Игорь Ашманов
Самая массовая вирусная атака в истории»! Вирус остановил компьютеры всего мира! Это атака спецслужб! Они хотят посеять хаос! А если они в метро или на АЭС!!!
Это сейчас можно услышать по всем каналам, от Первого на центральном ТВ до самого последнего блога.
На самом деле, конечно, как обычно, всё не совсем так или совсем не так.
Для тех, кто привычно читает заголовок и первые шесть абзацев, сразу сообщу содержание и выводы. В сети такой спойлер называется TLDR (too long; didn’t read).
Итак,
TLDR:
Атака – довольно типовая. Это обычный вирус-шифровальщик. В Рунете они свирепствуют последние лет 10-12.
Атака – довольно мелкая. Заражено 200-300 тысяч компьютеров по миру. Это примерно на порядок меньше самых известных массовых атак, которые происходят каждый год. И на полтора-два порядка меньше масштаба тайных заражений пользователей при создании коммерческих ботнетов.
Это – медийная атака. Такой крик в СМИ поднялся из-за деградации наших СМИ в последние годы, склонности переписывать заголовки и новости друг у друга и хвататься за горячее, а вовсе не из-за какой-то особой опасности вируса или его особой распространённости. Через пару дней никто и не вспомнит – потому что сейчас в нашем медийном поле все сенсации живут 3-5 дней максимум.
Теперь подробно:
1. История и обстоятельства. Вирус – довольно типовой шифровальщик, т.н. винлокер. Приёму блокирования и шифрования файлов и вымогательства выкупа – уже примерно 20 лет. Волны таких вирусов несколько раз поражали российские сети компьютеров. Рассылают их русские киберпреступники, автор даже лично знает одного такого, кто как-то спьяну хвалился, что винлокеры в Рунете придумал он.
2. Уязвимость тоже известная. Сама по себе уязвимость Windows найдена и исправлена в марте 2017, для неё существует патч (заплатка). Патч скачивается с сайта Микрософт или устанавливается автоматическим обновлением.
3. Антивирусы ловят этот вирус. Встроенный антивирус Windows Defender также его ловит (при условии, что установлен патч). Все известные антивирусы либо умели ловить этот вирус, либо уже выпустили «лечилки».
4. Кого заражали? Поскольку уязвимость известна, опубликована и исправлена, заражались компьютеры, где:
a. Не установлены обновления Windows,
b. Не стоит свежий антивирус.
5. Кого зацепило? Вирус-вымогатель распространился в 74 странах мира, в том числе в России. Заражены РЖД, «МегаФон» и «ВымпелКом», МВД. Также хакеры пытались взломать серверы Минздрава, однако ведомству удалось предотвратить атаку. Атаки на электронную инфраструктуру зафиксировал и Сбербанк. Система по выдаче прав ГИБДД также подверглась вирусной атаке и не работает в ряде регионов. В Германии атаке хакеров также подверглись системы железнодорожного оператора Deutsche Bahn. В Великобритании под ударом оказались сервисы больниц.
6. «Самая массовая атака в истории». Это просто неправда. Эта атака – не очень массовая, просто самая раскрученная за последние месяцы. 300 тысяч заражённых компьютеров и 40 тысяч долларов заработано создателями вируса! Просто офигеть. Это бытовая, каждодневная атака.
7. Массовые атаки – это когда по всему миру у всех осыпаются буквы на экране. Не помните? Понятно.
Вот примеры действительно массовых заражений: https://ru.wikipedia.org/wiki/...
Червь I Love You, три миллиона заражений по всему миру.
Или вот: https://xakep.ru/2003/01/27/17...
Червь Slammer, миллионы копий, десятки тысяч заражений в час, падение Южной Кореи, нарушение работы выборов в Канаде, замедление Интернета по всему миру.
А вот это сегодняшняя повседневность — рабочая лошадка, ботнет Methbot на пару миллионов компьютеров, который просто тихо работает, без вот этого всего медийного шума, зарабатывая миллионы долларов в день: https://habrahabr.ru/company/k...
8. Боевой вирус ЦРУ/АНБ. Действительно уникальной и пикантной особенностью ситуации является то, что код этого конкретного вируса был выложен в утечке Викиликс, среди прочих боевых хакерских инструментов американских спецслужб. Хотя код был «стерилизован», вирусописатели оживили и модифицировали его. Комментирует Сноуден:
«…«Вот это да, АНБ создало инструменты для взлома американского софта, которые в итоге угрожают жизни сотен пациентов», — написал экс-сотрудник АНБ в своём Твиттере. Сноуден отметил, что АНБ создало программы для атаки на софт, «несмотря на предупреждения», что в итоге и привело к катастрофическим последствиям. По его словам, если бы ведомство своевременно сообщило о найденных уязвимостях, у пострадавших пользователей были бы годы, чтобы подготовиться к атаке».
9. Детали борьбы с вирусом:
a. Временно удалось остановить атаку вируса WannaCrypt. Оказалось, что в коде вируса был прописан адрес сайта, явно путём набора случайных букв на клавиатуре. Скорее всего, владельцы вируса таким образом «забили» ненужную инструкцию в чужом коде, не планируя управлять вирусом с сайта.
В минувшие выходные некий британский программист 22 лет заметил, что программа обращается к адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Он решил узнать, что будет, если сайт реально откликнется, и зарегистрировал домен с таким именем. Оказалось, что вирус начинает ждать инструкций с сайта и останавливает работу. С тех пор, правда, авторы вируса изменили его код, и больше он к данному сайту не обращается.
b. Компания Microsoft выпустила экстренные обновления для устаревших операционных систем в связи с международной массированной хакерской атакой. Как сообщается на официальном сайте, обновления устраняют опасную уязвимость в Windows XP, Windows 8 и Windows Server 2003, поддержка которых была прекращена несколько лет назад.
10. Как сейчас работают вирусы? Большая часть вирусов сейчас генерируется автоматическими генераторами вирусов, с выбором функциональности, как в конструкторе. Хакеры генерируют вирусы, их прогоняют через все популярные антивирусы, чтобы проверить – пробивает или нет; потом те вирусы, что не распознаются, «засеивают» через ресурсы для скачивания, заражённые сайты и т.п. Всего в день генерируется и засеивается несколько десятков тысяч вирусов. До 3-5 миллионов в год. 95-99% вирусов – не успешны. То есть вброс этого вируса – довольно типовой, но успешный.
11. Может ли это быть атака спецслужб? Это довольно распространённая версия – что это государственные хакеры (России или США, неважно).
Нет, не может. Атака спецслужб на критическую инфраструктуру и/или госучреждения, с выведением из строя или препятствованием работе – это акт войны. Все, кто нужно, поймёт, кто это сделал, а это может привести к войне.
И если атака кибервойск США и Израиля такого рода на Иран возможна – например, вирус Stuxnet («Стухнет»), который вывел из строя 30% обогатительных центрифуг Ирана и затормозил развитие атомной программы – Иран и так по сути военный противник Израиля, они там ядерщиков убивают пачками, то на Россию, очевидно, нет. Дурных нема.
12. Могут ли такие вирусы привести к катастрофам? Вывести из строя АЭС, свести с неба самолёт, взорвать завод? В среднем – нет. Спецслужбы и кибервойска государств этого не будут делать, пока не начнётся настоящий горячий конфликт (а тогда ракеты будут более разрушительны), а коммерческие хакеры заинтересованы в том, чтобы всё работало, деньги зарабатывались, и их не разыскивали спецслужбы, как террористов.
Случайно, конечно, всякое случается. Сдуру и всякое можно сломать. Можно даже вообразить хакеров на службе ИГИЛ (если бы автор не был уверен, что и ИГИЛ, и прочие «мировые террористы» - это перчатка на руке США, чисто прагматический инструмент геополитики).
В общем, мировое инфернальное зло, которое творит зло ради самого зла и возможности посмеяться сатанинским смехом за кадром – оно в основном водится в Голливуде. Все остальные злодеи – прагматики. Прагматики в разрушении плотины или АЭС в мирное время – нет.
13. Почему такой успех? Успех скорее медийный. Заражения с десятками тысяч и сотнями тысяч заражённых компьютеров – повседневность. В сети на хакеров и спамеров работают ботнеты из миллионов заражённых компьютеров (см. выше).
Технический успех заражения обеспечен тем, что:
a. Люди не обновляют Windows,
b. Люди не ставят актуальных антивирусов,
c. Слабая политика ИБ в организациях,
d. Вирус изначально был хорошо «посеян», то есть разослан в почту с хорошей социотехникой и/или выложен на очень популярных сайтах для скачивания, где люди качают порно, пиратку, прочий «варез», как говорится. То есть сработала удачная социотехника.
Медийный успех вируса обеспечен тем, что:
e. Широкое распространение: сотня стран мира.
f. Вирус появлялся в утечках про спецслужбы США.
g. Вирус объявляет себя на компьютере, вывешивает страшную красную планку.
h. Новость «села» на тему о «русских хакерах»:
«… Британские СМИ заподозрили Россию в причастности к кибератакам в 74 странах мира в отместку США за совершенные авиаудары по Сирии. Об этом сообщила газета The Telegraph. Журналисты предполагают, что вирус-вымогатель запустила якобы связанная с Россией хакерская группировка Shadow Brokers».
i. Зацепило Европу, затем у нас заразилось МВД, РЖД и другие госорганы, что важно для наших СМИ.
j. Прокомментировал Сноуден (что это инструменты АНБ).
k. По этим причинам произошла и происходит бурная раскрутка в СМИ.
Выводы:
l. Политической подоплёки – нет. Вирус сработал в Европе, России и других странах. Везде. «Русские хакеры» - не при чём. ЦРУ – тоже.
m. Коммерческой подоплёки тоже, возможно, нет, заработок там небольшой (на 15 мая – 42К долларов). Скорее – тренировка. Или демонстрация работы вирусов из арсенала АНБ.
n. Почему заразили МВД и другие ведомства? Во-первых, беспечность, во-вторых, возможно, запрет на автоматическое обновление Windows (что, в принципе, можно понять). Пиратские копии, популярные у нас, тоже внесли свою лепту.
o. Типовой случай, слегка выше среднего. В общем, это – типовая успешная массовая вирусная атака, получившая хорошую прессу из-за горячей темы про «русских хакеров», Викиликса и российского МВД.
p. Зачем запустили? Скорее всего, попробовать, работают ли боевые АНБшные вирусы. Для этого и нелепое требование 300 долларов, благодаря которому журналисты услужливо делают для хакеров карты распространения их вируса.
q. Будет ли следующая волна? Да вряд ли. Все встряхнулись, скачали, установили, перепрошились и забегали. Какие-то «афтершоки» будут, вероятно, но небольшие.
r. Будут ли следующие атаки? Обязательно. Люди же не меняются. Как и Windows.
s. Конспирология напоследок. Ну и самая страшная версия (шутка одного из известных российских специалистов в ИБ): вирус – приманка, разводка, а настоящие, рабочие уязвимости сейчас все скачивают в обновлениях и заплатках.
будущее уже сегодня
повседневность чО
вот за что ценю ув. Игоря Ашманова - никого г.на в голове нет и жизнь воспринимает очень реально
Комментарии
почисти пожалуйста.
Ученые объяснили опасность объятий с котами
В Сирии вблизи сняли работу "Змея Горыныча" в условиях города (видео)
Украинцев заставят искупить долги и преступления на Донбассе
Регистратор на фуре снял последний полёт "шашечника" (видео)
Младшая сестра Кейт Миддлтон вышла замуж
спасибо
Ашманов - голова!
Только лживая...
Это-ж бред, даже не все виндовые пострадали, так, краем зацепило чуток. Сам потом пишет противоположное, это может уже следующая стадия лжи - шизофрения.
В пятницу уронили мегафон, писец, такой кайф после обеда ни одного звонка, только интернет работал))))
но понимание что вот так могут посеять хаос чувствовался у людей
Вы прежде чем комментарии свои писать, головой думаете?
Это статья Ашманова. Первый абзац - это пример того, что орут в СМИ.
Просто не выделено "цитатой".
После идёт объяснение почему вся эта массовая истерия в СМИ яйца выеденного не стоит.
Умнейший мужик.
Ну и кто виноват во введении в заблуждение?
Это ничего не говорит о нравственности.
СПАСИБО за полезную статью!
А я уже обрадовалась - ну, наконец-то УЖАСНЫЙ КОНЕЦ!!! Я уже устала от ужаса без конца...
Найдите себе симпатичного с концом, делов-то
Ага, и на костылях, что-бы не убежал.))
- Вы, слышали, - вирус-вымогатель атаковал таки Израиль.
- И шо?
- Остался должен.
- А вы слышали, Рабинович-то оказывается тбмрас!
- Шо, денег взял и не отдает?
- Нет, ну я в хорошем смысле этого слова...
Оценка в 40к на нескольких кошельках существенно недооценена. Таких кошельков часто делают тысячи.
Нет, она совершенно точная, поскольку адреса кошельков зашиты в вирус (их всего три штуки), а все транзакции на них видны в блокчейне.
https://whitesunset.github.io/wannacrypt_balance/ - кому интересно
А компов не под виндой нет?
Автор, приведенные ссылки на вики, хакер и хбр не рабочие.
Мне по фигу. Оська левая 7-ка профи. Обновления отключены. Антивирус McAfee VirusScan Enterprise + AntiSpyware Enterprise 8.8.0.
Ничего в системном не храню, все мои файлы в логическом.
Ну прилетит какой-нить знаменитый вирус, просто форматну и через Акронис свой образ установлю.
Так что по фигу.
А логические не могут зашифровать разве?
Нет. Ещё раз - нет.
Вполне себе шифруют. И сетевые диски страдают. Запускал better call Saul в песочнице из двух компов. Документы и 1совские базы зашифровал.
У вас может быть, а у меня нет.
Убедительно.
Стопудово!
Это был сарказм.
Люди не хотят себе ставить Firewall. А потом тупо умничают.
Так просто хранения на другом логическом диске достаточно, чтобы не шифровали?
Или нет (Нужно еще ставить Firewall)?
Мне достаточно.
Firewall как приложение к антивирусу, которое гарантирует защиту в интернете, предупреждает о фишинговых атаках и проверку скачиваемых файлов. Одним словом, задача антивируса это отлов всякой вирусной дряни, а firewall стоит между компом и сетью, и по заданным ему правилам пропускает нужное и отсеивает вредное.
Не вводите в заблуждение.
Файрвол никоим образом не влияет на доступ к логическим дискам. И да, он нужен. Так что факта хранения важных файлов на логическом диске недостаточно для полноценной защиты.
Файрвол не осуществляет проверку скачиваемых файлов, это задача антивируса.
Правильная стратегия защиты одиночного компьютера - файрвол, антивирус, и регулярное резервное копирование, тут я с вами на 100% согласен. Но насчет логических дисков - простите, чушь.
Если антивирус с файерволлом вашими кривыми руками пропустил вирус, и если вирус окажется в папке \Systev32, но прежде в папку \Appdata, и пропишется в реестре, то считайте, что ваша оська вся полностью со всеми разделами запомоена. Это как же надо такое допустить? Я не знаю. Это совсем нужно быть конкретным кретином.
Отсутствие аргументов, повторение своей мысли, как мантры и единственно верного мнения. Переход на личности. В бан. До свидания.
Не обращайте внимание, он сам с собой разговаривает. Он три вируса поборол в своей жизни и сейчас бьет себя пяткой в грудь выплескивая свои знания о системных папках и ветках реестра.
А больше не попадалось. Учёл ошибки прошлого. Давай до свидания.
Встаньте на табуретку и с выражением вслух прочитайте текст:
Firewall как приложение к антивирусу, которое гарантирует защиту в интернете, предупреждает о фишинговых атаках и проверку скачиваемых файлов. Одним словом, задача антивируса это отлов всякой вирусной дряни, а firewall стоит между компом и сетью, и по заданным ему правилам пропускает нужное и отсеивает вредное.
У меня всего было 3 случая заражения системы, и ни разу не было заражения логических разделов.
Если позволяют ресурсы, то работать в 'теневой системе' или в виртуалке. В крайнем случае - песочнице.
И обязательно разбираться в 'белом списке' для винды!
Если можно, то в огнестене реализовать 'чёрный список' если винда не позволяет оба списка активировать.
1. Хотим и ставим. Ни один комп не висит голым в интернете.
2. Как это файрвол может защитить логический диск от шифровки, если системный уже зашифрован и вирус активен в системе?
Хех, firewall не защищает логический раздел.
Идите в компьютерный форум и там общайтесь.
Файрвол защищает компьютер целиком от атак из Интернета. А системный, или логический диск, ему фиолетово. Сами бы сходили туда, куда посылаете.
Я разве давал повода задавать мне такой вопрос.
это у вас по незнанию
ntfs уже идет с шифровкой
так что уничтожаешь файл ключа и вуаля
NTFS не идет с шифровкой. С шифровкой идет EFS.
ага так у нас один раз nt проехалась по своей ntfs
пришлось форматнуть
Не хочу расстраивать, но вирусы-шифровальщики обычно лезут сначала в папки "мои документы" и "рабочий стол", потом идут по буквам дисков начиная с D и дальше... если у Вас на диске C интересных файлов нет - они просто пойдут на другие диски...
Вирусы-шифровальщики обычно лезут сначала в папку "Пользователи" и далее в папку "AppData", и только потом уже туда, куда вы указали.
С no_more_ransom дело иметь не приходилось? Не то, что логические, физические диски шифрует. Говорят, и облака тоже (этого сам не видел).
Страницы