WannaCry: две недели спустя

Вирус WannaCry (он же WannaCrypt, WanaDecryptor) был основной темой обсуждения среди специалистов по информационной безопасности. Этот, на первый взгляд, обычный вымогатель уже окрестили оружием АНБ США — «червяком», который безрассудно и беспощадно заражает компьютеры во всём мире, наводя хаус.

К счастью, первая волна распространения была успешно погашена, когда один из исследователей MalwareTech, который работал над сбором информации для компании Vantage Breach Intelligence Feed, нашёл слабое место в «ДНС» вируса и зарегистрировал, казалось бы бессмысленный домен. Домен оказался своего рода выключателем для вируса.

Методы распространения вируса и процесс заражения уже хорошо известны. В этой статье мы не будем касаться технических подробностей, а расскажем про анализ эпидемии вируса WannaCry в целом и истинный масштаб этой эпидемии.

WannaCry - регистрация домена

WannaCry — регистрация домена, который «отключил» распространение вируса

Истинные масштабы атаки

Широко известная цифра в 200000 заражённых компьютерных систем (предположительно полученная из систем-ловушек компании Kryptos Vantage) является более-менее достоверной. Но! Интересным является тот факт, что к реальное количество заражённых компьютеров может на порядки превышать это число. Связано это с тем, что подавляющее большинство машин сегодня выходят в интернет через общие IP-адреса или NAT, да и число IP-адресов конечно.

Специалисты компании KryptosLogic утверждают, что реальное число заражённых систем исчисляется сотнями тысяч. И если бы «домен-выключатель» не был зарегистрирован, количество жертв WannaCry могло достигнуть десятков миллионов компьютеров. Были заражены компьютеры практически во всех странах мира. А если установить нижнюю границу в 1000 уникальных заражённых компьютеров на страну, то это:

  • клиенты более 9500 интернет-провайдеров,
  • более 8900 городов мира,
  • около 90 стран.

Оценка размеров ботнета — нетривиальная задача, но это то, с чем специалисты из Kryptos сталкиваемся регулярно. Каждый год они отслеживают сотни ботнетов и обрабатывают около 100 миллионов угроз в день.

Как правило, чтобы оценить количество заражённых компьютеров в составе ботнета, они проводят анализ кода вредоносного ПО и принципов его работы, анализируют данные соединений. Результатом этих нелёгких трудов является более точный набор данных для прогнозов.

Зарегистрированный «домен-выключатель» принципиально отличается от «обычных» доменов управления (C&C, Command & control, англ.), где размещаются инструкции и прочая служебная/сигнальная информация. Если вирус WannaCry, обращаясь к домену, получал от него ответ, дальше он не распространялся.

Таким образом, совокупный ежедневный подсчёт уникальных IP-адресов может использоваться как достоверный (плюс-минус) индикатор количества потенциально заражённых устройств.

Через две недели после начала анализа заражения было выявлено около 727000 уникальных IP-адресов, которые, вероятно, и стали жертвами WannaCry. В большинстве случаев с каждого такого «уникального IP-адреса» будет идти от нескольких сотен до десятков тысяч запросов в день. Нередкими являются ещё и случаи повторного заражения компьютеров.

WannaCry: заражение

10 самых пострадавших стран от действий вируса WannaCry с 12 по 24 мая

Каждый цвет представляет собой агрегированный показатель количества запросов с одного IP-адреса. По каждой стране даётся общее количество заражённых машин. Как видно, Китай лидирует, что вполне логично.

Читайте также:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *