Блог

Криптовымогатель WannaCry. Кто виноват и что делать?

Владимир Митин
16.05.2017 08:10:11

На вирус-шифровальщик WannaCry, жертвами которого уже стали до 200 тыс. пользователей в 150 странах мира, обратил внимание президент РФ. Ниже вы видите фрагмент “Российской газеты” от 15 мая.


Источник: сайт “Российской газеты”

Заявлению президента РФ предшествовало (cм. ниже) заявление президента Microsoft. “Ответственность за распространение вируса-вымогателя WannaCry частично лежит на правительствах и спецслужбах разных стран. – написал Брэд Смит (Brad Smith) в своем блоге. -- "Мы видели, что данные об уязвимостях, которые собирало ЦРУ, были опубликованы на Wikileaks, теперь же данные об уязвимостях, украденные из АНБ, затронули пользователей по всему миру”.


Источник: сайт “РИА Новости”

В то же время известно (cм., например, публикацию “Криптовымогатель WannaCry атакует своих жертв через эксплойт Microsoft SMB”), что создание вируса WannaCry стало возможным лишь благодаря наличию уязвимости в операционных системах семейства Windows.

Справедливости ради надо отметить, что заплатки, устраняющие данную уязвимость в операционных системах Windows Vista/7/8.1/10/Server 2008/ Server 2008 R2, Windows Server 2012/Server 2012 R2/ Server 2016 компания Microsoft выпустила (под названием "Обновление системы безопасности MS17-010") ещё в марте нынешнего года. Кто их не установил, тот сам виноват!

Однако известно, что широко распространены и другие операционные системы Windows – XP, 8, Server 2003, официальная поддержка которых прекращена Для них заплатки (патчи), закрывающие брешь MS17-010, компания Microsoft выпустила лишь 12 мая. Эти патчи закрывают уязвимость, через которую распространяется вирус WannaCry.

"От вируса WannaCry пострадали в первую очередь те пользователи, которые использовали ОС, для которых апдейтов не было, -- отмечает технический директор Cezurity Андрей Воронов. -- На предприятиях и в учреждениях до сих используется много “старых” ОС. Именно в связи с этим Майкрософту и пришлось экстренно выпустить обновления даже для тех ОС, поддержка которых прекращена".

Неизбежно возникает вопрос о роли антивирусных программ во всей этой истории с масштабной кибератакой, поразившей 150 стран мира. Помогли ли они “непропатченным пользователям” остановить угрозу, исходящую от вируса WannaCry или не помогли?

Объективных данных на этот счет нет, но представители компаний “Доктор Веб” и “Лаборатория Касперского” утверждают (см. ниже), что пользователи их программ от действий вируса-шифровальщика WannaCry не пострадали.


Источник: “Доктор Веб”, 15 мая 2017 г.


Источник: “Лаборатория Касперского”, 15 мая 2017 г.

Но есть и скептики. Технический директор Cezurity Андрей Воронов говорит: “В настоящее время антивирусная индустрия не может предложить сколь-нибудь фундаментального решения, которое позволило бы 100%-но защититься от «шифровальщиков». К примеру, появляется новая технология, способная заблокировать сто шифровальщиков. Но 101-й ее обманывает и все файлы пользователя шифруются. Также необходимо отметить, что обычно злоумышленники перед выпуском в свет тестируют свои изделия на всех основных антивирусах… Поэтому сегодня единственное действительно надежное средство от «шифровальщиков» -- это бэкап и такая сегментация сети, которая позволит минимизировать ущерб”.

Однако ясно то, что cпециалистам в области информационной безопасности и так было давно известно: если вы используете морально устаревшие операционные системы (или своевременно не устанавливается ИБ-заплатки на актуальные операционные системы), не используете современные антивирусные средства и не соблюдаете элементарные правила “компьютерной гигиены” (открываете подозрительные ссылки, читаете письма, пришедшие к вам от незнакомых адресатов, и так далее), то данные, находящиеся на ваших ПК, находятся в большой опасности.

Впрочем, от действий вируса WannaCry (и ему подобных) не застрахованы даже те кто тщательно соблюдает “компьютерную гигиену”. В “Справке Аналитического центра InfoWatch об атаке вируса WannaCry” отмечается, что “технология распространения данного вируса не требует никаких действий от пользователя — ни открытия файлов, ни чтения почты, ни перехода по ссылкам — только включённый компьютер с уязвимым Windows, подключённым к Интернету. Атака происходит через сетевую уязвимость “Microsoft Security Bulletin MS17-010”. Вирус шифрует файлы на зараженном компьютере, после чего требует отправить злоумышленникам от 300 до 600 долл. в биткоинах. Заражению подвержены компьютеры, где не установлены обновления Windows и не стоит свежий антивирус”. Так что не пренебрегайте обновлением ОС и антивирусов! Это, конечно, не гарантирует 100%-ной защиты ваших данных, но вероятность их потери резко уменьшает.

И ещё. На мой взгляд, криптовымогатель WannaCry наглядно показал всему миру, что надежды (см. апрельскую публикацию “Системы обеспечения кибербезопасности становятся интеллектуальнее”) на всемогущество искусственного интеллекта в ИБ-системах слегка преувеличены. Да, использование ИИ (AI) в системах обеспечения кибербезопасности может весьма эффективно предотвращать целенаправленные кибератаки (когда киберзлодеи многие недели, а то и месяцы изучают особенности ИБ-систем предолагаемый жертвы), но для предотвращения массовых кибератак (когда бьют не по “конкретным целям”, а “по площадям”) AI-системы обеспечения информационной безопасности едва ли эффективны. Впрочем, технологии не стоят на месте. И ситуация быстро меняется.

И в завершение заметки – две новости от Романа Чаплыгина, руководителя российской практики услуг по информационной безопасности PwC в России. Одна плохая, а другая хорошая. Плохая новость заключается в том, что “недавно были найдены еще несколько критических уязвимостей в OS Windows, например, в Windows Defender (CVE-2017-0290), что грозит еще более серьезными проблемами для владельцев уязвимых версий Windows. В данном случае рекомендуется наладить процесс управления обновлениями или максимально сократить время от появления обновления до его установки”.

А вот хорошая новость: “Сейчас силы многих лабораторий кибербезопасности, и нашей в том числе, сфокусированы на том чтобы разработать средство по расшифровке данных, и опыт подсказывает, что весьма вероятно такой способ будет найден, поэтому не стоит поддаваться панике”.

Комментариев: 15

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

16.05.2017 13:55:46

Согласен со словами из сегодняшней переводной публикации “Чисто технические призывы обновляться и архивировать не решат проблему вымогательского ПО”: «Как минимум, Microsoft безусловно должна была предоставить мартовское критическое обновление всем своим пользователям, а не только тем, кто осуществляет дополнительные платежи. По сути дела, принцип „платите дополнительные деньги или мы не предоставим критические обновления“ можно рассматривать как собственную форму вымогательства»

И с этими словами из упомянутой выше публикации согласен тоже: “Реальная проблема здесь состоит в том, что ИТ-индустрия в целом годами продает негодные продукты. Можно сказочно зарабатывать, делая поначалу бракованные продукты и часто, прямо или косвенно, возлагая на пользователей обязанность их чинить”.

16.05.2017 15:40:18

Что было бы, если бы при борьбе с эпидемиями в бедных странах выдавали мыло и делали прививки только "правильным" людям (зарегистрированным, застрахованным, платящим налоги и т.д.)? Если Microsoft (и другие вендоры) не будут "дезинфицировать" всю среду в целом, победить злоумышленников будет очень сложно.

16.05.2017 16:15:52

А с чего вы взяли, что вендоры хотят побеждать этих самых злоумышленников? Такие эпидемии крайне выгодны индустрии, т..к сильно стимулируют спрос как компаний, так и обычных пользователей, на продукты ИБ.
Сама же майкрософт в имидже не потеряла, т.к. может смело заявить, что данная уязвимость была устранена еще в марте, и еще раз надавить на то, что необходимо поддерживать систему в актуальном состоянии (мол, а мы же вам говорили!)
Ситуация с XP - это вообще смешно. На сайте майкрософт четко написано:
"Если вы продолжите использовать Windows XP после окончания поддержки, ваш компьютер по-прежнему будет работать, но может стать уязвимым для вирусов и других угроз безопасности."
Так что все, кто использовал данную ОС были прекрасно осведомлены о рисках.

16.05.2017 20:40:28

Цитата
Если Microsoft (и другие вендоры) не будут "дезинфицировать" всю среду в целом, победить злоумышленников будет очень сложно.

Никто не предлагает мыться солдатам во время атаки, хирургам во время операции, водителям, находящимся за рулем и так далее... А когда, спрашивается устанавливать обновления компьютерам, находящимся на "боевом дежурстве" в лечебных, телекоммуникационных и прочих круглосуточно работающих предприятиях и учреждениях? Необходимо, чтобы патчи устанавливались без нарушения трудоспособности компьютера...

16.05.2017 17:23:06

Цитата
“технология распространения данного вируса не требует никаких действий от пользователя — ни открытия файлов, ни чтения почты, ни перехода по ссылкам — только включённый компьютер с уязвимым Windows, подключённым к Интернету. Атака происходит через сетевую уязвимость “Microsoft Security Bulletin MS17-010”

Я несколько обескуражен данным утверждением, если не сказать больше.
Во первых - в брандмауэре Windows по умолчанию запрещены все входящие соединения. Использовать уязвимость “Microsoft Security Bulletin MS17-010” не получится. Получить плюшку тут можно только в случае если брандмауэр принудительно отключен пользователем. Т.е. от пользователя всё-таки требуются действия.
Ещё менее понятно, как эту уязвимость можно использовать в корпоративной сети. Кто в здравом уме будет открывать наружу 445 порт на внешних маршрутизаторах, а главное для чего?
В общем описание проблемы несколько странное. Ещё страннее шум вокруг неё. Всё банально.

16.05.2017 17:45:54

Полностью согласен.

Человеческий фактор и банальное игнорирование основ ИБ, как были, так и остаются основными факторами подавляющего числа заражений, да и проблем с безопасностью в целом.
Открытые наружу порты, неактуальные пакеты безопасности, использования устаревших версий ПО - в общем все то, что написано в любой статье по ИБ.
Данный случай примечателен только масштабом одновременного инфицирования, который наглядно показывает как обстоят дела с безопасностью не только на компьютерах обычных пользователей, но, и казалось бы, в крупных предприятиях.

16.05.2017 17:50:12

Подпишусь под каждой буквой вашего комментария.

18.05.2017 14:36:42

Почитайте ИТ-шные форумы. Сколько народу бьет себя в грудь кулаком с гордостью рассказывая, что за 10 лет ни разу не обновляли ни ОС, ни ставили патчи, ни пользовались антивирусами. Это сисадмины. Мне, честно говоря, трудно представить, что ж у них в корпоративных сетках творится, если они считают все это обычной шелухой.
Кстати, заплатки Windows выпустил еще месяц назад. Когда началась эта паника, я специально компьютеры наши проверил (у нас их 250+ штук) - не стояли они только на парочке пользовательских ПК, но там моя ошибка, почему-то были отключены автоматические обновления, а отчеты по софту я давно не просматривал.
Так что да, я с вами полностью согласен. Распространение вирусов - результат пренебрежения основами безопасности в сети.

18.05.2017 15:21:36

Цитата
Мне, честно говоря, трудно представить, что ж у них в корпоративных сетках творится, если они считают все это обычной шелухой.

Так точно.

16.05.2017 20:24:45

Цитата
Человеческий фактор и банальное игнорирование основ ИБ, как были, так и остаются основными факторами подавляющего числа заражений, да и проблем с безопасностью в целом.
"Человеческий фактор" не всегда обусловлен недальновидностью...

Обновления могут убить людей…
smile:(

В заметке “Пять действий для защиты от WannaCry” обратите внимание на то, что от атак WannaCry пострадали главным образом организации в секторе здравоохранения и компании телекоммуникационных услуг. Что, в общем-то, неудивительно – ведь именно в этих отраслях компьютеры, как правило, должны работать круглосуточно. И у этих компьютеров просто нет времени для установки обновлений. Ведь при установке обновлений должны остановиться процессы, которые эти компьютеры обслуживают… 

Как известно (см., например, здесь ), в числе первых крупных организаций, пострадавших от WannaCry, оказалась Государственная служба здравоохранения Великобритании (NHS), которая публично подтвердила, что подверглась атаке Wanna Decryptor.

И ещё. В публикации “Чисто технические призывы обновляться и архивировать не решат проблему вымогательского ПО” говорится: “Когда вы отвечаете за больницу, где полно компьютеров, передающих друг другу данные, вы не можете себе позволить обновления, которые нарушают этот процесс, потому что тем самым вы можете убить людей”.

16.05.2017 22:28:00

Цитата
Что, в общем-то, неудивительно – ведь именно в этих отраслях компьютеры, как правило, должны работать круглосуточно. И у этих компьютеров просто нет времени для установки обновлений. Ведь при установке обновлений должны остановиться процессы, которые эти компьютеры обслуживают…

Мысль в целом правильная. Условия работы конкретного устройства всегда учитываются при проведении каких-либо работ на нём, в том числе при обновлении устройства, особенно если применение конкретного обновления требует перезагрузки. Если просто следовать логики "круглосуточной работы", то получается, что установить на такие устройства обновления, невозможно в принципе. Но это нонсенс. Кроме того, любое устройство не может работать бесконечно долго. Когда-то оно прервёт свою работу просто по причине выходя из строя. Как быть с круглосуточностью? Обычно, ресурсы критически важных устройств и резервируется и дублируются. Кроме того, применительно к теме нашего разговора, отдельные критически важные устройства могут помещаться в отдельный сетевой контур, не связанный вообще или обычным способом, с другими сетями в данной организации.
Другой нюанс, например все обновления для компьютеров сертифицированных ФСТЭК проходят серификацию, как когда-то основная система, и там "запаздывание" с установкой патчей доходит до нескольких месяцев. Причём это касается как Windows, так и Линукс.
Так что ещё раз - дело не в патче.
Дело в том, как конкретные люди в конкретной организации занимаются обеспечением безопасности.

17.05.2017 08:55:10

Теперь уже я подпишусь под каждым словом smile:)
Вся критически кажная инфраструктура строится с учетом отказоустойчивости и катастрофоустойчивости. Безусловно, такие устройства обновлять сложнее, но ничего невозможного в этом нет. Все эти ньюансы просчитываются еще на этапе проектирования.
Другое дело, что руководство организаций далеко не всегда хочет тратить деньги на дублирующие и территориально распределенные мощности.

17.05.2017 10:33:48

Цитата
Другое дело, что руководство организаций далеко не всегда хочет тратить деньги на дублирующие и территориально распределенные мощности.

Так точно.
В подавляющем количестве организаций руководство практически не участвует в разработке основного документа Политики безопасности компании. А ведь именно на руководство ложатся вопросы организационные (подпунктом юридические) и финансовые. Финансирование именно по линии безопасности идёт по остаточному принципу или не выделяется вообще.
В этом случае ИТ-безопасность становится ЛИЧНОЙ ПРОБЛЕМОЙ ИТ-айтишников.

16.05.2017 22:40:05

Вдогонку небольшое дополнение по статье "WannaCry поразил МВД, потому что полицейские нелегально подключались к интернету".
Читаем внимательно цитируемый в данной статье отчёт Замглавы МВД по инциденту, в котором обращаем внимание на формулировки и общую акцент на то, что да, инцидент был, но серьёзных последствий нет, ибо в целом структура защищена надёжно.

Цитата
По словам первого замминистра МВД, причиной заражения персональных компьютеров сотрудников министерства послужили «попытки присоединить служебный компьютер к интернету посредством того или иного механизма».

На самом деле само по себе использование служебного компьютера вне периметра безопасности служебной сети в такой организации, как МВД это ИНЦИДЕНТ несколько круче, чем шифрование данных зловредом.
Скажу больше - СПАСИБО зловреду, ибо он помог выявить проблему гораздо большую. Теперь помимо того, как такое стало возможным, предстоит выяснить, как долго сотрудники использовали свои рабочие компьютеры вне служебной сети и что с этих компьютеров могло утечь т.с. "на строну", вполне возможно, даже безлобно.
В данной ситуации, формулировка "в целом структура защищена надёжно", вызывает большие сомнения.

19.05.2017 14:34:40

Если для кого-то еще актуально: статейки на тему, как проверить компьютеры организации на наличие защиты от WannaCry

http://www.10-strike.com/rus/blog/na-kakih-kompyuterah-net-obnovleniy-ot-wanna-cry/

https://sysadminblog.ru/microsoft/2017/05/17/kak-proverit-kakie-kompyutery-v-seti-uyazvimy-k-wannacry-wcry.html

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Интересно

Опрос

Консолидация российской ИБ-индустрии

  1. 1. Кто в состоянии консолидировать силы российской ИБ-индустрии в борьбе с киберпреступностью?

Защита от автоматических сообщений
Защита от автоматических сообщений

Статьи

Сказки о безопасности: Интеллектуальное ограбление
В полиции города Т расследовалось дело о серии грабежей квартир. При этом похищались исключительно …

Почему у задачи по повышению осведомленности в кибербезопасности нет альтернативы
На рынке информационной безопасности регулярно возникают призывы поставщиков средств защиты, аналитических …

В сеть утекло 200 ключей для дешифровки файлов, зашифрованных вымогателем Crysis
Если до появления WannaCry беспокойство по поводу вирусов-вымогателей (ransomware) проявляли в основном …

Сказки о безопасности: Королевский архив
В королевстве Эрика Справедливого решили создать государственный архив. Руководителем архива назначили молодого …

Сказки о безопасности: Зарази себя сам
Приближалось лето, а значит время школьных каникул. Иоганн, как ни странно, не любил это время. Причина …

Мы в социальных сетях

PC Week/RE в Facebook PC Week/RE в Контакте PC Week/RE в Google+ PC Week/RE в Одноклассниках PC Week/RE в Twitter

Решения

Маленькая грязная тайна отрасли безопасности
В последние годы центральное место в обсуждении вопросов сетевой безопасности занимают постоянные угрозы повышенной …

Упрощение аварийного восстановления в сложных виртуальных средах
В данном техническом документе рассматривается Выбор правильной стратегии резервного копирования виртуальных машин для эффективного управления...

Непрерывная защита данных
Данный технический документ позволит ответить на вопрос, соответствует ли технология непрерывной защиты данных (CDP …

Скрытые издержки виртуализации
Для того чтобы проект по виртуализации позволил достичь ожидаемых результатов и предполагаемой рентабельности …

Решение проблем аварийного восстановления
Сегодня информация считается одним из важнейших активов любой организации, необходимость доступа к данным в любой …

Блог

Как совместить "сертификационную чистоту" и необходимость обновления ПО?
Этот вопрос обозначился в самом начале конференции OSDAY ("День ОС", по тематике разработки операцио ...

И снова взлом биометрии
Как оказалось, биометрический датчик, сканирующий радужную оболочку глаза в Samsung Galaxy S8 можно ...

С оглядкой на чужих «пророков»: почему мы так верим в зарубежный опыт?
В России сложилось удивительное отношение ко всему «западному», а точнее ко всему неотечественному, ...

Шифрование Android - интересная статистика
В заметке «An increasing number of people are making the right decisions» приведена грустная статист ...

О некоторых итогах за 2016 год саморегулирования национальных доменов Интернета в области ИБ
По мнению директора Координационного центра национального домена сети Интернет Андрея Воробьева, 2 ...

 

Лидеры читательского рейтинга

Статьи

Записи в блогах

Панорама

Оптимизация ЦОДов «на лету» по методу Schneider Electric
Центры обработки данных — дорогие, сложные системы, потребляющие значительное количество электроэнергии. Как …
ASUS Transformer 3 Pro: непревзойдённый универсал
В ходе масштабной пресс-коференции, которая предваряла открытие прошлогодней выставки Computex 2016, глава ASUS Джонни Ши продемонстрировал немало выдающихся новинок, от смартфонов серии ZenFone 3 до домашнего робота-помощника Zenbo.
Panasonic KX-NSX: UC-платформы повышенной актуальности
UC-платформы Panasonic KX-NSX с расширенной пятилетней гарантией позволяют обеспечить современной связью до 2000 и …
АО “Транснефть — Прикамье”: опыт создания электронных хранилищ документов
Полноценная реализация процессного подхода к управлению бизнесом возможна только на прочном фундаменте …
Как правильно внедрять информационно-аналитические системы
Готовящаяся на высоком государственном уровне программа перехода к цифровой экономике предусматривает широкое …

Интересно

 

Создание сайта - студия iMake
© 2017 АО «СК ПРЕСС».
Информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.