Шифровальщик-вымогатель WannaCry: интервью с экспертами Emsisoft

Шифровальщик-вымогатель WannaCry: интервью с экспертами Emsisoft

WannaCry Ransomware Main Image

За последнюю неделю почти все мировые СМИ сообщили сенсационную новость о глобальной вспышке шифровальщика-вымогателя WannaCry. Информации до сих пор так много, что некоторые пользователи не знают, с чего начать изучение вопроса. ТВ, газеты и онлайн-издания быстро подхватывают любые новые данные, добавляя в общий поток информации даже то, что может уже и не касаться темы. В результате некоторые статьи вызывают у читателей даже больше вопросов.

Факт: шифровальщик-вымогатель WannaCry начал распространяться 12 мая 2017 года и к настоящему моменту поразил сотни тысяч компьютеров по всему миру, что привлекло небывалое внимание мировой общественности.

Но что отличает этого шифровальщика-вымогателя от других вредоносных программ? Почему WannaCry распространился так быстро? И что мы можем ожидать с точки зрения будущих атак программ-вымогателей?

Мы попросили технического директора и главу антивирусной лаборатории Emsisoft Фабиана Восара и исследователя в области безопасности Сару В. Тоффи прояснить для наших пользователей все детали возникшей эпидемии WannaCry и рассказать, как лучше защищаться от шифровальщиков и почему резервное копирование становится всё более важной частью комплексной системы противостояния вредоносным программам.

- Спасибо, что нашли время рассказать подробнее о WannaCry и о том, может ли он коснуться наших пользователей. Почему WannaCry отличается от других шифровальщиков-вымогателей, и как ему удалось распространиться так быстро по всему миру?

- Частью нашей ежедневной работы является мониторинг различных источников для выявления и отслеживания активности шифровальщиков. Сюда относятся различные каналы исследователей вредоносных программ, а также отраслевые ресурсы, такие как форумы, сервис ID Ransomware, Twitter и другие. В пятницу утром наше внимание привлекла высокая активность в Twitter, связанная с WannaCry.

В скором времени, когда мы увидели, насколько сильно пострадала государственная система здравоохранения Великобритании и с какой скоростью заражались целые сети, стало очевидно, что это уже не обычная вспышка очередного шифровальщика.

- Как распространялся WannaCry?

- Информация об уязвимости в Windows Eternal Blue, обнаруженной первоначально Агентством национальной безопасности США и хранившейся в секрете, появилась в марте 2017 года после серии утечек в результате действий группы хакеров The Shadow Brokers. WannaCry использует тип компьютерного червя, который мгновенно распространяется по сети, используя эту уязвимость в старых операционных системах Microsoft (например, в Windows XP, официальная поддержка которой прекращена). Как правило, одновременно на компьютер загружается и шифровальщик. Однако как только он оказывается в сети, то он, как лесной пожар, распространяется с компьютера на компьютер без каких-либо действий со стороны пользователя.

Фактически эта проблема была исправлена выходом обновления безопасности Microsoft в марте 2017 года. Это означает, что заражению подверглись лишь компьютеры с устаревшими операционными системами. Это характерно для медицинских учреждений, у которых всё завязано на существующем оборудовании, не способном справиться с современными операционными системами, да и которое не всегда даже подключено к Интернету.

Поскольку этот червь заражает только те компьютеры, на которых не был установлен последний патч Windows, то любой уязвимый компьютер с доступом в Интернет находится под угрозой. Именно поэтому мы всегда подчёркиваем важность своевременного обновления всего программного обеспечения и особенно операционной системы.

How wannacry ransomware spreads

-Насколько более сложным является WannaCry, по сравнению с другими шифровальщиками, предпринимавшими глобальные атаки?

-Как компьютерный червь, WannaCry примечателен только использованием эксплойта Eternal Blue для поражения государственной системы здравоохранения Великобритании. Однако этот код эксплойта не был написан самим автором WannaCry – он его просто скопировал и использовал. В таком копипасте нет ничего сложного или впечатляющего.

За исключением его поведения как компьютерного червя, в WannaCry нет ничего особо примечательного с точки зрения шифровальщика-вымогателя. Скорее наоборот, он довольно бесхитростный.

Но это одновременно и большая проблема для пострадавших пользователей. Код, использованный для создания уникального биткоин-адреса для каждого пользователя, не был включён. Это означает, что у всех жертв есть три биткоин-адреса.

У киберпреступников не будет ни малейшего представления о том, какая именно из жертв действительно заплатила. Поскольку нет автоматического шифрования на основе индивидуального биткоин-адреса, то крайне низки шансы получить свои файлы расшифрованными даже после оплаты.

Записка о выкупе WannaCry

Записка о выкупе WannaCry

- С момента атаки исследователям в области безопасности удалось найти, так называемый, “киллсвитч”. Пожалуйста, объясните, что именно это означает?

- В сущности, вредоносная программа не любит, когда её обнаруживают в системах, поскольку это позволяет исследовать код, что в конечном итоге может привести к киберпреступнику, который его разработал. Поэтому, по своему характеру, вредоносная программа зачастую старается избежать анализа благодаря обнаружению искусственных сред, так называемых “песочниц”, которые создаются исследователями, чтобы наблюдать и управлять образцами вредоносных программ, запущенными в системе.

Песочницы обычно изолированы от Интернета, но многим вредоносным программам для правильного функционирования требуется какой-либо доступ к Интернету. Поэтому песочницы часто имитируют искусственный Интернет, где каждое подключение к Интернету всегда имеет успех, а каждый Интернет-адрес возвращает что-то полезное.

Один из методов, которым пользуются вредоносные программы для выявления такой среды, заключается в простой попытке доступа к какому-либо несуществующему Интернет-адресу. Однако если доступ к несуществующему, как был уверен создатель зловреда, адресу всё-таки осуществляется, то это расценивается вредоносной программой как признак того, что всё выполняется в песочнице. В результате вредоносная программа завершает всё, что она делала, и становится безобидной. Такое переключение действия программы и называют “киллсвитч”.

Как правило, такие проверки доступа к какому-либо Интернет-адресу выполняются с помощью случайно генерации доменных имён. Но в этом конкретном случае автор шифровальщика WannaCry решил использовать жёстко прописанный домен. В результате когда этот домен был зарегистрирован одним из исследователей, домен стал доступен и через реальный Интернет-доступ. Поэтому для вредоносной программы каждая система с прямым подключением к Интернету выглядела как песочница, и в результате этого шифровальщик просто останавливался, думая, что за ним следят.

Однако до сих пор неясно, был ли этот киллсвитч задуман самим автором WannaCry. Что мы знаем, так это то, что программа-вымогатель вообще не изменилась, и ни у кого нет червя, который распространяет её. До настоящего момента нет подтверждённого обнаружения действительно перекомпилированного и постоянного компонента червя, который использует другой киллсвитч, за исключением нескольких вручную изменённых образцов, которые никогда не достигали такого уровня распространения.

- Ожидаете ли Вы последующих атак шифровальщиков-вымогателей, использующих эти эксплойты?

- Почти наверняка. Мы не сомневаемся, что всё больше киберпреступников будут использовать подобный компьютерный червь для распространения вредоносных программ, в том числе, возможно, и для шифровальщиков-вымогателей. На самом деле, таким образом уже распространялся биткоин-майнер. Учитывая, что ранее мы видели других шифровальщиков, таких, как например, Spora, которые использовали гораздо более сложные методы оплаты, то вопрос стоит не в том, будут ли подобные атаки в будущем, а когда мы столкнёмся со следующей эпидемией какого-либо шифровальщика, которая может стать ещё более “успешной” для киберпреступников и более затратной для жертв.

Узнайте больше об основных способах распространения программ-вымогателей

- Есть ли способ расшифровать данные, если пользователь стал жертвой шифровальщика WannaCry?

- К сожалению, WannaCry использует стойкий алгоритм шифрования. Но даже если жертва заплатит вымогателям, как говорилось выше, то нет никаких гарантий отследить платёж. Поэтому пользователь может и не получить обратно свои файлы, а вместо этого он получит требование о ещё большей сумме выкупа.

- Пользователи продуктов Emsisoft не пострадали в результате атаки. Объясните, благодаря чему это удалось, и почему в некоторые случаях другие антивирусные решения не смогли выявить угрозу?

- В некоторых случаях антивирусы на компьютерах пользователей просто не работали или не были запущены. В тех же случаях, когда антивирусное решение всё-таки работало, но это всё равно не уберегло пользователей от шифрования их данных, можно говорить о том, что компонент обнаружения шифровальщика не был достаточно эффективен.

Для защиты своих пользователей Emsisoft использует трёхуровневый подход. Мы считаем, что ни одну технологию нельзя считать на 100% надёжной. Однако использование нескольких различных технологий позволяет достичь очень высокого уровня защиты. В случае с шифровальщиком WannaCry пользователи Emsisoft были с самого начала защищены 3-компонентной системой:

  1. Файрвол: Если Вы используете Emsisoft Internet Security, то файрвол в составе этой программы, предотвратит доступ извне к Вашему порту 445, уязвимости протокола SMB, что было, в частности, использовано червём WannaCry. Если нет доступа к порту, то Ваша система защищена от вредоносных программ с этой стороны.
  2. Файловая защита: Прежде чем компьютерный червь начнёт какую-либо активность в системе, файловая защита проверяет его по нашей базе с сигнатурами. Наши общие сигнатуры, которые мы создали для отражения эпидемии WannaCry ещё в феврале этого года, покрыли большинство вариантов, использованных также и в ходе нынешней атаки, поэтому любые атаки пресекались. Несколько вариантов сигнатур компьютерного червя, которые не покрывали оставшиеся варианты, были добавлены буквально в течение 30 минут.
  3. Анализ поведения: Если компонент компьютерного червя активируется, то вступает в силу технология анализа поведения, которая обнаруживает попытки вредоносных программ заразить локальную систему, а также попытки заразить другие системы в сети. Также при начале активности компонента шифровальщика наш анализ поведения выявит подозрительное поведение и остановит программу-вымогателя.

Наши продукты разрабатываются с учётом того, что на одном из уровней защиты может случиться отказ, а “хранить все яйца в одной корзине” – это не наша философия. Даже если по какой-то причине вредоносная программа не будет остановлена на одном уровне, то это будет сделано на следующих шагах.

Вместе с тем, ни один продукт не выявит буквально всё. Поэтому так важна защита Вашей системы и создание резервных копий.

- Насколько по-прежнему подвержены рискам домашние и бизнес-пользователи? Что ещё можно предпринять, чтобы защитить свой компьютер и свои данные от будущих атак шифровальщиков?

- Чтобы избежать последствий от возможных действий программ-вымогателей, следуйте лучшему бэкап-правилу 3-2-1:

  • Нужно создать 3 резервные копии Ваших важных данных.
  • Эти копии нужно сохранить, как минимум, на 2 разных типах носителей.
  • 1 из копий должна храниться удалённо.

321_backup_philosophy_alt

Второй важный совет: постоянно обновляйте Вашу операционную систему и все приложения с повышенной угрозой безопасности (приложения, которые имеют прямой доступ к Интернету или которые могут использоваться для редактирования или просмотра документов из Интернета и электронной почты, например, браузеры, программы для просмотра PDF, медиа-плееры, почтовые клиенты и пр.).

Да, обновления иногда приводят не к желаемому результаты. Но правильно настроенное резервное копирование может минимизировать такие риски, поскольку оно позволяет пользователю легко восстановить предыдущую версию в случае, если что-то пошло не так. Поэтому резервное копирование – это отличный ход.

Последнее, но не менее важное: используйте антивирусную программу с защитой в реальном времени и с постоянно обновляющейся базой. Это поможет предотвратить действия подавляющего большинства вредоносных программ. Поэтому установите и используйте современное антивирусное решение. Использование файрвола (в роутере, брандмауэре Windows или в специальном решении с файрволом, таком как Emsisoft Internet Security) поможет Вам снизить появления компьютерных червей, таких как WannaCry one, изолируя потенциально уязвимые службы от Интернета.

Желаем всем отличного и безопасного дня!