WannaCry - вірус шифрувальник. Як захиститися від подібних вірусів?

Що таке WannaCry?

WannaCry - комп'ютерний вірус, що є небезпечним для користувачів Microsoft Windows, вражає операційну систему завдяки шифруванню файлів користувача. Інші назви даного вірусу - WCry, WCrypt, WannaCrypt, WNCRY, і WanaCrypt0r 2.0. Вірус шифрувальник в 2017 році атакував комп'ютери користувачів по всього світу та вимагав оплату в біткоїнах для розшифрування даних. Якщо оплата не надходила протягом тижня, вірус знищував файли. 

WannaCry використовував уразливість ОС Windows під назвою EternalBlue, яку раніше розробило Агентство національної безпеки США для кібершпигунства. Ця уразливість дозволяла вірусу автоматично поширюватися між комп’ютерами в одній мережі без взаємодії з користувачем.

Наслідки атаки WannaCry

Від WannaCry постраждали великі компанії, державні установи та організації різного типу. На щастя, вірус був знешкоджений, але збитки, які він завдав, стали сигналом для всіх користувачів для регулярного оновлення програмного забезпечення та встановлення потужних антивірусів для надійного захисту від кіберзагроз подібного типу. 

Згідно офіційних даних найбільше постраждали комп'ютерні системи в Україні, Росії, Тайвані, Британії, Іспанії та Німеччині. WannaCry міняв розширення файлу, який заражав, на .WNCRY, а всі вже зашифровані файли на початку мали рядок WANACRY!.

Шахраї інфікували комп'ютери лікарні у Великій Британії, телефонну компанію в Іспанії та безліч користувачів в Німеччині. Серед відомих інфікованих компаній та організацій Renault, FedEx, Deutsche Bahn, Telefónica, російське МВС. Загалом WannaCry дістався до більш ніж 230 тисяч комп'ютерів користувачів по всьому світу. 

В чому причина такого швидкого поширення вірусу WannaCry? Вірус швидко поширювався через уразливі комп’ютери на застарілих версіях Windows (Windows XP, Windows 7, Windows Server 2008). Microsoft раніше випустила критично важливе оновлення (березень 2017), але багато користувачів його не встановили. 

Основні способи інфікування WannaCry

Небезпечний і підступний WannaCry поширювався в мережі кількома шляхами, він швидко заражав комп'ютери користувачів та вимагав викуп для “знезараження”. Як були інфіковані ОС?

Перш за все через використання уразливості EternalBlue. Ця уразливість дозволяла вірусу самостійно заражати комп’ютери в одній мережі без участі користувачів.

Microsoft випустила спеціальний патч у березні 2017 року, але багато систем залишилися без оновлення через недалекоглядність користувачів. 

Вірус WannaCry здатний до саморозповсюдження, тобто варто було одному комп'ютеру заразитись вірусом як всі комп'ютери в одній мережі також підхоплювали його. Таким чином всі ПК однієї організації відразу потрапляли під загрозу. 

Шкідливі вкладення в електронних листах - одна із версій зараження вірусом WannaCry. Як тільки користувач відкривав лист з таким вкладенням, вірус потрапляв в локальну мережу і шифрував критично важливі файли системи. Це могли бути заражені файли Word, PDF або архіви. 

Незахищені або відкриті порти SMB (TCP 445) - ще один шлях зараження комп'ютерів. Якщо система без оновлень або з невірно налаштованими брандмауерами, то такий комп'ютер відразу ставав мішенню зловмисників.

Мережі ботнетів також могли поширювати WannaCry. Вже заражені пристрої злочинці використовували для атак. 

Як бачимо, невчасне оновлення операційної системи призвело до успіху у кіберзлочинців. Постраждалі компанії навіть призупиняли свою роботу, так як не могли отримати доступ до важливих файлів у своїй же системі. 

Як було зупинено WannaCry?

На щастя, вірус WannaCry був зупинений успішно. Це сталось випадково завдяки досліднику вірусних програм Маркосу Хатчінсу. В коді вірусу він знайшов посилання на незареєстрований довгий домен, а після цього зареєстрував його, що автоматично зупинило роботу вірусу WannaCry. Суть роботи WannaCry полягала в тому, що перед активацією він перевіряв доступ до домену, а так як домен став зареєстрованим, то і доступу не було, а значить вірус перестав працювати. 

Після проблем із вірусною програмою компанія Майкрософт терміново випустила оновлення для ОС Windows XP та Windows 7 для подальшого захисту систем від загроз. Також були закриті порти TCP 445 та 139, адже саме вони використовувались для атак через мережу. Своєю чергою антивірусні компанії почали оновлювати своє програмне забезпечення для подальшого захисту користувачів від WannaCry. А для відновлення доступу до вже зашифрованих файлів вірусом почали розроблятись спеціальні декриптори, які змогли частково вирішити проблему. 

Сьогодні доменом, який був зареєстрований для вирішення вірусної атаки  iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, опікується компанія Cloudflare. Важливо, щоб цей домен продовжував реєстрацію, інакше вірус може знову повернутися до життя, якщо домен стане вільним. До речі, саме ця компанія надає послуги CDN для користувачів хостингу від ГіперХост. 

Компанія виробник антивірусу Avast Antivirus радить вчасно оновлювати операційні системи, хоча її розробка здатна знешкоджувати всі версії WannaCry. 

Урок від WannaCry для всіх користувачів ПК: без оновлень та дотримання правил кібер безпеки в мережі навіть незначний комп'ютерний вірус може спричинити глобальну катастрофу як для звичайного користувача, так і для всієї компанії.

Як захиститися від подібних атак?

Щоб захистити свій комп'ютер від подібної біди, варто дотримуватись елементарних правил кібер безпеки на всіх рівнях. Про що перш за все потрібно подбати? 

Перш за все потрібно вчасно встановлювати оновлення вашої операційної системи. Якщо версія ОС вже без офіційної підтримки з боку компанії, яка її випустила, то таку ОС варто оновити. Найбільш уразливі якраз застарілі версії систем та ПО, яке на них встановлено. 

Відключення уразливих служб також допоможе захиститися від вірусів подібних WannaCry. Так попіклуйтесь про вимкнення протоколу SMBv1, якщо він не використовується. Порти TCP 445, 139, 3389 також варто закрити і, звичайно ж, використовувати брандмауер.

Антивірусне програмне забезпечення від вірусів шифрувальників також здатне захистити комп'ютер користувача на високому рівні. Тому варто не ігнорувати встановлення такого ПЗ. Щоб не підчепити вірус через сайти в мережі використовуйте спеціальні блокувальники скриптів у веб браузерах.

Всі ці правила досить важливі в процесі захисту комп'ютера від шифрувальників, але на всяк випадок завжди варто мати резервну свіжу копію даних з ПК. Ці копії мають бути окремо від основного комп'ютера, наприклад, у хмарному сховищі. 

Багатофакторна автентифікація також здатна підсилити ступінь захисту від злому, а надійні та унікальні паролі до різних сервісів убезпечать ще на один рівень. 

Генератор надійних паролів

Вам прийшов підозріливий електронний лист чи повідомлення в соціальній мережі з вкладенням файлу? Не відкривайте. Або ж спочатку перевірте цей файл антивірусною програмою. 

Безпека ПК перш за все - це відповідальність користувача, який має дбати про неї на всіх рівнях, особливо це важливо у великих компаніях та організаціях, де злом одного пристрою призводить до порушення роботи мережі. WannaCry був в 2017 році, але немає гарантій, що він чи подібний йому шифрувальник, знову не заподіє шкоди на глобальному рівні. Тому потрібно вчасно оновлювати систему, робити резервні копії та дотримуватися обережності, щоб не стати жертвою вірусної атаки в майбутньому.