Wannacry - T-Systems Унгария

Изминалият уикенд беше вълнуващ и уморителен за много специалисти по ИТ сигурност, но е почти сигурно, че не само те са чували за случилото се. Въпреки че историята изглежда се успокоява, но според единодушното мнение на експертите, нямаме причина да седим.
Бихме искали да ви помогнем с нашето резюме и предложения по-долу.

системния регистър

Какво стана? - WannaCry, WannaCryptor, WanaCrypt0r Wana Decrypt0r?

Изнудващ вирус отне стотици хиляди компютри с Windows по света за броени часове.
По-конкретно, той съхранява данните, съхранявани върху него, криптира ги и в замяна на откуп обещава ключа, необходим за декриптирането му. Ако плащането не бъде извършено в рамките на определено време, той ще изтрие ключа за дешифриране и файловете ще бъдат загубени. Той иска откупа за непроследима сметка в Биткойн, но няма гаранция, че ключът ще пристигне за плащане. Това може да бъде особено болезнено в случай на инфекция на корпоративен файлов сървър, но също така може да причини сериозни загуби като домашен потребител, ако няма резервно копие на нашите данни.

Но как се случи толкова бързо?

И преди сме виждали безброй вируси за изнудване, но в начина си на предаване този сега е специален. Докато злият софтуер обикновено пристига по имейл или посещава заразен уебсайт до компютъра на жертвата, wannacry не изисква взаимодействие с потребителя, достатъчно е да съществуват определени обстоятелства. Ситуацията се влошава още повече от факта, че заразените машини също стават дистрибутори незабавно, така че докато потенциалните жертви не изтекат, разпространението е почти неудържимо.

Какво общо има всичко това с NSA?

Агенцията за национална сигурност (NSA) разработи кибер оръжие (софтуер), което използва уязвимост в Microsoft Windows, придобита от група хакери и предоставена на всеки през април тази година. По този начин, чрез въоръжаване на съществуващ вирус за изнудване с този инструмент, бе създаден нов, незабелязан вариант от неизвестните към момента извършители.

Какви са обстоятелствата, които, когато се съберат, са изложени на риск?

Машините с мрежова връзка и известна уязвимост са изложени на риск.
Microsoft е наясно с тази уязвимост - грешка във вградената услуга на Windows - и дори пусна кръпка за сигурност на 14 март. Той също е част от редовна актуализация, издадена оттогава. Пачът за сигурност е наличен за поддържаните версии на Windows тук:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

По този начин всички, които са инсталирали освободената актуализация навреме, вече са били защитени.

Но свърши, нали? Каква история на „убиец“?

Не, още не е приключило. Експерт по ИТ сигурност случайно спря разпространението, като регистрира домейн - този домейн беше намерен в анализа, не знаеше за какво е предназначен - тъй като по-късно се оказа, че вирусът проверява за съществуването му и ако получи положителен отговор, той спира преди по-нататъшно разпространение. Предполага се, че тази функция е вградена в разработчиците, за да могат да спрат разпространението по всяко време.
Но! Нищо не пречи на кибер подземния свят да пусне версия без тази функция - и те го направиха в събота.
Следователно броят на заразените машини продължава да расте.

Можем да го направим?

В корпоративна среда трябва да проверите състоянието на крайните точки за корекцията MS17-010, особено за версии на Windows, които вече не се поддържат, където вече не може да бъде инсталиран като автоматична актуализация.