Игорь Ашманов
Самая массовая вирусная атака в истории»! Вирус остановил компьютеры всего мира! Это атака спецслужб! Они хотят посеять хаос! А если они в метро или на АЭС!!!
Это сейчас можно услышать по всем каналам, от Первого на центральном ТВ до самого последнего блога.
На самом деле, конечно, как обычно, всё не совсем так или совсем не так.
Для тех, кто привычно читает заголовок и первые шесть абзацев, сразу сообщу содержание и выводы. В сети такой спойлер называется TLDR (too long; didn’t read).
Итак,
TLDR:
Атака – довольно типовая. Это обычный вирус-шифровальщик. В Рунете они свирепствуют последние лет 10-12.
Атака – довольно мелкая. Заражено 200-300 тысяч компьютеров по миру. Это примерно на порядок меньше самых известных массовых атак, которые происходят каждый год. И на полтора-два порядка меньше масштаба тайных заражений пользователей при создании коммерческих ботнетов.
Это – медийная атака. Такой крик в СМИ поднялся из-за деградации наших СМИ в последние годы, склонности переписывать заголовки и новости друг у друга и хвататься за горячее, а вовсе не из-за какой-то особой опасности вируса или его особой распространённости. Через пару дней никто и не вспомнит – потому что сейчас в нашем медийном поле все сенсации живут 3-5 дней максимум.
Теперь подробно:
1. История и обстоятельства. Вирус – довольно типовой шифровальщик, т.н. винлокер. Приёму блокирования и шифрования файлов и вымогательства выкупа – уже примерно 20 лет. Волны таких вирусов несколько раз поражали российские сети компьютеров. Рассылают их русские киберпреступники, автор даже лично знает одного такого, кто как-то спьяну хвалился, что винлокеры в Рунете придумал он.
2. Уязвимость тоже известная. Сама по себе уязвимость Windows найдена и исправлена в марте 2017, для неё существует патч (заплатка). Патч скачивается с сайта Микрософт или устанавливается автоматическим обновлением.
3. Антивирусы ловят этот вирус. Встроенный антивирус Windows Defender также его ловит (при условии, что установлен патч). Все известные антивирусы либо умели ловить этот вирус, либо уже выпустили «лечилки».
4. Кого заражали? Поскольку уязвимость известна, опубликована и исправлена, заражались компьютеры, где:
a. Не установлены обновления Windows,
b. Не стоит свежий антивирус.
5. Кого зацепило? Вирус-вымогатель распространился в 74 странах мира, в том числе в России. Заражены РЖД, «МегаФон» и «ВымпелКом», МВД. Также хакеры пытались взломать серверы Минздрава, однако ведомству удалось предотвратить атаку. Атаки на электронную инфраструктуру зафиксировал и Сбербанк. Система по выдаче прав ГИБДД также подверглась вирусной атаке и не работает в ряде регионов. В Германии атаке хакеров также подверглись системы железнодорожного оператора Deutsche Bahn. В Великобритании под ударом оказались сервисы больниц.
6. «Самая массовая атака в истории». Это просто неправда. Эта атака – не очень массовая, просто самая раскрученная за последние месяцы. 300 тысяч заражённых компьютеров и 40 тысяч долларов заработано создателями вируса! Просто офигеть. Это бытовая, каждодневная атака.
7. Массовые атаки – это когда по всему миру у всех осыпаются буквы на экране. Не помните? Понятно.
Вот примеры действительно массовых заражений: https://ru.wikipedia.org/wiki/...
Червь I Love You, три миллиона заражений по всему миру.
Или вот: https://xakep.ru/2003/01/27/17...
Червь Slammer, миллионы копий, десятки тысяч заражений в час, падение Южной Кореи, нарушение работы выборов в Канаде, замедление Интернета по всему миру.
А вот это сегодняшняя повседневность — рабочая лошадка, ботнет Methbot на пару миллионов компьютеров, который просто тихо работает, без вот этого всего медийного шума, зарабатывая миллионы долларов в день: https://habrahabr.ru/company/k...
8. Боевой вирус ЦРУ/АНБ. Действительно уникальной и пикантной особенностью ситуации является то, что код этого конкретного вируса был выложен в утечке Викиликс, среди прочих боевых хакерских инструментов американских спецслужб. Хотя код был «стерилизован», вирусописатели оживили и модифицировали его. Комментирует Сноуден:
«…«Вот это да, АНБ создало инструменты для взлома американского софта, которые в итоге угрожают жизни сотен пациентов», — написал экс-сотрудник АНБ в своём Твиттере. Сноуден отметил, что АНБ создало программы для атаки на софт, «несмотря на предупреждения», что в итоге и привело к катастрофическим последствиям. По его словам, если бы ведомство своевременно сообщило о найденных уязвимостях, у пострадавших пользователей были бы годы, чтобы подготовиться к атаке».
9. Детали борьбы с вирусом:
a. Временно удалось остановить атаку вируса WannaCrypt. Оказалось, что в коде вируса был прописан адрес сайта, явно путём набора случайных букв на клавиатуре. Скорее всего, владельцы вируса таким образом «забили» ненужную инструкцию в чужом коде, не планируя управлять вирусом с сайта.
В минувшие выходные некий британский программист 22 лет заметил, что программа обращается к адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Он решил узнать, что будет, если сайт реально откликнется, и зарегистрировал домен с таким именем. Оказалось, что вирус начинает ждать инструкций с сайта и останавливает работу. С тех пор, правда, авторы вируса изменили его код, и больше он к данному сайту не обращается.
b. Компания Microsoft выпустила экстренные обновления для устаревших операционных систем в связи с международной массированной хакерской атакой. Как сообщается на официальном сайте, обновления устраняют опасную уязвимость в Windows XP, Windows 8 и Windows Server 2003, поддержка которых была прекращена несколько лет назад.
10. Как сейчас работают вирусы? Большая часть вирусов сейчас генерируется автоматическими генераторами вирусов, с выбором функциональности, как в конструкторе. Хакеры генерируют вирусы, их прогоняют через все популярные антивирусы, чтобы проверить – пробивает или нет; потом те вирусы, что не распознаются, «засеивают» через ресурсы для скачивания, заражённые сайты и т.п. Всего в день генерируется и засеивается несколько десятков тысяч вирусов. До 3-5 миллионов в год. 95-99% вирусов – не успешны. То есть вброс этого вируса – довольно типовой, но успешный.
11. Может ли это быть атака спецслужб? Это довольно распространённая версия – что это государственные хакеры (России или США, неважно).
Нет, не может. Атака спецслужб на критическую инфраструктуру и/или госучреждения, с выведением из строя или препятствованием работе – это акт войны. Все, кто нужно, поймёт, кто это сделал, а это может привести к войне.
И если атака кибервойск США и Израиля такого рода на Иран возможна – например, вирус Stuxnet («Стухнет»), который вывел из строя 30% обогатительных центрифуг Ирана и затормозил развитие атомной программы – Иран и так по сути военный противник Израиля, они там ядерщиков убивают пачками, то на Россию, очевидно, нет. Дурных нема.
12. Могут ли такие вирусы привести к катастрофам? Вывести из строя АЭС, свести с неба самолёт, взорвать завод? В среднем – нет. Спецслужбы и кибервойска государств этого не будут делать, пока не начнётся настоящий горячий конфликт (а тогда ракеты будут более разрушительны), а коммерческие хакеры заинтересованы в том, чтобы всё работало, деньги зарабатывались, и их не разыскивали спецслужбы, как террористов.
Случайно, конечно, всякое случается. Сдуру и всякое можно сломать. Можно даже вообразить хакеров на службе ИГИЛ (если бы автор не был уверен, что и ИГИЛ, и прочие «мировые террористы» - это перчатка на руке США, чисто прагматический инструмент геополитики).
В общем, мировое инфернальное зло, которое творит зло ради самого зла и возможности посмеяться сатанинским смехом за кадром – оно в основном водится в Голливуде. Все остальные злодеи – прагматики. Прагматики в разрушении плотины или АЭС в мирное время – нет.
13. Почему такой успех? Успех скорее медийный. Заражения с десятками тысяч и сотнями тысяч заражённых компьютеров – повседневность. В сети на хакеров и спамеров работают ботнеты из миллионов заражённых компьютеров (см. выше).
Технический успех заражения обеспечен тем, что:
a. Люди не обновляют Windows,
b. Люди не ставят актуальных антивирусов,
c. Слабая политика ИБ в организациях,
d. Вирус изначально был хорошо «посеян», то есть разослан в почту с хорошей социотехникой и/или выложен на очень популярных сайтах для скачивания, где люди качают порно, пиратку, прочий «варез», как говорится. То есть сработала удачная социотехника.
Медийный успех вируса обеспечен тем, что:
e. Широкое распространение: сотня стран мира.
f. Вирус появлялся в утечках про спецслужбы США.
g. Вирус объявляет себя на компьютере, вывешивает страшную красную планку.
h. Новость «села» на тему о «русских хакерах»:
«… Британские СМИ заподозрили Россию в причастности к кибератакам в 74 странах мира в отместку США за совершенные авиаудары по Сирии. Об этом сообщила газета The Telegraph. Журналисты предполагают, что вирус-вымогатель запустила якобы связанная с Россией хакерская группировка Shadow Brokers».
i. Зацепило Европу, затем у нас заразилось МВД, РЖД и другие госорганы, что важно для наших СМИ.
j. Прокомментировал Сноуден (что это инструменты АНБ).
k. По этим причинам произошла и происходит бурная раскрутка в СМИ.
Выводы:
l. Политической подоплёки – нет. Вирус сработал в Европе, России и других странах. Везде. «Русские хакеры» - не при чём. ЦРУ – тоже.
m. Коммерческой подоплёки тоже, возможно, нет, заработок там небольшой (на 15 мая – 42К долларов). Скорее – тренировка. Или демонстрация работы вирусов из арсенала АНБ.
n. Почему заразили МВД и другие ведомства? Во-первых, беспечность, во-вторых, возможно, запрет на автоматическое обновление Windows (что, в принципе, можно понять). Пиратские копии, популярные у нас, тоже внесли свою лепту.
o. Типовой случай, слегка выше среднего. В общем, это – типовая успешная массовая вирусная атака, получившая хорошую прессу из-за горячей темы про «русских хакеров», Викиликса и российского МВД.
p. Зачем запустили? Скорее всего, попробовать, работают ли боевые АНБшные вирусы. Для этого и нелепое требование 300 долларов, благодаря которому журналисты услужливо делают для хакеров карты распространения их вируса.
q. Будет ли следующая волна? Да вряд ли. Все встряхнулись, скачали, установили, перепрошились и забегали. Какие-то «афтершоки» будут, вероятно, но небольшие.
r. Будут ли следующие атаки? Обязательно. Люди же не меняются. Как и Windows.
s. Конспирология напоследок. Ну и самая страшная версия (шутка одного из известных российских специалистов в ИБ): вирус – приманка, разводка, а настоящие, рабочие уязвимости сейчас все скачивают в обновлениях и заплатках.
будущее уже сегодня
повседневность чО
вот за что ценю ув. Игоря Ашманова - никого г.на в голове нет и жизнь воспринимает очень реально
Комментарии
Был такой процесс csrss.exe, который жрал 50% оперативки. Никак не удалялся. Скачал KVRT и MBAM и удалил. Это и был no_more_ransom. Даже не выяснял, как попал в папку Appdata. На всякий случай в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Run, искал ключ с именем Client Server Runtime Subsystem. Уже не было.
Вот лет 10 назад был червь storm, Вебер его пропустил. Лечил и плюнул. Просто тупо форматнул и сохранённый образ через Акронис за 5 минут устанавливал.
Только в том случае, если прописался в \System32. В папке создаётся файл csrss.exe, который является копией исполняемого файла вируса. Затем шифровальщик создаёт запись в реестре Windows.
Вирусу необязательно физически копировать себя в %windir%\System32. Достаточно работать в системе с правами пользователя, обладающего правами на запись. Или с правами суперпользователя.
При заражении компьютера вирусом-шифровальщиком no_more_ransom, эта вредоносная программа копирует своё тело в системную папку и добавляет запись в реестр Windows, обеспечивая себе автоматический запуск при каждом старте компьютера. После чего вирус приступает к зашифровке файлов.
Во время заражения компьютера, вирус-шифровальщик no_more_ransom может использовать несколько разных каталогов для хранения собственных файлов. Например, C:\ProgramData\Windows, C:\Users\Все пользователи\Windows, C:\ProgramData\Csrss, C:\Users\Все пользователи\Csrss, C:\ProgramData\System32, C:\Users\Все пользователи\System32. В папке создаётся файл csrss.exe, который является копией исполняемого файла вируса. Затем шифровальщик создаёт запись в реестре Windows. Сразу после запуска вирус сканирует все доступные диски, включая сетевые и облачные хранилища, для определения файлов которые будут зашифрованы.
Определить заражён компьютер или нет вирусом-шифровальщиком no_more_ransom довольно легко. Если вместо ваших персональных файлов появились файлы со странными именами и расширением no_more_ransom, то ваш компьютер заражён. признаком заражения является наличие файла с именем README в ваших каталогах.
Я не знаю, каким надо быть юзверем, чтобы допустить такие глюки.
del
ну наконец то голос разума пробился сквозь шумиху
Запомни, генезис - это скайнет! (с)
Скайнет и есть вирус! (с)
просто микрософту (?) надо было срочно обновки по всем раскидать.
Так этот микрософт и раскидал - 8-ке и 10-ке. а на 7-ку болт положил.
Автор явно не удасужился понять контекста распространения и способа распространения вируса. Иначе приходится думать что автор намеренно решил солгать достойной публике в ряде кпючевых моментов.а именно:
- ложь- Атака , как способ заражения не связана с вредом причиняемым вирусом- именно атака как способ заражения выделяет этот вирус на фоне прочих "шифровальщиков". Вирус может успешно атаковать компьютер и не приченить вреда просто заплучив контроль- эти детали не так важны как способ заражения.
Невозможно оценить количество зараженных кампьютеров вирусом этого типа- об этом кстати явно говорится в отчете Symantec "Symantec does not actively monitor the number of WannaCry cases" . Число 200 000 я так понимаю взято со статьи в блоге Касперского опубликованной 13 мая.https://blog.kaspersky.com/wannacry-ransomware/16518/?utm_source=threats.kaspersky.com, Как получена эта цифра- не понятно учитывая что в первую очередь поражаются компьютеры без антивируса и вирус уж точно не отсылает отчетов лаборатории касперского как и прочих разработчиков. По данным Symantec на 15 мая https://www.symantec.com/about/newsroom/press-releases/2017/symantec_0515_01 "Symantec Blocks 22 Million Attempted WannaCry Ransomware Attacks Globally" -Это конечно грубый индикатор причем только дл тех капутеров где нортон антивирус установлен...Большинство заражений как понятно из способа распространения было во внутреннх сетях предприятий. Поскольку в России типично использовать не лицензионную Win-7 в госслужбах и прочих предприятиях ( ну просто потому что работает ) с отключенной службой обновлений ( и правильно - вдруг выяснится что установлен не лецинзионный дистрибутив)- то масштаб заражения становится более понятен.
На текущий момент это так но если обратится к поиску VirusTotal https://virustotal.com/ru/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c/analysis/ по хэшу какой нибудь разновидности этого вируса то выясняется что обновления с этим хешем для практически всех антивирусов были установлены 19 - 20 мая ( кроме некоторых малоизвестных китайских).
по мелочи всяких популистских заявлений оставлю без коментария...
на последок:
Социотехника к данному вирусу как раз никакого отношения не имеет. - в этом то и его особенность. Для начала заражения достаточно подключить машину с активным вирусом к интернету. SMB порты открыты на огромном числе машин с прямым доступом в глобальную сеть. Он распространяется в отличие от mail-червей ( которых просто посчитать кстати) просто по windows-сети. О уязвимости кстати стало известно из материалов анб 7- марта.Заплатка появилась 13- го марта.
Очередной автор написал очередной бред.
Этот вирус, который как утверждает автор, полностью парализовал работу многих силовых структур в России (не только МВД). И об этом как раз нет ни какого шума. Об этом вообще СМИ ничего не знают.
Привожу конкретный пример, одной из пострадавших организаций, от атаки так называемого якобы пустячкового вируса, о котором идет речь. Работа с автоматизированными системами управления очень жестко контролируется службами собственной безопасности и даже сотрудниками ФСБ, многие устройства аттестованы ФСБ для работы с секретной информацией, установлен специализированный лицензированный вариант винды для режимных объектов. Антивирус Касперского, естественно лицензированный и обслуживаемый как положено. Машины подключены к сети, кам всем казалось не к глобальной, а внутриведомственной. Только на сайт главка есть выход, на котором ведомственная внутренняя почта.
Работа "пустячкового" вируса показала следующий результат - пришли люди утром на службу, а все машины, которые на ночь не выключили а перевели в спящий режим (а таких большинство), убиты. Также убита вся информация на подключенных к этим машинам накопителях информации. Это может показаться фантастикой, но это так. Причем машины между собой не соединены по локальной сети, каждая погибала самостоятельно, и ни одна, не зависимо от марки производителя, от категории секретности, от версии винды или каспера не смогла уцелеть. И заметьте, всё что пишут в СМИ, о том что вирус распространялся через некие письма, или сайты, или скачиваемые приложения, то есть из-за тупоголового пользователя ПК, тоже ложь. Человека в этот момент вообще близко небыло. Когда он пришел на работу, писмо открыть он ни какое не мог, потому что почтовый сервер уже лежал, зайти на какие-то сайты или что-то скачать не мог, потому что когда лежит почтовый сервер, связь отсутствует совсем, подключение к сети есть, но зайти ни куда не возможно, ни каким способом.
Да, технические специалисты, через несколько дней паралича, всё-таки реанимировали все машины, дешифровали всю файловую систему, и теперь они работают как ни в чем не бывало, но... на них нельзя было хранить служебную информацию, вся она была на съёмных носителях, и те которые оставались на ночь подключенными.... Короче, об этом даже не желательно распространяться. Пусть автор текста, про "пустячковый" вирус, сам попробует догадаться о последствиях.
Ни чего подобного я ранее не встречал и даже предположить не мог. И считаю, высказывания автора про якобы рядовой вирус и про миллиарды подобных атак проводящихся ежедневно, неуместным бахвальством, из области услышал звон да не знает где он. По моему автор вообще не в курсе что случилось. Или он просто был свидетелем какого-то рядового заражения из сети, которых миллиарды проводится ежедневно, и подумал что это о нём речь идет, и бросился скорее ересь нести в массы...
Как я писал ранее, проблема начинается с маршрутизаторов на линуксе и нарушения заложенных в них правил через back door. Скорее всего - крупно сэкономили на маршрутизаторах - всё пустили через один, организовав VLANы, т.е. внешний и внутренний сетевой трафик обрабатывала одна железка, которая и была хакнута, предоставив доступ к внутренней сети. Далее через сетевуху разбудили доступные компы и устроили пиршество.
А чтоб, на ночь не оставляли включенными компы и прочее оборудование, надо периодически устраивать рейды пожарной охраны, по результатам - руководителей подразделений - рублем по карману.
В советское время ещё и рубильником отключали всё кроме охраны и пожарной сигнализации.
просто пользователь, это всё конечно верно, но труднореализуемо на практике, потому что указанные организации работают круглосуточно, и компьютеры почти никогда полностью не выключаются, ведь если один специалист пошел домой спать, то есть ряд других специалистов работающих в этом же режимном помещении или имеющх доступ, заступили на дежурство, и им в любой момент может понадобиться сесть за данный компьютер к которому они тоже имеют допуск. Здесь нет ни какого нарушения. Здесь можно только рекомендовать ни когда не оставлять подключенными к ПК накопители информации если не работаешь с ней в данный момент. Ибо все эти касперские и даже специализированные сверхсекретные и аттестованные в органах безопасности операционные системы, стопроцентной защиты не обеспечивают.
У нас в конторе весь этот шторм прошёл с постоянно включенными компами на 7ке,с каспером с истёкшей лицухой.
20+ компов. И даже не заметили.
Просто не надо быть лохом.
Если итешники просрали, то их нужно переработать на компост.
все верно
но скорее всего не было отключено удавленное администрирование
и вирус изначально залез к админу
а потом поехал
для того чтоб подключится к интернету не нужно никого доп оборудования
все смартфоны могут быть точкой доступа
( сам пользуюсь таким инетом на рабочем )
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Наверняка, не я первый выдвигаю эту идею, но на мой взгляд, тут есть очевидный бенефициар - Майкрософт. Они подстегивают барашков к обновлению на новую ось Вин10 - а не то видите, что бывает - усё пропадет. А Вин10 уже соткана так, что нужные окна и подслушивающие устройства туда вмонтированы, и сильно трудиться над взломом нужных компов более не надо.
Бэкапы наше все. Хотя сегодня условное ЦРУ продвигает онлайн бэкапы. (еще одна заинтересованная сторона кто подымается на подобном как и проды антивирусов)
Страницы