WannaCry шифрлаушы эпидемиясы: орын алған оқиға және қалай қорғалуға болады

12 мамыр күні WannaCry шифрлаушы-троян эпидемиясы басталды – бұл оқиға әлем бойынша таралып келетін болса керек. Біздің оны эпидемия деп атауымыздың себебі, оның өте ауқымды болуы. Бір күн ішінде біз жасалған шабуыл оқиғасының 45 000 мыңнан астам санына жеттік, алайда іс жүзінде олардың одан да көп болуы әбден мүмкін.

Орын алған оқиға

Жұмысын уақытша тоқтатуға мәжбүр болған бірнеше британ клиникасын қоса алғанда, зақымдаулар туралы бірден бірқатар ірі компания хабарлады. Сыртқы деректер бойынша WannaCry жүздеген мыңнан астам компьютерлерді зақымдап үлгерген. Шынында, оған осынша назар бөлініп отырғаны да осыған байланысты.

Шабуылдардың басым бөлігі Ресейге жасалған, дегенмен Украина, Үндістан, Тайвань елдеріне де WannaCry күрделі нұқсан келтірген. Біз WannaCry барлығы 74 елде болғанын айқындадық. Бұл бірініші күні жасалған шабуылдың нәтижесі.

WannaCry дегеніміз не?

Тұтас алғанда WannaCry — бұл эксплойт, оның көмегімен зақымдау мен тарату жүргізіледі, оған қоса зақымдау орын алғаннан кейін компьютерге жүктелетін шифрлаушы.

Бұл WannaCry-ның көптеген өзге шифрлаушылардан маңызды ерекшелігі. Өзінің компьютерін әдеттегі шифрлаушымен зақымдау үшін пайдаланушы қандай да бір қателік жіберуі тиіс – күдікті сілтемеге басу, Word-да макросты орындауға рұқсат беру, хаттағы күмәнді хабарламаны көшіру. WannaCry-мен ештеңе істемей-ақ зақымдалуға болады.

WannaCry: эксплойт тарату тәсілі

WannaCry шығарушылар EternalBlue атауымен танымал Windows арналған эксплойтты пайдаланған. Ол Microsoft ағымдағы жылғы 14 наурызда MS17-010 қауіпсіздіктің жаңартуында жапқан осалдықты пайдаланады. Зиянкестердің аталған эксплойттың көмегімен компьютерге қашықтықтан қолжетімділік алып, оған нақты шифрлаушыны орнату мүмкіндігі болды.

Егер сізде жаңарту орнатылған және осалдық жабылған болса, компьютерді қашықтықтан бұзу мүмкін емес. Алайда, GReAT «Касперский зертанасының» зерттеушілері осалдықты жабу нақты шифрлаушының жұмыс істеуіне ешқандай кедергі болмайтынына ерекше назар аударады, сонымен сіз оны әлдеқалай енгізген жағдайда, патч сізді құтқармайды.

WannaCry компьютерді ойдағыдай бұзғаннан кейін басқа компьютерлерге зиянкес тәрізді локальдық желі бойынша таралу әрекетін жасайды. Ол EternalBlue көмегімен пайдалануға болатын сол осалдықтың болуына қатысты басқа компьютерлерді сканерлеп, тапқан кезде оларға шабуыл жасайды және шифрлайды.

WannaCry бір компьютерге еніп, барлық локальдық желіні зақымдай алады және ондағы барлық компьютерлерді шифрлайды. Бұл WannaCry ірі компанияларға күрделі нұқсан келтіргеннің себебі – желідегі компьютерлердің саны көп болса, келтірілетін нұқсан да жоғары.

WannaCry: шифрлаушы

WannaCry шифрлаушы ретінде (кейде ол WCrypt деп аталады, және логикалық тұрғыдан декриптор емес криптор болғанына қарамастан, кей уақытта WannaCry Decryptor деп аталады) басқа шифрлаушылардың әрекетін жасайды – компьютердегі файлдарды шифрлайды және олардың шифрын ашу үшін ақы төлеуді талап етеді. Көбіне ол қапалы ретінде белгілі CryptXXX троянының бір түріне ұқсайды.

Ол файлдардың әр түрін (толық тізімін мына жерден қөруге болады) шифрлайды, әрине, олардың ішінде кеңсе құжаттары, суреттер, фильмдер, мұрағаттар мен пайдаланушы үшін маңызды болып табылатын ақпарат қамтылуы мүмкін файлдардың басқа да форматтарын шифрлайды. Шифрланған файлдар .WCRY (шифрлаушының атауы осыған байланысты пайда болған) кеңейтуін алып, толығымен оқуға жарамсыз болып қалады.

Содан кейін ол зақымдалу туралы хабарлама мен файлдарды кері қайтару үшін орындау қажет іс-қимылдардың тізімін шығара отырып, жұмыс үстелінің тұсқағазын ауыстырады. WannaCry пайдаланушының назарынан тыс қалмауы үшін осындай мәтіндік файлдар түріндегі хабарламаларды папкаларға таратады. Әдеттегідей, барлығы бір соманы зиянкестердің әмиянына биткоинмен аудару – сонда ғана олар файлдардың шифрын ашатыны туралы. Басында киберқылмыскерлер $300 талап еткен, содан кейін мөлшерін көтеруді шешіп – WannaCry соңғы нұсқаларында $600 саны пайда болды.

Сондай-ақ, зиянкестер 3 күн өткен соң төлем сомасы ұлғаяды, ал 7 күннен кейін файлдардың шифрын ашу мүмкін болмайды деп пайдаланушыны қорқытады. Біз зиянкестерге ақы төлеуді ұсынбаймыз – төлемді алып, олар сіздің деректеріңіздің шифрын ашатынына ешқандай кепіл жоқ. Бұдан басқа, басқа күштеп алушылардың жағдайында зерттеушілер кейде деректер жай жойылатынын көрсеткен болатын, яғни зиянкестер ақы төлеуді талап етсе де, олардың шифрын ашу физикалық мүмкін болмайды.

Доменді тіркеу зақымдауды қалайша уақытша тоқтатты және мұның әлі де аяқталмау себебі

Malwaretech никімен тіркелген зерттеуші Интернетте ұзақ және мүлде мағынасыз атауымен доменді тіркеу арқылы зақымдауды уақытша тоқтатқаны қызықты.

WannaCry кейбір үлгілері аталған доменге хабарлама жіберіп, оңтайлы жауап алмаған жағдайда шифрлаушыны орнатып, өзінің жағымсыз ісін бастаған екен. Жауап келген жағдайда (яғни домен тіркелген кезде), зиянкес қандай да бір қызметін тоқтатқан.

Зерттеуші тронянның кодында осы доменге сілтемені айқындағаннан кейін оны тіркеп, шабуылды уақытша тоқтатқан. Қалған уақытта доменге он мыңдаған хабарламалар келді, яғни он мыңдаған компьютерлер зақымдаудан құтқарылды.

WannaCry функционалдылығы – бірдеңе ойдағыдай болмаған жағдайға, ажыратқыш ретінде кіріктірлігені туралы пікір бар. Зерттеуші де ұстанатын басқа нұсқасы: бұл зиянкестің іс-қимылын талдауды күрделендіру тәсілі болып табылатыны туралы. Тестілеу зерттеу орталарында жиі кез келген домендерден жағымды жауап келіп түсетіндей етіп жасалады – және мұндай жағдайда тестілеу ортасында троян ешқандай іс-қимыл жасамас еді.

Өкінішке орай, троянның жаңа нұсқаларында зақымдаудың жалғасуы үшін зиянкестерге «ажыратқышта» көрсетілген домендік атауды ауыстыру жетклікті болады. Демек, WannaCry эпидемиясының алғашқы күні оның соңғы күніне айналмас.

WannaCry-дан қорғалу тәсілдері

Өкінішке орай, қазіргі сәтте WannaCry шифрлаған файлдардың шифрын ашу тәсілдері жоқ. Яғни зақымдаумен күресудің бір ғана тәсілі бар – оған жол брмеу.

Зақымдауды болдырмау немесе келтірілген нұқсанды төмендету жөнінде бірнеше кеңес:

  • Файлдардың резервтік көшірмелерін үнемі жасап, оларды компьютерге тұрақты қосылмайтын тасығыштарда сақтаңыз. Соңғы резервтік көшірмесі болған жағдайда, шифрлаушымен зақымдалу – қауіпті оқиға емес, тек қана жүйені қайта орнатуға немесе тазалауға жоғалтқан бірнеше сағат. Өздігінен бэкаптарды жасауға ерінсеңіз - Kaspersky Total Security кіріктірілген модульді пайдаланыңыз, ол аталған үдерісті автоматтандыруды біледі.
  • БҚ арналған жаңартуларды орнатыңыз. Windows осы жағдайда барлық
    пайдаланушыларға MS17-010 жүйелік қауіпсіздік жаңартуын орнатуды ұсынады, оған қоса Microsoft оны қазіргі уақытта ресми қолдау көрсетілмейтін Windows XP немесе Windows 2003 тәрізді жүйелері үшін де шығарды. Шынымен, оны дәл осы сәттеорнатыңыз – қазір ол шын мәнінде маңызды болып табылатын жағдай.
  • Сенімді вирусқа қарсы бағдарламаны қолданыңыз. Kaspersky Internet Security WannaCry локальдық және желі бойынша таралу әрекетін жасаған кезде де айқындайалады. Бұдан басқа, «Белсенділік мониторингі» (System Watcher) кіріктірілген модуліжағымсыз өзгертулерді кейінге шегіндіре алады, яғни зиянкестердің әлі вирусқа қарсы бағдарламалар базасына енгізілмеген нұсқаларының файлдарды шифрлауына жол бермейді.

Ақпарат көзі: blog.kaspersky.ru