В пятницу 12 мая организации по всему миру пострадали от масштабной атаки программы-вымогателя, получившей название WannaCry. Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows – о ней стало известно еще 14 апреля из документов, опубликованных группировкой Shadowbrokers.
В пятницу 12 мая организации по всему миру пострадали от масштабной атаки программы-вымогателя, получившей название WannaCry. Зловред проникал на компьютер через уязвимость (для которой уже выпущено закрывающее обновление) в Microsoft Windows – о ней стало известно еще 14 апреля из документов, опубликованных группировкой Shadowbrokers.
На протяжении всех этих дней «Лаборатория Касперского» внимательно следила за развитием ситуации и изучала угрозу.
Эволюция программы-вымогателя
Общее число вариаций зловреда, циркулирующих в Сети в понедельник 15 мая, до сих пор неизвестно. Однако за выходные дни (13-14 мая) появилось две заметных модификации. «Лаборатория Касперского» полагает, что ни один из этих вариантов не был создан авторами оригинального вымогателя – скорее всего, за ними стоят другие игроки киберпреступного мира, которые решили воспользоваться ситуацией в своих интересах.
Первый из двух упомянутых образцов зловреда начал распространяться рано утром в воскресенье, приблизительно в 4 часа по московскому времени. Он подключался к другому домену. На данный момент «Лаборатория Касперского» обнаружила три жертвы этого варианта вымогателя – в России и Бразилии.
Второй вариант, появившийся на днях, по всей видимости, умеет обходить так называемый киллсвитч (killswitch) – ту особенность в коде программы, которая помогла остановить первую волну атак. Однако не похоже, что этот вариант получил распространение, возможно, из-за ошибки в коде.
Число заражений
Анализ сетевых журналов дает основания предполагать, что вымогатель WannaCry начал распространяться в четверг 11 мая.
Установить точное число заражений сложно. «Лаборатория Касперского» зафиксировала более 45 тысяч попыток атак на пользователей во всем мире. Однако это только часть всех попыток атак (данные отражают лишь долю пользователей продуктов «Лаборатории Касперского»).
Более точно оценить ситуацию позволяют данные с сервера, соединение с которым было запрограммировано в большинстве версий WannaCry (тот самый киллсвитч). Так, в настоящее время на сервере Malwaretech, собирающем перенаправления с киллсвитч-кода, зарегистрировано более 200 тысяч нотификаций о заражении.
Вместе с тем это число не включает в себя заражения внутри корпоративных сетей, где для подключения к Интернету требуется прокси-сервер. То есть реальное число жертв может быть больше.
Количество попыток атак WannaCry, задетектированных «Лабораторией Касперского» в понедельник 15 мая, снизилось в шесть раз по сравнению с аналогичным показателем пятницы, 12 мая. Это позволяет предположить, что контроль над процессом заражения почти установлен.
Мы рекомендуем компаниям предпринять ряд мер для снижения рисков заражения:
- Установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость (в частности уже доступны обновления для версий Windows XP, Windows 8 и Windows Server 2003);
- Убедиться, что включены защитные решения на всех узлах сети;
- Если вы не используете решения «Лаборатории Касперского», рекомендуем установить бесплатную утилиту Kaspersky Anti-Ransomware Tool для бизнеса;
- Если используется защитное решение «Лаборатории Касперского», убедиться, что его версия включает в себя компонент «Мониторинг Системы» и он включен;
- Запустить задачу сканирования критических областей в защитном решении «Лаборатории Касперского», чтобы обнаружить возможное заражение как можно раньше (в противном случае детектирование произойдет автоматически в течение 24 часов);
- После детектирования Trojan.Win64.EquationDrug.gen произвести перезагрузку системы;
- В дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных целевых атаках и возможных заражениях;
- Среди целей WannaCry в том числе и встроенные системы. Для обеспечения их безопасности мы рекомендуем использовать специализированные решения с включенными функциями защиты от вредоносных программ и «Запрет по умолчанию».
Техническая информация
Более подробную информацию об атаках WannaCry можно найти в отчетах «Лаборатории Касперского»: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world и https://securelist.com/blog/research/78411/wannacry-faq-what-you-need-to-know-today/. Обновленный отчет с последними данными об угрозе будет опубликован в ближайшее время.
Согласно данным «Лаборатории Касперского» и ISC SANS, 15 мая количество обращений к порту 445, через который троянец проникает в систему, существенно сократилось. Это также говорит в пользу того, что атака идет на убыль.