С момента появления в прошлом месяце WannaCry, сетевого червя, который распространился по всему миру, используя эксплойт EternalBlue и заразив шифровальщиком сотни тысяч компьютеров, мы получили огромное количество вопросов.

В этой статье мы решили собрать наиболее важные вопросы и ответы на них.

Он пришел по электронной почте?

Большинство СМИ сообщили, что первоначально атака была отправлена по электронной почте с помощью спамовых сообщений.

Здесь Вы можете увидеть один такой пример из Financial Times, где авторы даже приводят подробности того, как он распространялся в zip-файле. Но, это не так. С самого первого дня каждая отдельная атака, которые мы наблюдали, возникала через эксплойт EternalBlue.

Она была действительно такой массовой, как сообщали СМИ?

Это действительно была массированная атака на глобальном уровне, и в этом нет никаких сомнений. Но вместе с тем, если мы вспомним последние угрозы, такие как SQLSlammer или Blaster, то WannaCry не достиг тех масштабов. В наши дни у большинства домашних пользователей по умолчанию включены автоматические обновления Windows, а значит, что они уже защищены от известных уязвимостей. Однако ущерб, причиненный данной атакой, намного больше, чем от любой другой массовой угрозы, которые мы видели до текущего дня, т.к. шифровальщик зашифровал всю ценную информацию на компьютере и в сетевых окружениях. В этом смысле, эта атака является одной из самых серьезных атак в истории.

Последние данные говорят о наличии свыше 300 000 жертв. На самом деле, количество еще больше. Есть компьютеры внутри корпоративных сетей, которые были заражены, но при этом не имеют внешнего подключения. Так что, возможно, речь может идти о миллионах компьютеров.

Почему атака не остановилась после того, как был зарегистрирован kill-switch домен?

Одной из характеристик WannaCry является то, что он пытается соединиться с определенным URL. Если он существует, то угроза ничего не делает, она более не распространяется и не запускает процесс шифрования. Почти сразу после запуска атаки один из исследователей в сфере безопасности зарегистрировал такой домен. Однако, полностью это не остановило червя от распространения. И тому есть несколько объяснений: компании, чьи компьютеры подключены к Интернету через прокси, не позволяли WannaCry подключиться к URL и продолжали сеять хаос в локальных сетях; или компании, которые полностью отключили компьютеры от Интернета для того, чтобы обуздать ситуацию. И не только это: существуют варианты угрозы, в которых прописан другой домен, так что регистрация kill-switch домена была способна остановить только часть процесса заражения.

Сколько вариантов WannaCry существует?

Все зависит от того, что считать «вариантом». С самого начала мы видели несколько различных вариаций, однако все они имели одинаковую функциональность. По нашим последним данным в целом мы зафиксировали свыше 700 вариантов, в которых были различные изменения: от небольших изменений файла во избежание сигнатурных обнаружений до изменений kill-switch домена, о чем мы говорили выше.

Могут ли обычные антивирусы удалить инфекцию?

Если коротко, то ответ - да. А если более точно, то… это зависит от многих вещей. До тех пор пока Ваше решение безопасности не способно защитить Ваш компьютер от эксплойта EternalBlue, то на него снова и снова будет попадать этот зловред, и как только на него будет попадать новый вариант или новый зловред, использующий аналогичный вектор атаки, то ПК снова будет заражен.

Рекомендации

Хотя далеко не все компании были заражены, мы можем сказать, что от атаки пострадали не только зараженные копании, но также и те компании, которые не применили требуемые обновления в своей сети. Эти компании, как правило, остановили свою работу до момента внедрения патча. Мы же предлагаем компаниям пересмотреть свой подход к информационной безопасности и использовать такие решения как Adaptive Defense. Ну и конечно всегда следует иметь в виду следующие рекомендации:

  • Используйте адекватные инструменты  защиты, такие как файерволы и антивирусные / антивредоносные решения следующего поколения.
  • Поддерживайте Ваш ПК в обновленном состоянии! Помните, что если бы пострадавшие компьютеры были бы своевременно обновлены, то они не были бы атакованы. Это очень важно для повышения уровня безопасности системы, повышения производительности и устранения ошибок в работе. Также учтите, что компании, которые вынуждены использовать компьютеры с устаревшими операционными системами (например, Windows XP), должны адекватно защищать их и по возможности изолировать.
  • Не открывайте файлы, вложения или ссылки из неизвестных и ненадежных писем, и не отвечайте на такие письма.
  • Будьте осторожны при открытии ссылок в письмах, мгновенных сообщениях и социальных сетях, даже если они пришли к Вам от известных Вам контактов.
  • Периодически выполняйте резервное копирование, особенно наиболее важной и чувствительной информации.

Для получения более подробной информации Вы можете посмотреть запись вебинара Луиса Корронса, Технического директора антивирусной лаборатории PandaLabs: