūšis išnaudojanti troba pasirodė antraštėse. Atsižvelgiant į išpuolio pobūdį, kad mes žinome, kad šis konkretus išnaudojimas yra vykdomas, ir greitą užkrėtimo pobūdį, atrodytų, kad daugybė organizacijų nepavyko įdiegti kritinio naujinimo Kaip ir kodėl reikia įdiegti tą saugos pataisą Skaityti daugiau - praėjus daugiau nei dviem mėnesiams po išleidimo.

Galiausiai nukentėjusios organizacijos norės žaisti kaltės žaidimą. Bet kur turėtų būti rodomas pirštas? Šiuo atveju yra tiek daug kaltės, kad dalijasi: NSA for atsargų kaupimas pavojingų nulinės dienos eksploatacijų Kas yra nulinės dienos pažeidžiamumas? [„MakeUseOf“ paaiškina] Skaityti daugiau , piktybiniai veikėjai, atnaujinę „WanaCryptor“ naudodamiesi nutekėjusiais išnaudojimais, daugybė organizacijų, kurios nepaisė kritinio saugumo atnaujinimo, ir kitos organizacijos, vis dar naudojančios „Windows XP“.

Žmonės galbūt mirė, nes organizacijos suprato, kad pagrindinės operacinės sistemos atnaujinimo našta yra tiesiog stulbinanti.

„Microsoft“ turi tuoj pat paleistas kritinis „Windows Server 2003“, „Windows 8“ ir „Windows XP“ saugos naujinimas.

„Microsoft“ leidimai #WannaCrypt nepalaikomų produktų „Windows XP“, „Windows 8“ ir „Windows Server 2003“ apsauga: https://t.co/ZgINDXAdCj

- „Microsoft“ (@Microsoft) 2017 m. Gegužės 13 d

Ar aš rizikuoju?

„WanaCryptor 2.0“ išplito kaip gaisras. Tam tikra prasme žmonės, nepriklausantys saugumo industrijai, pamiršo greitą viruso plitimą ir gali sukelti paniką. Šiame hiperprofiliuotame amžiuje kartu su kriptovaliutų programomis kenkėjiškų programų tiekėjai pateko į bauginantį nugalėtoją.

Ar jūs rizikuojate? Laimei, prieš JAV pabudus ir artėjant skaičiavimo dienai, „MalwareTechBlog“ rado kenkėjiškų programų kode paslėptą žudymo jungiklį, ribojantį infekcijos plitimą.

„Įjungimo mygtukas“ apėmė labai ilgą nesąmoningą domeno vardą - „iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com“ -, kurį kenkėjiška programa pateikia.

Taigi prie savo santraukos galiu pridėti tik „netyčia sustabdytą tarptautinę kibernetinę ataką“. ^^

- „ScarewareTech“ (@MalwareTechBlog) 2017 m. Gegužės 13 d

Jei užklausa vėl pateikiama tiesiogiai (t. Y. Priima užklausą), kenkėjiška programa neužkrečia kompiuterio. Deja, tai nepadeda jau užkrėstiems žmonėms. „MalwareTechBlog“ saugumo tyrinėtojas užregistravo adresą, norėdamas sekti naujas infekcijas pagal jų užklausas, nesuprasdamas, kad tai yra avarinio žudymo jungiklis.

#WannaCry dauginimo naudingoje apkrovoje yra anksčiau neregistruotas domenas, vykdymas nepavyksta dabar, kai domenas buvo panaikintas pic.twitter.com/z2ClEnZAD2

- Darienas Hussas (@darienhuss) 2017 m. Gegužės 12 d

Deja, yra tikimybė, kad egzistuoja ir kiti išpirkos programų variantai, kiekvienas su savo nužudymo jungikliu (arba jo visai nėra, atsižvelgiant į atvejį).

Pažeidžiamumą taip pat galima sumažinti išjungus SMBv1. „Microsoft“ pateikia išsamią mokymo programą apie tai, kaip tai padaryti „Windows“ ir „Windows Server“. „Windows 10“ taip gali būti greitai pasiekiamas paspaudžiant „Windows“ klavišas + X, pasirenkant „PowerShell“ (administratorius)ir įklijavus šį kodą:

Išjungti - „WindowsOptionalFeature -Online -FeatureName“ smb1protokolą

SMB1 yra senas protokolas. Naujesnės versijos nėra pažeidžiamos „WanaCryptor 2.0“ varianto.

Be to, jei jūsų sistema atnaujinta kaip įprasta, jūs esate toks mažai tikėtina pajusti tiesioginį šios konkrečios infekcijos poveikį. Nepaisant to, jei jūs atšaukėte NHS paskyrimą, bankiniai mokėjimai pasidarė klaidingi arba nepavyko pateikti gyvybiškai svarbaus paketo, esate paveikti, nepaisant to.

Žodžiu protingam, kad pataisytas išnaudojimas ne visada daro darbą. Conficker, kas nors?

Kas nutiks toliau?

Jungtinėse Amerikos Valstijose „WanaCryptor 2.0“ iš pradžių buvo apibūdinamas kaip tiesioginis NHS puolimas. Tai buvo atmesta. Tačiau išlieka problema, kad šimtai tūkstančių žmonių patyrė tiesioginį trikdymą dėl kenkėjiškų programų.

Kenkėjiška programa pasižymi išpuolio požymiais, turinčiais drastiškai nenumatytų padarinių. Kibernetinio saugumo ekspertas, daktaras Afzal Ashraf, pasakojo BBC kad „jie tikriausiai užpuolė mažą įmonę, manydami, kad gaus nedidelę pinigų sumą, tačiau ji pateko į NHS sistemą ir dabar jie turėti visą valstybės galią prieš juos - nes akivaizdu, kad vyriausybė negali sau leisti, kad toks dalykas įvyktų ir būtų sėkmingai “.

Žinoma, tai ne tik NHS. Ispanijoje, El Mundopraneša, kad 85 procentai kompiuterių Telefonica buvo paveiktas viruso. „Fedex“ įsitikino, kad nukentėjo jie, taip pat „Portugal Telecom“ ir Rusijos „MegaFon“. Tai yra, neatsižvelgiant ir į pagrindinius infrastruktūros tiekėjus.

Sukurti du „bitcoin“ adresai (čia ir čia), kad gautų išpirkas, dabar iš 42 operacijų yra 9,21 BTC (apie 16 000 USD). Tai sakė ir patvirtina „netyčinių padarinių“ teoriją, kad nėra sistemos identifikavimo, pateikto su „Bitcoin“ mokėjimais.

Gal man kažko trūksta. Jei tiek daug „Wcry“ aukų turi tą patį „bitcoin“ adresą, kaip devai gali pasakyti, kas sumokėjo? Kažkas ...

- „BleepingComputer“ (@BleepinComputer) 2017 m. Gegužės 12 d

Taigi, kas nutiks toliau? Prasideda valymo procesas, o paveiktos organizacijos skaičiuoja savo nuostolius - tiek finansinius, tiek duomenis. Be to, paveiktos organizacijos ilgai ir įdėmiai apžvelgs savo saugumo praktiką ir - I tikrai atnaujinkite, palikdami pasenusią ir dabar pavojingą „Windows XP“ operacinę sistemą už.

Mes tikimės.

Ar jus tiesiogiai paveikė „WanaCryptor 2.0“? Ar praradote duomenis ar atšaukėte susitikimą? Kaip manote, ar vyriausybės turėtų priversti atnaujinti misijai būtiną infrastruktūrą? Praneškite mums apie savo „WanaCryptor 2.0“ patirtį žemiau ir pasidalykite mums, jei mes jums padėjome.

Vaizdo kreditas: Viskas, ką darau per Shutterstock.com