Что такое вирус WannaCry, история, принцип работы и другие вымогатели

520
preview

Вирус-вымогатель WannaCry — вредоносное программное обеспечение для ПК и ноутбуков, обнаруженное в мае 2017-го. Распространялось через ПО типа «рансомвар», то есть шифровало файлы жертвы и требовало выкуп в Bitcoin для раскодирования. Ванна Край за короткий промежуток времени атаковал тысячи компьютеров и сетей.

Компьютерный вирус использовал уязвимость в ОС Windows под названием EternalBlue, которая разработана и украдена из Национального Секретного Агентства (NSA) США. Злоумышленники использовали проблему для распространения вредоносного ПО по сети, заражая подходящие ПК.

Ниже рассмотрим, как и когда появился WannaCry. Приведем его принцип работы, особенности попадания на компьютер или ноутбук, последствия для владельца. Разберемся, что происходит в случае отсутствия действий, выделим структуру, способы обнаружения и другие особенности. Дадим рекомендации, как защититься от проблемы, рассмотрим вопросы и ответы по теме.

Хронология развития вируса WannaCry

Впервые вредоносная программа появилась в мае 2017-го. Распространение осуществлялось через уязвимость в ОС Windows, которая была изначально обнаружена и использована АНБ (NSA) США.

Проблема EternalBlue, была утечкой бюро и попала в руки группы хакеров, которые впоследствии создали вирус WannaCry. «Вечный синий» эксплуатировал уязвимость в протоколе SMB (Server Message Block), используемом для обмена файлами и принтерами в сетях Windows. Позволяла внедрить вредоносный код на целевой компьютер без необходимости пользовательского взаимодействия.

После того как вирус WannaCry запустили, он начал распространяться через сеть, сканируя уязвимые компьютеры и автоматически заражая их. Вирус кодировал сведения на ПК жертв и требовал выкуп в Bitcoin для расшифровки. Хакеры зашифровывали данные и оставляли на экране компьютера сообщение с требованиями выкупа.

WannaCry затронул тысячи организаций, включая больницы, транспортные компании, банки и госучреждения. После обнаружения вируса Microsoft выпустила экстренное исправление уязвимости, которая использовалась в атаке. При этом многие компьютеры оставались не обновленными, а вирус продолжал причинять ущерб в течение нескольких дней.

Кто создал

WannaCry разработан группой хакеров под названием Lazarus Group. Это преступная организация, связанная с Северной Кореей. Она также имела отношение к другим атакам, включая нападение на Sony Pictures в 2014-м. Более подробной информации о членах команды нет.

Принцип работы вируса WannaCry

Как работает вирус WannaCry?

Вымогатель использует комбинацию нескольких методов для работы:

  • Инфицирование: вредоносное ПО распространяется через сеть, сканируя уязвимые компьютеры. Оно ищет ПК, которые не были обновлены с патчем безопасности, выпущенным Microsoft для исправления уязвимости EternalBlue. После нахождения проблемного компьютера вирус внедряется в систему.
  • Распространение: WannaCry использует слабое место, чтобы распространяться по сети и заражает другие ПК в той же локальной сети. Работа выполняется путем сканирования с последующей атакой.
  • Шифрование файлов. После заражения компьютера WannaCry кодирует информацию на жестком диске с помощью алгоритма AES. Шифрование затрагивает документы, изображения, видео и тд.
  • Вымогательство выкупа. На экране отображается сообщение с требованием выкупа в Bitcoin для раскодирования данных. В описании указываются инструкции о том, как произвести оплату и получить ключ для снятия кодировки.
  • Продолжение заражения. Использование уязвимости в протоколе SMB, чтобы перехватывать учетные данные и получить доступ к другим ПК.
  • Остановка процесса. Вирус WannaCry пытается подключиться к доменному имени и проверить его наличие. Если оно активно, ПО прекращает деятельность и не распространяется дальше. Эту особенность эксперты использовали для борьбы с мошенничеством.

Структура

Конструкция компьютерного вируса WannaCry сформирована из нескольких элементов:

  • Загрузчик (Loader). Первый компонент, который запускается при заражении системы. Отвечает за инициализацию и запуск вредоносного кода WannaCry.
  • Вредоносный исполняемый файл (Malicious Executable). Главный элемент вируса WannaCry. Содержит код, отвечающий за сканирование сети, эксплуатацию уязвимости и шифрование.
  • Компоненты эксплойта (Exploit Components). Ванна Край использует уязвимость EternalBlue для распространения по сети. Содержит код, который эксплуатирует SMB и позволяет вирусу получить удаленный доступ к целевым ПК. Вредоносное ПО также содержит другие компоненты эксплойта, которые используются для распространения через иные уязвимости или методы.
  • Узлы шифрования (Encryption Components). WannaCry применяет AES, которые отвечают за генерацию ключа кодирования для каждого файла и их содержимого, а также хранение ключей.
  • Элементы вымогательства (Ransomware Components). Компоненты отвечают за отображение сообщения, включая инструкции о платеже и контактные данные для связи с хакерами.
  • Функционал для самораспространения (Self-Propagation Components). Компонент содержит код, который осуществляет поиск уязвимых компьютеров, эксплуатирует уязвимость и передает вирус на целевые системы.

Как обнаружить

Как найти WannaCry на своем компьютере?

Обнаружить  WannaCry после заражения сложно. Выделим признаки и методы, которые помогают выявить вредоносное ПО:

  • файлы имеют новое расширение или непонятные изменения в их названии или содержимом;
  • отображение вымогательского сообщения на экране компьютера после завершения кодирования;
  • обнаружение и предупреждение о наличии вредоносных программ со стороны антивирусного обеспечения;
  • мониторинг сетевых портов и протоколов для распространения и коммуникации с командным сервером;
  • проверка логов и приложений на наличие подозрительных действий, ошибок или событий.

Что происходило в случае отказа от выплат

Если жертва вируса-вымогателя отказывается платить выкуп, могут возникнуть следующие последствия:

  • Потеря данных. WannaCry шифрует файлы на компьютере жертвы, и без ключа доступ становится невозможным. Если жертва отказывается платить, она рискует потерять доступ к сведениям.
  • Угроза печати данных. Некоторые вирусы-вымогатели угрожают публиковать украденные данные или сделать их общедоступными, если выкуп не будет уплачен. Часто это влечет серьезные последствия, если в украденных данных содержится конфиденциальная или чувствительная информация.
  • Возможность повторных атак. Если жертва не платит выкуп и не принимает меры для полного удаления вредоносной программы с компьютера, она остается уязвимой для дальнейших атак или заражений. Злоумышленники могут использовать уязвимости в системе или повторно зашифровать файлы в попытке заставить жертву изменить решение.
  • Утрата репутации и финансовые потери. Отказ от выплаты выкупа и возможная утеря данных могут нанести ущерб репутации организации. Кроме того, восстановление системы и информации после атаки требует финансовых затрат.

Несмотря на такие последствия от действий WannaCry, платить выкуп не рекомендуется. Уплата не гарантирует возврата файлов или восстановления доступа к системе, а также стимулирует злоумышленников продолжать деятельность и атаковать других пользователей. Лучшей стратегией является предотвращение заражения вредоносными программами-вымогателями путем регулярного обновления ПО, использования антивирусного программного обеспечения и создания резервных копий данных. Подробнее на этом вопросе остановимся ниже.  

Как скачивался вирус WannaCry

Вымогатель использовал несколько каналов для инфицирования компьютеров и распространения по сети:

  • Уязвимость EternalBlue в протоколе SMB (Server Message Block). Позволяла вирусу получить удаленный доступ к компьютерам с проблемными версиями операционной системы Windows, не требуя от пользователя никаких действий. WannaCry сканировал сеть в поисках проблемных ПК и эксплуатировал уязвимость для заражения.
  • Phishing-атаки. Иногда WannaCry мог распространяться через электронные письма и вредоносные вложения, а также ссылки на опасные сайты. При открытии файла или переходе по URL вирус запускался и начинал деятельность на компьютере жертвы.
  • Внедрение внутри сети. Если один ПК в локальной сфере уже был заражен WannaCry, он мог распространяться на другие компьютеры. Это происходило путем сканирования сети и эксплуатации уязвимости EternalBlue.

Как вирус выбирает ПК

Как WannaCry выбирает жертву?

Вымогатель WannaCry определяет компьютеры для заражения и распространения по сети, используя следующие методы:

  1. Сканирование IP-адресов и поиск ПК, которые подключены к сети и доступны для взаимодействия. Может использовать алгоритмы перебора или случайный выбор Ай-Пи.
  2. Проверка открытых портов на найденных IP-адресах, чтобы определить, есть ли на компьютере уязвимости, которые можно эксплуатировать. В случае WannaCry, он ищет уязвимость EternalBlue в протоколе SMB (используется порт 445) для определения подверженности системы.
  3. Контроль версии операционной системы на целевом компьютере. Вирус специально нацелен на уязвимые варианты ОС Windows, такие как XP, 7 и Server 2008 R2. Если ПК работает на одной из этих версий, WannaCry приступает к эксплуатации уязвимости.
  4. Распространение внутри сети. Здесь используется принцип, который уже рассматривался выше.

Жертвы вируса-вымогателя

Использование WannaCry в 2017-м стало кибератакой, затронувшей тысячи организаций. Выделим следующих жертв злоумышленников:

  1. Национальная система здравоохранения Великобритании (NHS). Вымогатель повлиял на медицинские учреждения, приведя к временной недоступности услуг и задержке лечения пациентов.
  2. Телекоммуникационные компании. Некоторые организации, включая Телефонию (Telefónica) в Испании, были затронуты атакой WannaCry. Это вызвало проблемы с доступом к сети и обслуживанию клиентов.
  3. Транспортные системы. Вирус-вымогатель оказал влияние на некоторые представители сети, включая железные дороги и авиакомпании. Атака приводила к задержкам и отменам рейсов.
  4. Финансовые учреждения. Многие банки были атакованы WannaCry. Это могло привести к временной недоступности онлайн-банкинга и других финансовых услуг.
  5. Государственные организации. Вирус затронул многие структуры на уровне государства, включая некоторые министерства и учреждения, приводя к нарушениям работы и доступности информации.

Среди жертв вредоносного ПО были и люди, многие из которых пошли на условия преступной организации.

Как лечить от WannaCry и других вирусов-вымогателей

Если ПК заражен вирусом WannaCry или другим вымогателем, следует немедленно принять следующие шаги:

  1. Отключите компьютер от сети, чтобы предотвратить дальнейшее распространение вируса. Помогает предотвратить заражение других ПК.
  2. Проверьте, что ОС и установленные программы обновлены до последних версий. WannaCry эксплуатирует уязвимости в Windows, которые исправлены патчами, выпущенными Microsoft. Загрузите и установите обновления с официального сайта компании.
  3. Запустите антивирусный софт на зараженном ПК и выполните полное сканирование. Обновите антивирусы, чтобы обнаружить и удалить вредоносные файлы.
  4. Используйте специализированные утилиты и инструменты для обнаружения и удаления вредоносного ПО. Обратитесь к официальным сайтам антивирусных компаний и организаций по информационной безопасности для получения таких инструментов.
  5. Попытайтесь восстановить файлы их из резервной копии данных, если таковая имеется. Убедитесь, что она создана до заражения вирусом WannaCry.

Если попытки удалить вымогателя не дали результатов, или вы не уверены в действиях, рекомендуется обратиться за помощью к профессионалам в области информационной безопасности или технической поддержки.

Топовые антивирусы для защиты

Каким софтом защититься от WannaCry?

Когда речь идет о защите от WannaCry и других подобных угроз, важно использовать надежное антивирусное программное обеспечение. Приведем список программ, способных помочь в защите от WannaCry:

  • Kaspersky Anti-Virus. Известен надежностью в обнаружении и блокировке вредоносных программ, включая вирусы-вымогатели.
  • Bitdefender Antivirus Plus. Еще одно популярное решение, которое обеспечивает защиту от WannaCry и других угроз. Bitdefender предлагает антивирусный сканер, систему предотвращения вторжений, веб-фильтры и другие функции безопасности.
  • Norton AntiVirus Plus. Нортон считается проверенным брендом в области кибербезопасности. Функции: интеллектуальный движок защиты, защита от вредоносных веб-сайтов и инструменты для проверки загрузок файлов.
  • Avast Free Antivirus. Бесплатное решение, которое предлагает базовую защиту от вирусов, включая WannaCry и предлагает дополнительные функции: фишинг-защита и инструменты оптимизации.
  • McAfee Total Protection. Предлагает полнофункциональное решение для защиты от угроз, включая вирусы-вымогатели. Включает брандмауэр, антиспам и другие функции.

Какие меры приняты

Атака вируса WannaCry в 2017-м вызвала ответные меры со стороны организаций и государственных структур:

  • Выпуск обновлений безопасности Microsoft для закрытия уязвимости EternalBlue, использованной вирусом WannaCry. Позволило установить патчи и обновления, чтобы защитить системы от подобных атак.
  • Распространение информации и руководств о мероприятиях по повышению кибербезопасности. Предоставили пользовательские сведения о том, как защитить системы, включая регулярное обновление ПО, использование надежных антивирусных программ и осторожность при открытии вложений в email.
  • Улучшение сотрудничества и обмен информацией о новых угрозах и атаках. Это позволяет обнаруживать и бороться с вирусами-вымогателями.
  • Обновление политик безопасности и усиление мер защиты, включая регулярную установку новых версий ПО, обучение сотрудников и внедрение строгого контроля доступа.
  • Усиление международного сотрудничества для борьбы с киберугрозами. Государства и мировые организации начали укреплять усилия в этой области, обмениваясь информацией, координируя действия и совместно разрабатывая стратегии защиты.

Аналогичные вирусы-вымогатели: ТОП самых опасных

Было разработано и распространено десятки вирусов-вымогателей, которые функционируют аналогично WannaCry, шифруя файлы на компьютерах жертв и требуя выкуп. Приведем некоторые из них.

Petya и NotPetya

Эти угрозы появились в 2017-м году, имеют схожие характеристики, но различаются по природе и способу действия:

  • Petya обнаружен в 2016-м и представляет собой вредоносную программу-вымогатель, которая шифрует загрузочный сектор диска (Master Boot Record, MBR). Это делает невозможным запуск операционной системы. Petya распространялся через инфицированные веб-сайты и вредоносные вложения электронной почты. После заражения он требовал от пользователя уплатить выкуп в Bitcoin для получения ключа для расшифровки данных.
  • NotPetya появился в июне 2017-го. В отличие от оригинального Petya он не был исключительно программой-вымогателем. Вместо этого софт специально разрабатывался для атаки на целевые компьютерные сети. NotPetya использовал уязвимость EternalBlue для распространения по сети, аналогично WannaCry. Цель заключалась в нанесении ущерба и разрушении, а не в вымогательстве. Он шифровал файлы, но раскодирование после уплаты выкупа была невозможно, поскольку такая опция не была доступной.

Оба вируса привлекли внимание в связи с масштабом и разрушительностью атак. Они нанесли ущерб организациям по всему миру, подчеркивая необходимость принятия мер по обеспечению кибербезопасности.

Locky

Locky — вредоносная программа-вымогатель, которая была активна в 2016-м. Распространялся вирус преимущественно через спам-письма, содержащие вложения в формате Microsoft Office (например, файлы Word или Excel) или ссылки на вредоносные страницы в интернете. Когда пользователь открывал письмо или переходил по ссылке, Locky загружался на компьютер и начинал шифровать файлы. Последние получали новое расширение, например “.locky” или “.zepto”, и становились недоступными для пользователя. Под удар попадали документы, фотографии, видео, архивы и другие.

После шифрования файлов Locky отображал вымогательское сообщение на экране компьютера. Сообщение содержало инструкции о том, как пользователь может расшифровать = заплатить определенную сумму в Bitcoin в установленный срок. В противном случае предусматривалось полное удаление ключа. Сумма выкупа зависела от версии Locky и требований злоумышленников.

После заражения одного компьютера вирус-вымогатель использовал сетевые ресурсы, чтобы распространиться и заразить другие ПК в той же сети. Он ищет доступные сетевые шары и другие уязвимые компьютеры для распространения вредоносного кода.

Locky массовым вирусом-вымогателем, который привлек внимание и нанес ущерб тысячам организаций. Он продемонстрировал необходимость в регулярном обновлении ПО, осторожности при открытии вложений в электронной почте и резервном копировании данных для защиты от угроз.

CryptoLocker

Вирусов-вымогатель действовал с 2013 по 2014 год. Распространялся через письма по электронной почте, в которых прикреплялся вредоносный файл в формате ZIP или PDF. Пользователь, открывая вложение или переходя по ссылке, активировал код.

После попадания на ПК CryptoLocker кодировал файлы на компьютере с применением асимметричного шифрования. Вирус генерировал пары ключей — публичный и приватный. Последний использовался для кодирования файлов, а первый для расшифровки. Кодировались фотографии, видео, архивы и тд.

После завершения «черного дела» CryptoLocker отображал вымогательское сообщение, в котором содержались инструкции о расшифровки файлов. Это требовало уплаты выкупа в цифровой валюте в установленный срок. В случае неуплаты появлялась угроза удаления приватного ключа, делающего расшифровку файлов невозможной.

CryptoLocker использовал сложную инфраструктуру команды, включающую серверы и систему управления, которая применялась для обработки выкупных платежей и предоставления ключей. Это позволяло злоумышленникам автоматизировать процесс и быстро реагировать на платежи. Крипто Локер вызвал панику среди пользователей и причинил ущерб в миллионы долларов.

Ryuk

Зловредное программное обеспечение-вымогатель, которое начало действовать в августе 2018-го. Это высокоорганизованная угроза, нацеленная преимущественно на крупные организации и компании.

Ryuk, как и рассмотренные выше «коллеги», попадал на ПК через спамные письма, содержащие вредоносные вложения, а также через эксплуатацию уязвимостей в ПО. Некоторые варианты применяли сетевые уязвимости для распространения внутри сети.

После заражения запускалось шифрование файлов на компьютере с помощью асимметричного метода. Кодировались различные типы данных, включая документы, базы данных, архивы и другие. Файлы получали новое расширение, например, “.ryk”.

После завершения процесса Ryuk отображает сообщение с требованиями на экране. В нем содержатся инструкции о том, как пользователь может расшифровать файлы путем оплаты выкупа в криптовалюте.

Ryuk имеет ряд особенностей, которые делают его относительно сложным в обнаружении и обходе. Например поддержка “детектирования песочницы” (sandbox detection), что позволяет избежать обнаружения вредоносного ПО. Считается, что Ryuk имеет связь с другой киберпреступной группировкой TrickBot. 

Sodinokibi/REvil

Этот вирус-вымогатель начал деятельность в 2019-м. Используется преступными группировками для атак на организации и компании. Чаще всего распространяется через спам-письма, уязвимости или через компрометацию удаленного рабочего стола (RDP). Достигается путем отправки вредоносных вложений в e-mail, использования вредоносных ссылок и другими методами.

После заражения запускается шифровка файлов на компьютере жертвы с помощью асимметричного шифрования. Кодируются фото, видео, архивы и другие типы файлов. Они получают новое расширение: .sodinokibi или .revil.

Далее Sodinokibi/REvil отображает сообщение на экране. В нем приводится инструкция о том, как пользователь может расшифровать файлы путем оплаты выкупа в криптовалюте, чаще в Bitcoin. 

Кроме шифрования, вирус-вымогатель известен способностью кражи и утечки конфиденциальных данных. Злоумышленники могут требовать выкуп не только за расшифровку, но и за предотвращение публикации или продажи украденных сведений.

Sodinokibi/REvil имеет развитую инфраструктуру команды, включая серверы команды и систему управления, которая используется для координации атак и обработки выкупных платежей. 

Важно принимать меры предосторожности при открытии вложений в электронной почте, использовании антивирусного ПО и регулярного резервного копирование данных для защиты от подобных угроз.

Профилактика

Защита от вирусов-вымогателей — аспект обеспечения кибербезопасности. Для предотвращения рассмотренных выше угроз важно делать следующие шаги:

  • Регулярно обновляйте ОС и установленные программы до последних версий. Уязвимости в ПО используются злоумышленниками для распространения вирусов-вымогателей. Обновления включают исправления проблем, которые часто предотвращают атаку.
  • Используйте надежное антивирусное ПО и обновляйте его регулярно. Такая программа помогает в обнаружении и блокировке вредоносных программ, включая вирусы-вымогатели.
  • Будьте внимательны при открытии электронных писем от неизвестных отправителей. Не открывайте вложения из недоверенных источников и не кликайте на подозрительные ссылки. Спам-письма часто содержат опасные вложения, которые могут запустить вирус-вымогатель на компьютере.
  • Регулярно создавайте резервные копии информации на отдельных носителях, которые не подключены к ПК или сети. В случае заражения вирусом-вымогателем можно восстановить информацию из резервной копии.
  • Используйте сетевые механизмы безопасности. Установите и настройте фаерволы, системы обнаружения вторжений и другие средства, чтобы защитить сеть от несанкционированного доступа и распространения вредоносного ПО.
  • Проводите обучение и информируйте пользователей о возможных угрозах, таких как фишинговые атаки и вредоносные вложения. Обучение сотрудников поможет им узнать признаки подозрительных писем и как соблюдать безопасные практики.
  • Проводите регулярные проверки систем на наличие уязвимостей. Это помогает быстро выявить подозрительную активность и своевременно принять меры.

Применение упомянутых шагов помогает укрепить защиту от вирусов-вымогателей. Угрозы постоянно развиваются, поэтому регулярное обновление и соблюдение упомянутых советов необходимо.

Последствия для мира

Атака вируса WannaCry имела влияние на мир и вызвала резонанс в международном масштабе. Последствия:

  • Недоступность услуг. Организации, которые затронул WannaCry столкнулись с временной невозможностью осуществлять свою деятельность.
  • Финансовые потери. Атака вируса-вымогателя нанесла убытки организациям, которые были заражены. Отказ от платежей или временная недоступность сервисов привели к потере доходов, дополнительным расходам на восстановление систем и данных.
  • Угроза безопасности. Действие Ванна Край подчеркнуло уязвимость компьютерных систем и сетей перед киберугрозами. Это привело к осознанию необходимости обновления ПО, установки патчей безопасности, принятия мер по защите от вирусов-вымогателей и другого подобного софта.
  • Влияние на общество. Атака привлекла интерес СМИ. Это создало общую тревогу и осознание угрозы кибербезопасности.
  • Международное сотрудничество. WannaCry стимулировал усиление борьбы с киберугрозами на мировом уровне. Государства и организации начали обмениваться данными, совместно разрабатывать стратегии защиты и координировать действия для предотвращения атак в будущем.
Что такое вирус WannaCry?

Вредоносная программа-вымогатель действующая в 2017-м году. Шифрует сведения на компьютерах жертв и требует выкуп для расшифровки.

Как распространяется? 

Компьютерный вирус WannaCry распространяется через уязвимость EternalBlue в ОС Windows. Передается по локальной сети или через интернет.

Каковы последствия заражения вирусом?

Данные на компьютере становятся недоступными, так как они шифруются. Злоумышленники требуют выкуп в криптовалюте для предоставления ключа раскодирования. Заражение может привести к недоступности системы и повреждению данных.

Как можно предотвратить заражение?

Рекомендуется установить необходимые обновления безопасности для ОС Windows. Использовать надежное антивирусное ПО и регулярно его обновлять. Важно проявлять осторожность при открытии вложений в электронной почте и при посещении непроверенных веб-сайтов. Стоит отключить ненужные службы и закрыть порты, чтобы снизить уязвимость системы. Необходимо регулярно создавать резервные копии важных данных.

Существует ли способ расшифровки файлов?

В ряде случаев были разработаны инструменты для раскодирования некоторых версий WannaCry. Рекомендуется обратиться к экспертам в области кибербезопасности для получения помощи.

Какие меры были предприняты?

После атаки вируса WannaCry были выполнены различные шаги для предотвращения подобных атак в будущем. Выпущены обновления безопасности, патчи и указания для пользователей по обеспечению защиты систем.

Итоги

WannaCry стал одной из самых разрушительных и распространенных атак. Создан группой хакеров Lazarus Group, связанной с Северной Кореей. Использовался в мае 2017-го, классифицирован как вирус-вымогатель (ransomware). Атака задействовала уязвимость EternalBlue в операционных системах Windows. Разработана и удерживалась американскими разведслужбами, но позже утекла в публичное пространство. WannaCry эксплуатировал уязвимость для распространения по сети, заражая компьютеры и блокируя доступ к файлам, требуя их разблокировки.

Аватар автора
crypt-mining.net

Комментарии