Не дожидаясь, пока специалисты разберутся, кто же ответственен за «вирусную» эпидемию, в ходе которой троян-шифратора WannaCryptor поразил компьютеры пользователей в 150 странах мира, компания ESET создала специальную утилиту, предназначенную для проверки workstations с целью определения уровня их защищенности от поражения блокиратором WannaCryptor. На счету Wcry уже более 500 тысяч «пораженных» компьютеров и миллиард долларов ущерба, однако, зловредное ПО, представляющее и сейчас потенциальную угрозу, вскрыло ряд проблем, на которые ранее не обращали внимание.
Во-первых, воспрянули сторонники «Мюнхенского проекта», настойчиво предлагающие корпорациям использование Open Source Software. После эпидемии WannaCry возвращение с OS LiMux вновь на Windows, о чем громогласно заявили власти Мюнхена в середине февраля 2017, вызывает недоумение. Получается, что должностные лица, принимающие решения, не учитывают существующих реалий, того ущерба, который нанесло распространение вируса. Могут появиться и обвинения в необоснованном расходовании бюджетных средств в муниципальном ИТ-секторе с переходом на Windows-архитектуру. Недаром лидер мюнхенского отделения партии зеленых Флориан Рот уже сделал заявление, указывая, что в связи с майским коллапсом глобальной компьютерной системы отказ от Linux лишен всякого смысла.
Во-вторых, оказалось, что давно уже изученные уязвимости при определенных условиях создают такой эффект, что крупнейшие компании и глобальные сервисы погружаются в хаос. Прекращение техподдержки «унаследованных систем» неминуемо приводит к возрастанию риска. Ведь массовость поражения WannaCryptor обусловлена тем, что шифровщик распространялся по технологии червя. Достаточно одному компьютеру оказаться «пораженным», чтобы иные устройства, как в локальной, так и глобальной сети, были поражены.
Вначале разработку эксплойта EternalBlue, используя который распространяется Wcry, сами же американские СМИ стали приписывать АНБ. А тут еще и Microsoft заявил, что столь масштабная атака стала возможной лишь после похищения у спецслужб созданных программных инструментов для атаки на ПО. Хоть 14 марта и появилось обновление MS17-010, устраняющее опасную уязвимость в OS Windows, но предназначено оно было лишь для версий операционных систем, поддерживаемых корпорацией.
12 мая оказалось, что симбиоз трояна-шифратора WannaCryptor и эксплойта EternalBlue превратился в столь «гремучую смесь», что компьютерный мир на время погрузился в хаос. Примечательно, что облачная ESET LiveGrid выявила и блокировала версию Win32/Filecoder.WannaCryptor.D, а ведь именно с нее и начиналась атака.
Оказалось, что ESET-антивирусная защита начинает реагировать на угрозу уже на начальных этапах воздействия на workstation:
- модуль «Network Attack Protection» способен распознавать, блокировать попытки поражения компьютера с применением эксплойта EternalBlue (его применение злоумышленниками фиксируется компанией ESET с 26.04.17, хоть первоначально он применялся для распространения иного вредоноса - CoinMiner);
- все антивирусные решения ESET проверяют наличие доступных обновлений;
- WannaCryptor был блокирован антивирусными решениями ESET еще до начала своего «победного шествия» - шифровальщик был заблаговременно внесен в базу данных;
- применяемые ESET «эвристические» технологии дают возможность выявлять даже ранее не проявлявшиеся угрозы.
Для предотвращения возможного повторного использования EternalBlue специалистами ESET создана бесплатная утилита, позволяющая оперативно установить «заплатку» на опасную уязвимость. Необходимо лишь исполнить скрипт, чтобы через минуту получить нужный патч.
Послесловие
Масштабная атака завершилась. Кто-то подсчитывает ущерб, кое-кто радуется, что не попал в поле зрения злоумышленников, кто-то воспользовался бесплатной WanaKiwi (утилита, созданная экспертами французской Comae Technologies для расшифровки файлов без выкупа). Казалось бы, зачем об этом вспоминать? Однако, опасность существует и поныне.
Недаром руководитель Британского Национального центра кибербезопасности предупредил о возможности повторного и более масштабного удара со стороны создателей WannaCryptor. При повторной атаке – не менее 1,3 миллиона рабочих станций во всем мире окажутся заблокированными. Даже установка специальной модификации MalvareTech не спасет, поскольку достоверно известно, что доработанный WCry успешно обходит эту защиту.
Не следует полагаться на информацию об установленном происхождении вируса. Ряд разработчиков категорически не согласны с заявлением американских спецслужб об атаке со стороны КНДР. Ведь сходства, на которые указывают британские и американские спецы, установленное в кодах WannaCry и ранее применявшихся северо-корейской группировкой хакеров Lazarus, нельзя назвать уникальными, чтобы делать профессиональные выводы об их общем источнике. Скопировать элементы кода могли и иные злоумышленники.
В компании Flashpoint приступили к анализу происхождения компьютерного вируса, отказавшись от исследования исходных кодов, а также манеры проникновения в компьютер, а изучили с точки зрения лингвистики сообщение, в котором требовался выкуп за разблокировку рабочей станции. Особенностью данного шифратора является «обращение» к жертве на языке его операционной системы.
Было установлено, что разработчики сообщения свободно пишут лишь на английском и китайском, а все иные сообщения, в зависимости от локализации жертвы, были просто переведены с помощью Google Translate. Китайская же версия обращения кардинально отличается от всех иных, что и позволило предположить ее оригинальное происхождение. Более детальный лингвистический анализ показал, что авторы WannCry являются выходцами из КНР, южных его регионов. Либо из Сингапура.