Итоги WannaCry: подборка основных материалов на «Хабрахабре» и не только

    История показывает, что исключать повторения WannaCry в том или иной вариации нельзя, но нужно понимать, что оперативное противодействие подобным атакам — достаточно сложная задача. Для подготовки, укрепления «защиты» и принятия соответствующих профилактических мер очень важно не упускать из вида разборы наиболее заметных (как минимум) инцидентов в сфере ИБ.

    Для этого мы решили взять наиболее рейтинговые материалы, которые выходили на Hacker News, и все, что было опубликовано по теме WannaCry на «Хабрахабре» и Geektimes.ru. Итоговую тематическую подборку мы дополнили комментариями экспертов Университета ИТМО.

    Flickr / Michele M. F. / CC



    Что говорят «у них»




    Подборка устройств, подверженных воздействию WannaCry
    Мы решили начать с неплохой коллекции устройств, которые попали в объектив смартфонов своих пользователей. Авторам удалось собрать самые различные примеры: от бытовых ПК до служебных систем и пунктов приема платежей. Для тех, кому уже надоела шумиха вокруг WannaCry, есть специальный раздел в конце материала.

    Год бесплатной пиццы и 10 тысяч долларов для white-hat’а, который «спас Интернет»
    Сразу после раскрытия личности героя в СМИ ряд компаний проявил инициативу и предложил свои варианты вознаграждения за заслуги перед ИТ-сообществом. Справедливое вознаграждение или самореклама «щедрых» компаний — решать вам.

    Вся необходимая информации о WannaCry, Wcry и WannaCrypt
    Трой Хант, эксперт в области ИБ, имеющий непосредственное отношение к компании Microsoft, начал собирать данные о WannaCry еще 13 мая. По мере развития событий материал был дополнен технологическими подробностями и различной аналитикой (в том числе и финансовыми результатами «работы» шифровальщика-вымогателя). Помимо всего прочего Трой написал отдельный материал о том, почему не стоит отказываться от обновления ОС.

    WannaCry: наиболее популярный вирус-вымогатель в истории
    Один из MVP компании Microsoft собрал свою wiki-страничку на тему всего, что успел «натворить» шифровальщик-вымогатель. Здесь вы сможете найти информацию о том, как происходит заражение и получить рекомендации относительно профилактических мероприятий. Материал наполнен огромным количеством полезных ссылок (в том числе и на три последующие части рассказа эксперта).

    Обнаружены новые вариации WannaCry
    Краткая заметка о том, что из себя представляют новые разновидности WannaCry. Характерные особенности и примеры с kill-switch и без него. Помимо постов в своем блоге эксперт дал краткий комментарий в тематической статье NYtimes и собрал пару примеров и сравнений, подтверждающих связь WannaCry и Lazarus Group.

    WannaCry: дешифровка с помощью WanaKiwi + демо
    Практическое руководство по дешифровке данных, которые подверглись воздействию WannaCry. Проверено на версиях, начиная с Windows XP (x86) и до Windows 7 (x86), включая Windows 2003 (x86), Vista and 2008 and 2008 R2.



    Что говорят «у нас»




    Программа-шантажист WannaCrypt атакует необновлённые системы
    Нет ничего удивительного в том, что основная экспертиза по теме была предоставлена от лица крупнейших компаний, тем или иным образом связанных либо с самой уязвимостью, либо с вопросами ИБ. Microsoft не стала исключением и подготовила перевод статьи с разбором ситуации, которая вышла 12 мая в официальном блоге компании.

    WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению
    Компания Cisco делится с хабражителями результатами исследования программы-шифровальщика. Основной материал был подготовлен специальным подразделением Cisco Talos. Его англоязычную версию можно просмотреть здесь.

    Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам
    Компания Panda Security привела свою точку зрения относительно того, что произошло 12 мая, и рассказала о том, что отличает WannaCry от других атак, которые мы видели ранее. Описаны следующие критерии: направление заражения, взаимодействие с уязвимой системой, процессы распространения и шифрования. Помимо этого компания предоставила полезные рекомендации и ссылки по теме.

    Wannacry — икс-команда, на выезд
    Компания КРОК написала практический материал о том, как происходило общение с клиентам, которые обратились за помощью. Помимо этого эксперты привели варианты действий, которые они рассматривали для реагирования на месте. Что из этого вышло и где остановили Wannacry почти сразу — читайте в материале.

    Анализ шифровальщика Wana Decrypt0r 2.0
    Интересный разбор особенностей шифровальщика Wana Decrypt0r 2.0 (вторая версия WannaCry) подготовили специалисты компаний T&T Security и Pentestit. Здесь представлен полный комплект: статистика, технологические нюансы и аналитические рассуждения.

    WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужен бэкап
    Помимо краткого знакомства с WannaCry, его принципами работы и продуктами Acronis, которые могли бы пригодиться читателям, компания привела интересный список «жертв».

    Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt
    Редакция Geektimes.ru рапортует о последних новостях по теме. Помимо рассказа о случайной находке, которая «спасла Интернет», вы можете почитать о том, как Microsoft обвинила АНБ в накоплении эксплойтов, и новых вариациях WannaCry, в том числе без стоп-крана.

    Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее
    «Лаборатория Касперского» разбирает последствия ажиотажа по поводу вредоносного ПО. В качестве примера приведена пара последних новостей, которые в очередной раз напоминают нам о том, что самые базовые и безобидные функциональные возможности ПО — это первое, что берут на вооружение злоумышленники.

    Разбираем уязвимость CVE-2017-0263 для повышения привилегий в Windows
    Компания Positive Technologies решила пойти по следам новостей о WannaCry и рассказать об уязвимости «контекстного меню» и вариантах эксплуатации.



    Кузьмич Павел Алексеевич, директор лаборатории компьютерной криминалистики при Университете ИТМО:

    Скорее всего, сотрудники тех организаций, где зафиксировали заражение, использовали компьютеры для получения почты и «серфинга» в интернете и, не убедившись в безопасности полученных писем и открываемых сайтов, загрузили на них вредоносное программное обеспечение.

    Вполне возможно, что таким образом могли быть скомпрометированы конфиденциальные сведения их клиентов — в случае коммерческих организаций, а также и большие объемы персональных данных — в случае с государственными ведомствами. Стоит надеяться на то, что на данных компьютерах такие сведения не обрабатывались.

    Программы-вымогатели — это хорошо известный способ мошенничества и определенные подходы для защиты все-таки есть. Во-первых, нужно внимательно относиться к переходам по тем или иным ссылкам в Сети. Аналогично и с почтой — очень часто вирусы распространяются в файлах, приложенных к письмам якобы от вашего интернет-провайдера или банка. В-третьих, немаловажно хотя бы иногда делать резервные копии значимых документов на отдельные съемные носители.

    Чаще всего заражение и активная фаза работы вируса — шифрование данных — проявляется в виде значительного снижения производительности компьютера. Это является следствием того, что шифрование — крайне ресурсоемкий процесс. Также это можно заметить при появлении файлов с непонятным расширением, но обычно на этом этапе уже поздно предпринимать какие-либо действия.



    Григорий Саблин, вирусный аналитик, эксперт в области информационной безопасности Университета ИТМО, победитель международных соревновании по защите компьютерной информации:

    Злоумышленники используют уязвимость в протоколе SMB MS17_010 — патч уже на серверах Microsoft. Те, кто не обновился, могут попасть под раздачу. Но, можно сказать, эти пользователи сами виноваты — они использовали пиратское ПО или не обновляли Windows. Мне самому интересно, как будет развиваться ситуация: похожая история была с MS08_67, её тогда использовал червь Kido, и тогда тоже многие заразились.

    Не факт, что удастся восстановить все заблокированные файлы. Этот вирус может проникнуть куда угодно из-за того, что многие компьютеры еще не обновлены. Кстати, этот эксплойт был взят из архива, который «слили» у Агентства национальной безопасности (АНБ) США, то есть это пример того, как могут действовать спецслужбы в какой-либо экстренной ситуации.

    P.S. Будем признательны обсуждение в комментариях дополнительных материалов и мнений, которые показались вам интересными. Соберем эту подборку вместе :)
    Университет ИТМО 110,23
    IT's MOre than a University
    Поделиться публикацией
    Комментарии 10
    • –1

      Никаких доказательств, конечно, но есть мысли, что WannaCry — это, скорее, хорошо, чем плохо:


      • денег просили немного, собрали на удивление мало для эпидемии такого масштаба. Если бы была цель денег заработать, с такими термоядерными эксплоитами можно было бы что-нибудь повыгоднее придумать
      • независимо от цели, попугали всех знатно. каждая домохозяйка, небось, про WannaCry слышала, обновились, пожалуй, даже те, кто никогда этого раньше не делал. Microsoft — в первый раз! — выпустила патчи для старых неподдерживаемых версий Windows.
      • Ущерб, конечно, был немаленький. Но, подозреваю, что если б какие-то скрытные и предприимчивые ребята стали использовать эти эксплоиты, с целью, именно, максимизации своей прибыли — ущерб был бы больше. Тогда дропперы пролезали бы на предприятия и банки тайно, и не вывешивали бы большое красное окно по центру экрана. А такие ребята бы точно нашлись, и скоро — раз эксплоиты уже ушли в открытый доступ.

      Может создатели WannaCry — идиоты, не сумевшие использовать потенциал эксплоитов? А может благодетели, целью которых было попугать мир и всех пропатчить?

      • 0
        Благодетели бы просто закрывали эту дыру молча, не причиняя вреда пользователю.
        • 0
          Разумеется «благодетели», а не просто благодетели. Так что если попугали и ничего особо страшного не сделали- уже не плохо.
          • 0

            Просто закрыть дыру на всех версиях Windows — это ж надо Microsoftом быть. А выдавать окошко с предупреждением недостаточно, его будут просто закрывать. Эффекта не будет.

          • +1
            Может создатели WannaCry — идиоты, не сумевшие использовать потенциал эксплоитов? А может благодетели, целью которых было попугать мир и всех пропатчить?

            Почему Вы не рассматриваете какие-либо интересы создателей, помимо чисто экономических — например, политические? Как один из вариантов со стороны любителей «запрещать интернет» — показать «опасность» сети для электората. У тех или иных спецслужб тоже могут быть какие-то интересы.
            • 0
              Но, подозреваю, что если б какие-то скрытные и предприимчивые ребята стали использовать эти эксплоиты, с целью, именно, максимизации своей прибыли — ущерб был бы больше.
              А кто Вам сообщит о реальном ущербе? Может это был финальный аккорд какой-нибудь многоходовочки, чтобы завуалировать другую вредоносную деятельность или чтобы замести следы.
              • 0
                Может это был финальный аккорд какой-нибудь многоходовочки, чтобы завуалировать другую вредоносную деятельность


                Заставить юзеров пропатчить отработавшую и раскрытую уязвимость, подсунув с заплатками свежих, с пылу с жару никому пока неизвестных. Да вы гений.
                /салютую фольгированной кипой/
                • 0

                  Может быть. Но самый вероятный вариант — самый простой, какие-то идиоты решили по-быстрому срубить бабла. Вариант с "благодетелями" — уже сложнее и невероятнее. Вероятность финального аккорда уже слишком мала для аргументированного обсуждения.

              • 0
                А файлы у кого-нибудь расшифровались из тех кто деньги заплатил?
                • +2
                  https://wanadecryptor.ru/wannacry-victims-list/ — список пострадавших от WannaCry компаний,

                  https://wanadecryptor.ru/adylkuzz-world-attack/ — о том, что до WannaCry был более скромный вирус-майнер, использующий ту же технологию распространения.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое