Globālais Ransomware uzbrukums un kā aizsargāt jūsu datus

Reklāma

Masveida kiberuzbrukums ir skāris datorus visā pasaulē. Ļoti virulents pašreplicējošs ransomware - pazīstams kā WanaCryptor, Wannacry vai Wcry - daļēji ir piešķīris Nacionālās drošības aģentūras (NSA) pagājušajā mēnesī izlaists savvaļā Kibernoziedzniekiem ir CIP hakeru rīki: ko tas jums nozīmēCentrālās izlūkošanas pārvaldes visbīstamākā ļaunprogrammatūra - kas var uzlauzt gandrīz visu bezvadu patēriņa elektroniku - tagad varētu atrasties zagļu un teroristu rokās. Ko tas jums nozīmē? Lasīt vairāk Datorurķēšanas grupa, kas pazīstama kā The Shadow Brokers.

Tiek uzskatīts, ka ransomware ir inficējis vismaz 100 000 datoru, liecina antivīrusu izstrādātāju dati, Avast. Masveida uzbrukums galvenokārt bija vērsts uz Krieviju, Ukrainu un Taivānu, bet izplatījās lielākajās institūcijās vismaz 99 citās valstīs. Infekcija ir ievērojama ne tikai prasot 300 USD (ap 0,17 Bitcoin rakstīšanas laikā) par daudzvalodu pieeju izpirkuma maksas iegūšanai: ļaunprogrammatūra atbalsta vairāk nekā divus desmitus valodās.

Kas notiek?

WanaCryptor rada milzīgus, gandrīz nebijušus traucējumus. Izpirkšanas programmatūra ietekmē bankas, slimnīcas, telekomunikācijas, energoapgādes pakalpojumus, un cita misijai būtiska infrastruktūra Kad valdības uzbrūk: ir atklāta valstu ļaunprātīga programmatūraKiberkarš šobrīd notiek un ir slēpts internetā, tā rezultāti reti tiek novēroti. Bet kas ir šī kara teātra spēlētāji, un kādi ir viņu ieroči? Lasīt vairāk .

Tikai Lielbritānijā vismaz 40 NHS (Nacionālais veselības dienests) uzticas ārkārtas situācijām, liekot atcelt svarīgo operācijas, kā arī apdraud pacientu drošību un drošību un gandrīz noteikti noved pie bojāgājušie.

Policija atrodas Sautportas slimnīcā, un ātrās palīdzības automašīnas tiek “atbalstītas” A&E, kad darbinieki tiek galā ar notiekošo hakeru krīzi #NHSpic.twitter.com/Oz25Gt09ft

- Ollija Kovana (@Ollie_Cowan) 2017. gada 12. maijs

WanaCryptor pirmo reizi parādījās 2017. gada februārī. Sākotnējā ransomware versija mainīja skarto failu paplašinājumus uz “.WNCRY”, kā arī katru failu atzīmēja ar virkni “WANACRY!”

WanaCryptor 2.0 strauji izplatās starp datoriem, izmantojot ekspluatāciju, kas saistīta ar vienādojumu grupu, a Datorurķēšanas kolektīvs, kas ir cieši saistīts ar NSA (un par kuru tiek baumots, ka tas ir viņu iekšējais “netīrais” uzlauzums) vienība). Cienītais drošības pētnieks Kafeine apstiprināja, ka ļaunprātīga izmantošana, kas pazīstama kā ETERNALBLUE vai MS17-010, iespējams, bija redzama atjauninātajā versijā.

WannaCry / WanaCrypt0r 2.0 patiešām iedarbina ET noteikumu: 2024218 "ET IZMANTOT iespējamo ETERNALBLUE MS17-010 atbalss reakciju" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 2017. gada 12. maijs

Vairāki izmantojumi

Šis uzpirktās programmatūras uzliesmojums atšķiras no tā, ko jūs jau esat redzējis (un es ceru, ka neesat pieredzējis). WanaCryptor 2.0 apvieno noplūdušo SMB (servera ziņojumu bloku, Windows tīkla failu apmaiņas protokolu) izmantot ar pašreplicējošu kravas, kas ļauj ransomware izplatīties no vienas neaizsargātas mašīnas uz Nākamais. Šis izpirkšanas tārps izslēdz parasto inficētā e-pasta, saites vai citas darbības izplatīšanas programmatūru.

Malwarebytes pētnieks Adam Kujawa stāstīja Ars Technica “Sākotnējais infekcijas pārnēsātājs ir kaut kas, ko mēs joprojām cenšamies noskaidrot… Ņemot vērā, ka šis uzbrukums šķiet mērķtiecīgi, tas varētu būt saistīts vai nu ar tīkla aizsardzības ievainojamību, vai ar ļoti labi izstrādātu šķēpa pikšķerēšanu uzbrukums. Neatkarīgi no tā, tas izplatās caur inficētiem tīkliem, izmantojot EternalBlue ievainojamību, inficējot papildu nepievienotas sistēmas. ”

WanaCryptor izmanto arī DOUBLEPULSAR, vēl viena NSA noplūde izmanto CIP Datorurķēšana un velve 7: ceļvedis jaunākajam WikiLeaks laidienamVisi runā par WikiLeaks - atkal! Bet CIP tiešām neskatās jūs caur jūsu viedo TV, vai ne? Vai tiešām noplūdušie dokumenti ir viltoti? Vai varbūt tas ir daudz sarežģītāk. Lasīt vairāk . Šī ir aizmugure, kas tiek izmantota kaitīgā koda ievadīšanai un attālai vadīšanai. Infekcija skenē tos saimniekus, kas iepriekš inficēti ar sētas durvīm, un, kad tie ir atrasti, izmanto esošo funkcionalitāti, lai instalētu WanaCryptor. Gadījumos, kad resursdatora sistēmai nav esošas DOUBLEPULSAR aizmugures durvis, ļaunprogrammatūra atgriežas atpakaļ pie ETERNALBLUE SMB izmantošanas.

Kritisks drošības atjauninājums

NSA hakeru rīku milzīgā noplūde padarīja virsrakstus visā pasaulē. Ir pieejami tūlītēji un nepārspējami pierādījumi tam, ka VDI savāc un glabā neatbrīvotus nulles dienu krājumus savai lietošanai. Tas rada milzīgu drošības risku 5 veidi, kā pasargāt sevi no nulles dienas izmantošanasNullas dienas programmatūras ievainojamības, kuras hakeri izmanto, pirms plāksteris ir pieejams, rada patiesus draudus jūsu datiem un privātumam. Tas ir, kā jūs varat turēt hakerus mierīgi. Lasīt vairāk , kā mēs tagad redzējām.

Par laimi, Microsoft ielāps Eternalblue ekspluatācija notika martā, pirms Shadow Brokers masveida ieročiem paredzētā ekspluatatīvā vide nonāca virsrakstos. Ņemot vērā uzbrukuma raksturu, ka mēs zinām, ka šī konkrētā izmantošana notiek, un straujo infekcijas raksturu, šķiet, ka milzīgs skaits organizāciju neizdevās instalēt kritisko atjauninājumu Kā un kāpēc jums jāinstalē šis drošības ielāps Lasīt vairāk - vairāk nekā divus mēnešus pēc izlaišanas.

Galu galā skartās organizācijas vēlēsies spēlēt vainas spēli. Bet kur vajadzētu norādīt ar pirkstu? Šajā gadījumā ir pietiekami daudz vainas, lai dalītos: NSA for bīstamo nulles dienu krājumu uzkrāšana Kas ir nulles dienas ievainojamība? [MakeUseOf skaidrojumi] Lasīt vairāk , ļaundari, kas atjaunināja WanaCryptor ar noplūdinātajiem resursiem, daudzas organizācijas, kas ignorēja kritisku drošības atjauninājumu, un citas organizācijas, kas joprojām izmanto Windows XP.

Iespējams, ka cilvēki ir miruši, jo organizācijas uzskata, ka primārās operētājsistēmas jaunināšanas slogs ir vienkārši satriecošs.

Microsoft ir nekavējoties atbrīvots kritisks Windows Server 2003, Windows 8 un Windows XP drošības atjauninājums.

Microsoft izlaidumi #WannaCrypt nepamatotu produktu Windows XP, Windows 8 un Windows Server 2003 aizsardzība: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 2017. gada 13. maijs

Vai es esmu pakļauts riskam?

WanaCryptor 2.0 izplatījās kā ugunsgrēks. Savā ziņā cilvēki ārpus drošības nozares bija aizmirsuši par strauju tārpa izplatību, un panika, ko tas var izraisīt. Šajā ar hipersaiti saistītajā laikmetā un apvienojumā ar kriptogrāfijas programmatūru ļaunprātīgās programmatūras piegādātāji nonāca drausmīgā uzvarētāja lomā.

Vai jūs esat pakļauts riskam? Par laimi, pirms Amerikas Savienotās Valstis pamodās un apritēja skaitļošanas diena, MalwareTechBlog atrada ļaunprātīgas programmatūras kodā paslēptu nogalināšanas slēdzi, ierobežojot infekcijas izplatību.

Nogalināšanas slēdzī tika iesaistīts ļoti garš absurds domēna nosaukums - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com -, kuru ļaunprātīgā programmatūra pieprasa.

Tāpēc es savai Résumé varu pievienot tikai "nejauši apturētu starptautisku kiberuzbrukumu". ^^

- ScarewareTech (@MalwareTechBlog) 2017. gada 13. maijs

Ja pieprasījums atgriežas tiešsaistē (t.i., pieņem pieprasījumu), ļaunprātīgā programmatūra mašīnu neinficē. Diemžēl tas nepalīdz jau inficētiem. Drošības pētnieks aiz MalwareTechBlog reģistrēja adresi, lai izsekotu jaunas infekcijas, izmantojot viņu pieprasījumus, nesaprotot, ka tas ir ārkārtas nogalināšanas slēdzis.

#WannaCry Pavairošanas noslodzē ir iepriekš nereģistrēts domēns, izpildīšana neizdodas tagad, kad domēns ir izveidots pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 2017. gada 12. maijs

Diemžēl pastāv iespēja, ka pastāv arī citi izpirkšanas programmatūras varianti, katram ar savu iznīcināšanas slēdzi (vai vispār nav, atkarībā no gadījuma).

Ievainojamību var mazināt arī, atspējojot SMBv1. Microsoft nodrošina rūpīgu apmācību par to, kā to izdarīt operētājsistēmai Windows un Windows Server. Operētājsistēmā Windows 10 tas var būt ātri sasniedzams nospiežot Windows taustiņš + X, atlasot PowerShell (administrators)un ielīmējot šādu kodu:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protokol

SMB1 ir vecs protokols. Jaunākās versijas nav neaizsargātas pret WanaCryptor 2.0 variantu.

Turklāt, ja jūsu sistēma ir atjaunināta kā parasti, jūs esat maz ticams izjust šīs konkrētās infekcijas tiešo iedarbību. Neraugoties uz to, ja jūs esat atcēlis NHS iecelšanu, ja bankas maksājums ir sabojājies vai neatradāt svarīgu paketi, jūs esat ietekmējis.

Un, vārdu sakot, gudrais izgudrojums ne vienmēr veic šo darbu. Conficker, kāds?

Kas notiek tālāk?

Apvienotajā Karalistē WanaCryptor 2.0 sākotnēji tika raksturots kā tiešs uzbrukums NHS. Tas tika atlaists. Tomēr problēma joprojām ir tā, ka simtiem tūkstošu cilvēku ļaunprātīgas programmatūras dēļ piedzīvoja tiešus traucējumus.

Ļaunprātīga programmatūra raksturo uzbrukuma pazīmes ar krasi neparedzētām sekām. Kiberdrošības eksperts, Dr. Afzal Ashraf, stāstīja BBC ka “viņi, iespējams, uzbruka mazam uzņēmumam, pieņemot, ka iegūs nelielu naudas summu, bet tas nokļuva NHS sistēmā un tagad viņi viņiem ir pilnīga valsts vara pret viņiem - jo acīmredzami valdība nevar atļauties, lai šāda veida lietas notiktu un būtu veiksmīgi. ”

Protams, tā nav tikai NHS. Spānijā, El Mundoziņo, ka 85 procenti datoru Telefonicā slimoja tārps. Fedex atzina, ka viņus ir ietekmējuši, kā arī Portugal Telecom un Krievijas MegaFon. Tas ir, neapsverot arī lielākos infrastruktūras nodrošinātājus.

Izveidotas divas bitcoin adreses (šeit un šeit), lai saņemtu izpirkuma maksu, tagad ir apvienots 9,21 BTC (rakstīšanas laikā aptuveni USD 16 000 USD) no 42 darījumiem. Tas teica, un, kas apstiprina “neparedzēto seku” teoriju, ir sistēmas identifikācijas trūkums, kas tiek nodrošināts ar Bitcoin maksājumiem.

Varbūt man kaut kā pietrūkst. Ja tik daudziem Wcry upuriem ir viena un tā pati bitcoin adrese, kā devi spēj pateikt, kas samaksāja? Kaut kas ...

- BleepingComputer (@BleepinComputer) 2017. gada 12. maijs

Kas notiek tālāk? Sākas tīrīšanas process, un ietekmētās organizācijas skaita savus zaudējumus - gan finansiālus, gan datus. Turklāt skartās organizācijas ilgi un smagi apskatīs savu drošības praksi un - I patiesi, patiesi ceru - atjauniniet, atstājot novecojušo un tagad bīstamo Windows XP operētājsistēmu aizmugurē.

Mēs ceram.

Vai jūs tieši ietekmēja WanaCryptor 2.0? Vai esat pazaudējis datus vai esat atcēlis tikšanos? Vai jūs domājat, ka valdībām būtu jāpiespiež atjaunināt misijai kritisko infrastruktūru? Paziņojiet mums par savu WanaCryptor 2.0 pieredzi zemāk un pastāstiet mums, ja mēs esam jums palīdzējuši.

Attēla kredīts: Viss, ko es daru, izmantojot vietni Shutterstock.com