Symantec: что нужно знать о вирусе WannaCry?


Как мы уже сообщали ранее, Symantec связывает киберпреступную группировку Lazarus Group с появлением вируса WannaCry. По словам представителей компании, на то есть две причины:

  • Схожесть инструментов, которые группировка Lazarus использовала при создании WannaCry, и обнаруженные на компьютерах, инфицированных ранними версиями вируса. (первые экземпляры «вымогателя» не могли распространяться через SMB). Инструменты Lazarus потенциально могли быть использованы в качестве метода распространения WannaCry, но это пока не подтверждено.
  • В своём Твиттере сотрудник Google Нил Мехта (Neel Mehta) заявил, что в коде известных инструментов Lazarus Group (включая Contopee и Brambul) и коде вируса WannaCry есть ранее нигде более не встречавшийся общий код, который является последовательностью из 75 шифров SSL.

Несмотря на то, что эти данные явно не указывают на связь между Lazarus и WannaCry, они дают достаточные основания продолжать дальнейшее расследование. Подробностями этого расследования Symantec обещает своевременно делиться.

Защищены ли пользователи Symantec от вирусов типа WannaCry?

Symantec Endpoint Protection (SEP) и Norton заблокировали любые попытки использовать уязвимости, эксплуатируемые WannaCry. То есть пользователи SEP были полностью защищены, прежде чем WannaCry начал активно распространяться. Усовершенствованные технологии машинного обучения в SEP14 выявляли и блокировали действия вируса WannaCry в «день ноль», без каких-либо дополнительных обновлений.

Глобальная сеть Symantec (Global Intelligence Network — GIN) под названием Blue Coat обеспечивает автоматическое обнаружение для всех продуктов при попытке заражения через Интернет.

Компьютеры клиентов Symantec и Norton находятся под защитой целого комплекса технологий, проактивную защиту которого обеспечивают:

  • Сетевая защита IPS,
  • Технология обнаружения поведения SONAR,
  • Усовершенствованное машинное обучение,
  • «Интеллектуальное облако» защиты от угроз.

Для полной проактивной защиты, пользователи должны использовать все эти технологии. Разработчики рекомендуют перейти на 14-б версию Symantec Endpoit Protection (SEP14), чтобы использовать проактивную защиту, предоставляемую Advanced Machine Learning.

Что же такое WannaCry?

WannaCry — вирус-вымогатель, который, попав на компьютер жертвы, ищет и шифрует файлы 176 различных типов, добавляя .WCRY в конец имени файла. WannaCry просит пользователей заплатить выкуп в размере 300 долларов США в биткойнах. В примечании о выкупе указывается, что сумма платежа будет удвоена через три дня.

Если оплата не будет произведена в течение недели, вирус удаляет зашифрованные файлы. Однако, Symantec не нашла в коде вируса команды, которые могли бы привести к удалению файлов.

Можно восстановить файлы или лучше заплатить?

Symantec не рекомендует платить за выкуп. В настоящее время расшифровка зашифрованных файлов невозможна, но исследователи компании пытаются найти такую возможность. Если у вас есть резервные копии зашифрованных файлов, вы можете попытаться восстановить их. Об этом мы планируем написать отдельную статью.

Напоминаем, что все оригинальные файлы (файлы, сохраненные на Рабочем столе,  папке «Мои документы», на съемном диске и так далее) после процедуры шифрования удаляются безвозвратно. Единственная возможность их восстановить — использовать резервные копии файлов.

Когда появился WannaCry и как быстро он распространился?

Вирус WannaCry впервые появилась в пятницу, 12 мая. Symantec увидела резкий рост числа попыток использовать уязвимости Windows, эксплуатируемые WannaCry, примерно в 8:00 GMT. Темп заражения несколько снизился в субботу и воскресенье (выходные), но всё же оставался довольно высоким. Когда же люди после выходных вернулись на работу, количество зараженных компьютеров начало уверенности расти.

Symantec: атака вируса WannaCry

Количество попыток проникновения вируса WannaCry, заблокированных продуктами Symantec, с разбивкой по часам

Symantec: атака вируса WannaCry

Количество попыток проникновения вируса WannaCry, заблокированных продуктами Symantec, с разбивкой по дням

Распространение WannaCry с 11 по 15 мая

Обнаружение вируса WannaCry системами Symantec в период с 11 по 15 мая

Кто подвержен заражению?

Любой компьютер под управлением Windows без установленных критических обновлений потенциально уязвим для WannaCry. Корпоративные компьютеры подвержены риску массового заражения из-за способности вируса распространяться по локальных сетям.

Огромное количество организаций во всём мире пострадало от действий этого электронного вымогатели, как и множество частных пользователей ПК.

Это целенаправленная атака?

Текущую активность вируса WannaCry представители Symantec не рассматривают как целенаправленную атаку.

Почему вирус вызывает столько проблем для организаций?

WannaCry имеет способность распространяться в корпоративных сетях без участия пользователя, используя известные уязвимости в Microsoft Windows. Компьютеры, на которых не установлены последние обновления безопасности, подвержены риску заражения. Чем больше компьютеров в сети, тем больше масштабы и страшнее последствия заражения.

Как распространяется WannaCry?

Несмотря на то, что WannaCry может самостоятельно распространяться по корпоративным сетям организаций, используя уязвимость Windows, появиться «из ниоткуда» он не может. Про способ проникновения мы писали в этой статье. Исследователи Symantec выявили случаи заражения WannaCry через вредоносные веб-сайты, но они носят единичный характер.

Как проходит процесс выкупа за восстановление файлов?

Атакующие WannaCry требуют, чтобы выкуп был оплачен с помощью биткойнов. WannaCry генерирует уникальный адрес биткойн-кошелька для каждого зараженного компьютера, однако из-за ошибки этот код не выполняется правильно и вирус начинает использовать прописанные в его коде адреса кошельков. По этой причине злоумышленники не могут определить, какие жертвы заплатили выкуп, а какие нет. Это означает, что жертвы вряд ли получат свои файлы расшифрованными.

Вторая версия вируса оказалась не столь успешной, как оригинал, несмотря на исправленные ошибки в работе с кошельками. 18 мая на зараженных компьютерах стало появляться уведомление о том, что файлы будут дешифрованы, если пользователь оплатит выкуп.

Как технологии Symantec защищают пользователей?

Сетевая защита

В Symantec реализована следующая защита для блокировки попыток использования уязвимости MS17-010:

  • OS Attack: Microsoft SMB MS17-010 Disclosure Attempt (released May 2, 2017),
  • Attack: Shellcode Download Activity (released April 24, 2017)

Технология анализа поведения SONAR

  • SONAR.AM.E.!g18,
  • SONAR.AM.E!g11,
  • SONAR.Cryptlk!g1,
  • SONAR.Cryptlocker!g59,
  • SONAR.Cryptlocker!g60,
  • SONAR.Cryptlocker!g80,
  • SONAR.Heuristic.159,
  • SONAR.Heur.Dropper,
  • SONAR.Heur.RGC!g151,
  • SONAR.Heur.RGC.CM!g13,
  • SONAR.Heuristic.158,
  • SONAR.Heuristic.161,
  • SONAR.SuspDataRun,
  • SONAR.SuspLaunch!g11,
  • SONAR.SuspLaunch!gen4,
  • SONAR.TCP!gen1.

Усовершенствованное машинное обучение

  • Heur.AdvML.A,
  • Heur.AdvML.B,
  • Heur.AdvML.D.

Антивирус

Для расширенной защиты и идентификации были обновлены сигнатуры антивируса:

  • Ransom.Wannacry,
  • Ransom.CryptXXX,
  • Trojan.Gen.8!Cloud,
  • Trojan.Gen.2,
  • Ransom.Wannacry!gen1,
  • Ransom.Wannacry!gen2,
  • Ransom.Wannacry!gen3.

Пользователи должны запустить LiveUpdate и проверить, что на компьютере эти или более поздние версии компонентов:

  • 20170512.009.

Следующая подпись IPS также блокирует деятельность, связанную с Ransom.Wannacry:

  • System Infected: Ransom.Ransom32 Activity.

Организации должны в обязательном порядке проверить, что у них установлены последние обновления безопасности Windows, в частности MS17-010, чтобы предотвратить распространение вируса.

Каковы наилучшие методы защиты от вымогательства?

  • Новые разновидности и вирусов-вымогателей появляются регулярно. Своевременно обновляйте защитное программное обеспечение на вашем компьютере, чтобы эффективно защищаться от вирусов.
  • Своевременно обновляйте операционную систему и другое программное обеспечение. Обновления часто включают в себя исправления обнаруженных уязвимостей, которые могут быть использованы злоумышленниками.
  • Электронная почта является одним из основных методов заражения компьютера. Будьте осторожны с неожиданными письмами, особенно если они содержат ссылки и/или вложения.
  • Будьте крайне осторожны в отношении любого вложения электронной почты в виде файлов Microsoft Office. Часто при открытии они просят разрешать выполнение макросов для просмотра своего содержимого. Если вы не уверены в подлинности адреса отправителя, не включайте макросы, а лучше сразу удалите подозрительное письмо.
  • Резервное копирование важных данных — единственный эффективный способ борьбы с вирусами-вымогателями. Злоумышленники в качестве рычага воздействия на своих жертв используют шифрование файлов, делая ценные данные недоступными. Если у вас есть резервные копии, вы можете восстановить свои файлы после того, как удалите вирус. Однако необходимо обеспечить надлежащую защиту резервных копий, чтобы злоумышленники не могли их удалить.
  • Использование облачных сервисов поможет смягчить последствия заражения: многие облачные провайдеры сохраняют предыдущие версии файлов, что позволит вернуться к их незашифрованной версии.

Читайте также:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *