WannaCry – вирус шифровальщик. Как защититься от подобных вирусов?
Что такое WannaCry?
WannaCry - компьютерный вирус, опасный для пользователей Microsoft Windows, поражает операционную систему благодаря шифрованию файлов пользователя. Другие названия данного вируса – WCry, WCrypt, WannaCrypt, WNCRY, и WanaCrypt0r 2.0. Вирус шифровальщик в 2017 году атаковал компьютеры пользователей по всему миру и требовал оплату в биткоинах для расшифровки данных. Если оплата не поступала в течение недели, вирус уничтожал файлы.
WannaCry использовал уязвимость ОС Windows под названием EternalBlue, ранее разработанное Агентством национальной безопасности США для кибершпионажа. Эта уязвимость позволяла вирусу автоматически распространяться между компьютерами в одной сети без взаимодействия с пользователем.
Последствия атаки WannaCry
От WannaCry пострадали крупные компании, государственные учреждения и разного типа. К счастью, вирус был обезврежен, но ущерб, нанесенный им, стал сигналом для всех пользователей для регулярного обновления программного обеспечения и установки мощных антивирусов для надежной защиты от киберугроз подобного типа.
Согласно официальным данным, больше всего пострадали компьютерные системы в Украине, России, Тайване, Британии, Испании и Германии. WannaCry менял расширение заражавшего файла на .WNCRY, а все уже зашифрованные файлы в начале имели строку WANACRY!.
Мошенники инфицировали компьютеры больницы в Великобритании, телефонную компанию в Испании и множество пользователей в Германии. Среди известных зараженных компаний и организаций Renault, FedEx, Deutsche Bahn, Telefónica, российское МВД. В общей сложности WannaCry добрался до более чем 230 тысяч компьютеров пользователей по всему миру.
В чем причина столь быстрого распространения вируса WannaCry? Вирус быстро распространялся из-за уязвимых компьютеров на устаревших версиях Windows (Windows XP, Windows 7, Windows Server 2008). Microsoft ранее выпустила критически важное обновление (март 2017), но многие пользователи его не установили.
Основные способы инфицирования WannaCry
Опасный и коварный WannaCry распространялся в сети по нескольким путям, он быстро заражал компьютеры пользователей и требовал выкуп для обеззараживания. Как были инфицированы ОС?
Прежде всего из-за использования уязвимости EternalBlue. Эта уязвимость позволяла вирусу самостоятельно заражать компьютеры в одной сети без участия пользователей.
Вирус WannaCry способен к самораспространению, то есть стоило одному компьютеру заразиться вирусом, как все компьютеры в одной сети также подхватывали его. Таким образом, все ПК одной организации сразу попадали под угрозу.
Microsoft выпустила специальный патч в марте 2017 года, но многие системы остались без обновления из-за недальновидности пользователей.
Вредные вложения в электронных письмах – одна из версий заражения вирусом WannaCry. Как только пользователь открывал письмо с таким вложением, вирус попадал в локальную сеть и шифровал критично важные файлы системы. Это могут быть зараженные файлы Word, PDF или архивы.
Незащищенные или открытые порты SMB (TCP 445) – еще один путь заражения компьютеров. Если система без обновлений или с неверно настроенными брандмауэрами, то компьютер сразу становился мишенью злоумышленников.
Сети ботнетов также могли распространять WannaCry. Уже зараженные устройства преступники использовали для атак.
Как видим, несвоевременное обновление операционной системы привело к успеху у киберпреступников. Пострадавшие компании даже останавливали свою работу, так как не могли получить доступ к важным файлам в своей же системе.
Как было остановлено WannaCry?
К счастью, вирус WannaCry был остановлен успешно. Это произошло случайно благодаря исследователю вирусных программ Маркосу Хатчинсу. В коде вируса он нашел ссылку на незарегистрированный длинный домен, а затем зарегистрировал его, что автоматически остановило работу вируса WannaCry. Суть работы WannaCry заключалась в том, что перед активацией он проверял доступ к домену, а так как домен стал зарегистрированным, то и доступа не было, а значит, вирус перестал работать.
После проблем с вирусной программой корпорация Майкрософт срочно выпустила обновления для Windows XP и Windows 7 для дальнейшей защиты систем от угроз. Также были закрыты порты TCP 445 и 139, именно они использовались для атак через сеть. В свою очередь антивирусные компании начали обновлять свое программное обеспечение для дальнейшей защиты пользователей от WannaCry. Для восстановления доступа к уже зашифрованным файлам вирусом начали разрабатываться специальные декрипторы, которые смогли частично решить проблему.
Сегодня доменом, зарегистрированным для решения вирусной атаки iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, занимается компания Cloudflare.
Важно, чтобы этот домен продолжал регистрацию, иначе вирус может снова вернуться к жизни, если домен станет свободным. Именно компания Cloudflare обеспечивает услугу CDN для клиентов хостинга ГиперХост.
Компания производитель антивируса Avast Antivirus рекомендует своевременно обновлять операционные системы, хотя ее разработка способна обезвреживать все версии WannaCry.
Урок от WannaCry для всех пользователей ПК: без обновлений и соблюдения правил кибер безопасности сети даже незначительный компьютерный вирус может повлечь за собой глобальную катастрофу как для обычного пользователя, так и для всей компании.
Как защититься от подобных атак?
Чтобы защитить свой компьютер от подобной беды, следует соблюдать элементарные правила кибер безопасности на всех уровнях. О чем, прежде всего, нужно позаботиться?
Прежде всего необходимо своевременно устанавливать обновление вашей операционной системы. Если версия ОС уже без официальной поддержки со стороны выпустившей ее компании, то такую ОС стоит обновить. Наиболее уязвимы как раз устаревшие версии систем и ПО, установленное на них.
Отключение уязвимых служб также поможет защититься от подобных вирусов WannaCry. Так позаботьтесь об отключении протокола SMBv1, если он не используется. Порты TCP 445, 139, 3389 также следует закрыть и, конечно же, использовать брандмауэр.
Антивирусное программное обеспечение от вирусов шифровальщиков также способно защитить компьютер пользователя на высоком уровне. Поэтому следует не игнорировать установление такого ПО. Чтобы не подцепить вирус через сайты в сети, используйте специальные блокировщики скриптов в веб-браузерах.
Все эти правила достаточно важны в процессе защиты компьютера от шифровальщиков, но на всякий случай всегда следует иметь свежую резервную копию данных с ПК. Эти копии должны быть отдельно от основного компьютера, например в облачном хранилище.
Многофакторная аутентификация также способна усилить степень защиты от взлома, а надежные и уникальные пароли для различных сервисов обеспечат еще один уровень.
Вам пришло подозрительное электронное письмо или сообщение в социальной сети с вложением файла? Не открывайте. Или сначала проверьте этот файл антивирусной программой.
Безопасность ПК прежде всего – это ответственность пользователя, который должен заботиться о ней на всех уровнях, особенно это важно в крупных компаниях и организациях, где взлом одного устройства приводит к нарушению работы сети. WannaCry был в 2017 году, но нет гарантий, что он или подобный ему шифровальщик, снова не причинит вреда на глобальном уровне. Поэтому необходимо своевременно обновлять систему, делать резервные копии и соблюдать осторожность, чтобы не стать жертвой вирусной атаки в будущем.