Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

WannaCry (WannaCrypt) - аналіз вірусу-шифрувальника і методів захисту

  1. Вступ
  2. Ознаки зараження WannaCry
  3. Захист від WannaCrypt і інших шифрувальників
  4. висновки

У статті докладно розглянуто феномен вірусу-шифрувальника WannaCry / WannaCrypt, епідемія зараження яким стрімко почалася 12 травня 2017 року. Описано основні функції цього шкідливий, а також механізми захисту від подібного роду атак в майбутньому.

1. Введення

2. Коріння WannaCry

3. Аналіз WannaCry

4. Ознаки зараження WannaCry

5. Захист від WannaCrypt і інших шифрувальників

6. Висновки

Вступ

12 травня 2017 р під кінець дня, коли всі адміністратори і фахівці з безпеки почали збиратися по домівках і дачах, світ облетіла новина про початок безпрецедентної атаки WannaCry.

WannaCry ( WannaCrypt , WCry , WanaCrypt0r 2.0 , Wanna Decryptor ) - шкідлива програма, мережевий черв'як і програма-вимагач грошових коштів. Програма шифрує майже все що зберігаються на комп'ютері файли і вимагає грошовий викуп за їх розшифровку. Шкідливих програм такого типу реєструвалося безліч за останні роки, але WannaCry на їх тлі виділяє ся масштабом поширення і використовуваними техніками.

Цей вірус-шифрувальник почав поширення приблизно в 10 ранку і вже ввечері 12 травня ЗМІ стали повідомляти про численні заражених. У різних виданнях пишуть , Що здійснена хакерська атака на найбільші холдинги, в тому числі і на «Сбербанк».

В інтернеті з'явилася інфографіка, що демонструє в динаміці поширення вірусу по світу. Початковий етап атаки WannaCry наведено нижче на статичному зображенні.

Малюнок 1. Поширення WannaCry по земній кулі

Поширення WannaCry по земній кулі

Вірус-вимагач WannaCry, можливо, написаний вихідцями з Південного Китаю. Співробітники компанії Flashpoint вирішили вивчити НЕ вихідні коди і поведінку шкідливий, а провести лінгвістичний аналіз повідомлення з вимогою викупу.

Дослідники компанії Flashpoint пишуть , Що розробники або WannaCry безумовно добре знають китайську мову. На цю обставину вказує той факт, що здирницькі повідомлення представлено в двох варіантах: один використовує традиційні ієрогліфи, а інший спрощені. Крім того, здирницькі послання на китайському явно відрізняється від англійського шаблону, і його писала людина, добре знайомий з тонкощами мови.

коріння WannaCry

Випадково чи навмисно у американських хакерів, то чи з АНБ, то чи з ЦРУ, витекло «дуже небезпечне кіберзброя» (у чому вони, як правило, не визнаються). Про це стало відомо, коли людина з хакерського угруповання The Shadow Brokers виклав це «зброя» в інтернет. Серед них був експлойт EternalBlue.

В автоматичному режимі це кіберзброя дозволяє захопити управління будь-яким комп'ютером Windows, використовуючи його стандартний сервіс доступу до файлової системи по мережі - протокол SMB.

Архів, опублікований кібер-угруповання The Shadow Brokers, містить в загальній складності 23 інструменту, в тому числі EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig, Fuzzbunch .

Останній являє собою модульне ПО (розроблений АНБ еквівалент Metasploit), що дозволяє за кілька хвилин зламати цільову систему і встановити бекдор для віддаленого управління комп'ютером.

У компанії Microsoft провели аналіз експлойтів і заявили , Що уразливості в протоколі SMB версії c 1-3, експлуатовані інструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar і EternalSynergy, вже були виправлені в попередні роки, деякі усунені в нинішньому році (CVE-2017-0146 і CVE-2017 -0147).

Патч для уразливості в контролерах домену, що працюють під управлінням Windows 2000, 2003, 2008 і 2008 R2, експлуатованої інструментом EsikmoRoll, був випущений ще три роки тому, в 2014 році.

Як відзначили в компанії, інструменти EnglishmanDentist, EsteemAudit і ExplodingCan не працюють на підтримуваних версіях Windows, тому патчі для них випускатися не будуть. Уразливість, використана шифрувальником WannaCry, є тільки в Windows - інші операційні системи (в тому числі Linux, macOS, Android) не постраждали. Але розслаблятися не варто - в цих ОС є свої уразливості.

Потрібно відзначити, що для ряду застарілих систем (Windows XP, Windows Server 2003, Windows 8), знятих з підтримки, Microsoft випустила екстрені поновлення .

Питання користувача. «Мій поточний особистий ноутбук, що працює на" Windows 7 Домашня розширена ", різного роду патчі встановлює автоматично, коли я його вимикаю ...

Та й наявний у мене W10-планшет автоматично ставить нові патчі при його включенні ... Невже корпоративні настільні ПК не оновлюється свої ОС автоматично при включенні або виключенні? »Дійсно - чому?

Через деякий час повний набір експлойтів був викладений у відкритий доступ разом з навчальними відео. Скористатися ним може будь-хто. Що і сталося. У наборі експлойтів є інструмент DoublePulsar. При відкритому 445 порте і не встановленому оновленні MS 17-010, з використанням уразливості класу Remote code execution (можливість зараження комп'ютера віддалено (експлойт NSA EternalBlue)), можливо перехоплювати системні виклики і впроваджувати в пам'ять шкідливий код. Не потрібно отримувати ніякого електронного листа - якщо у вас комп'ютер з доступом в інтернет, з запущеним сервісом SMBv1 і без встановленого патча MS17-010, то атакуючий знайде вас сам (наприклад, перебором адрес).

аналіз WannaCry

Троянець WannaCry (він же WannaCrypt) шифрує файли з певними розширеннями на комп'ютері і вимагає викуп - 300 доларів США в біткоіни. На виплату дається три дні, потім сума подвоюється.

Для шифрування використовується американський алгоритм AЕS з 128-бітовим ключем.

У тестовому режимі шифрування проводиться за допомогою зашитого в троянця другого RSA-ключа. У зв'язку з цим розшифровка тестових файлів можлива.

У процесі шифрування випадковим чином вибирається кілька файлів. Їх троянець пропонує розшифрувати безкоштовно, щоб жертва переконалася в можливості розшифровки решти після виплати викупу.

Але ці вибіркові файли і інші шифруються різними ключами. Тому ніякої гарантії розшифровки не існує!

Ознаки зараження WannaCry

Потрапивши на комп'ютер, троянець запускається як системна служба Windows з ім'ям mssecsvc2.0 (видиме ім'я - Microsoft Security Center (2.0) Service).

Черв'як здатний приймати аргументи командного рядка. Якщо вказати принаймні один аргумент, намагається відкрити сервіс mssecsvc2.0 і налаштувати його на перезапуск в разі помилки.

Після запуску намагається перейменувати файл C: \ WINDOWS \ tasksche.exe в C: \ WINDOWS \ qeriuwjhrf, зберігає з ресурсів троянця-енкодера в файл C: \ WINDOWS \ tasksche.exe і запускає його з параметром / i. Під час запуску троян отримує IP-адреса зараженої машини і намагається підключитися до 445 TCP-порту кожного IP-адреси всередині підмережі - здійснює пошук машин в внутрішньої мережі і намагається їх заразити.

Через 24 години після свого запуску в якості системної служби черв'як автоматично завершує роботу.

Для свого поширення шкідливий инициализирует Windows Sockets, CryptoAPI і запускає кілька потоків. Один з них перераховує всі мережеві інтерфейси на зараженому ПК і опитує доступні вузли в локальній мережі, інші генерують випадкові IP-адреси. Черв'як намагається з'єднатися з цими віддаленими вузлами з використанням порту 445. При його доступності в окремому потоці реалізується зараження мережевих вузлів з використанням уразливості в протоколі SMB.

Відразу після запуску черв'як намагається відправити запит на віддалений сервер, домен якого зберігається в троянця. Якщо відповідь на цей запит отримано, він завершує свою роботу.

Епідемію WannaCry вдалося зупинити , Зареєструвавши домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com: до моменту початку розповсюдження троянця він був вільний нібито через помилки зловмисників. Насправді аналіз троянця показує, що він буде працювати і поширюватися на комп'ютерах, що мають доступ до локальної мережі, але не мають підключення до інтернету.

Як і багато інших шифрувальники, новий троянець також видаляє будь-які тіньові копії на комп'ютері жертви, щоб ще сильніше ускладнити відновлення даних. Робиться це за допомогою WMIC.exe, vssadmin.exe і cmd.exe.

Дослідники відзначають, що троянець має модульну архітектуру, що дозволить легко його модифікувати або змінити призначення.

Важливо відзначити, що троянець націлений не тільки на російських користувачів - про це говорить список підтримуваних мов.

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

Автор шифрувальника невідомий, написати його міг хто завгодно, явних ознак авторства поки не виявлено, за винятком такої інформації:

<Nulldot> 0x1000ef48, 24, BAYEGANSRV \ administrator

<Nulldot> 0x1000ef7a, 13, Smile465666SA

<Nulldot> 0x1000efc0, 19, [Email protected]

<Nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

<Nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion

<Nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1

<Nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

<Nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1

<Nulldot> 0x1000f1b4, 12, 00000000.eky

<Nulldot> 0x1000f270, 12, 00000000.pky

<Nulldot> 0x1000f2a4, 12, 00000000.res

Захист від WannaCrypt і інших шифрувальників

Для захисту від шифрувальника WannaCry і його майбутніх модифікацій необхідно:

  1. Вимикайте сервіси, включаючи SMB v1.
  • Вимкнути SMBv1 можливо використовуючи PowerShell:
    Set-SmbServerConfiguration -EnableSMB1Protocol $ false
  • Через реєстр:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters, параметр SMB1 типу DWORD = 0
  • Можна також видалити сам сервіс, який відповідає за SMBv1 (так, за нього особисто відповідає окремий від SMBv2-сервіс):
    sc.exe config lanmanworkstation depend = bowser / mrxsmb20 / nsi
    sc.exe config mrxsmb10 start = disabled
  1. Закрити за допомогою брандмауера невикористовувані мережеві порти, включаючи порти 135, 137, 138, 139, 445 (порти SMB).

Малюнок 2. Приклад блокування 445 порту за допомогою брандмауера Windows

Приклад блокування 445 порту за допомогою брандмауера Windows

Малюнок 3. Приклад блокування 445 порту за допомогою брандмауера Windows

  1. Обмежити за допомогою антивірусу або брандмауера доступ додатків в інтернет.

Малюнок 4. Приклад обмеження доступу в інтернет з додатком за допомогою брандмауера Windows

Приклад обмеження доступу в інтернет з додатком за допомогою брандмауера Windows

Малюнок 5. Приклад обмеження доступу в інтернет з додатком за допомогою брандмауера Windows

  1. Після відключення вразливих сервісів встановити останні оновлення (як мінімум, Microsoft Security Bulletin MS17-010 або патч для Windows XP , Windows Server 2003 R 2 ).
  2. Не застосовувати препарат зняті Microsoft з підтримки старі версії операційної системи Windows, особливо Windows XP.
  3. Контролювати і блокувати трафік до вузлів мережі Tor, які часто використовуються шифрувальником і іншими шкідливими програмами.
  4. Використовувати резервне копіювання даних, як на зовнішні, так і на віддалені сховища (Тест систем резервного копіювання і відновлення даних) .

Малюнок 6. Створення резервних копій за допомогою штатних засобів Windows

Створення резервних копій за допомогою штатних засобів Windows

Для захисту від шифрувальників (включаючи WannaCry) необхідно не допускати помилок в організації антивірусного захисту

  1. Чи не виключати з перевірки використовувані додатки і диски.
  2. Вчасно продовжувати ліцензію і оновлювати антивірус.
  3. Використовувати проактивний захист, антиспам і контроль програм.
  4. Обмежити доступ до потенційно небезпечних веб-сайтів, використовуючи веб-фільтрацію.
  5. Заборонити відключення антивіруса.

висновки

Епідемія закінчена? Навряд чи.

Хакерська група The Shadow Brokers, яка взяла на себе відповідальність за викрадення шпигунських програм Агентства національної безпеки (АНБ) США, у вівторок, 16 травня оголосила про запуск платного сервісу The Shadow Brokers Data Dump of the Month.

Даний сервіс щомісяця надаватиме передплатникам нові експлойти для раніше невідомих вразливостей в браузерах, маршрутизаторах, мобільних пристроях, Windows 10, а також дані, викрадені з банківської системи SWIFT, і інформацію, пов'язану з ядерними програмами Росії, Китаю, Ірану та КНДР.

Варто відзначити, що в даний з'являються нові модифікації WannaCry, а використовувані операційні системи навряд чи незабаром оновлять.

Так що все тільки починається!

Невже корпоративні настільні ПК не оновлюється свої ОС автоматично при включенні або виключенні?
Zip?
Rar?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    Подготовка к ЕГЭ по математике
    Статьи Опубликовано: 05.10.2017 Подготовка к ЕГЭ по МАТЕМАТИКЕ. 1 часть. Эффективный курс подготовки. Вы находитесь на сайте www.ege-ok.ru - Подготовка к ЕГЭ по математике. Меня зовут Инна Владимировна

    Куда поступить с обществознанием, русским и математикой
    Статьи Опубликовано: 06.10.2017 Сдача ЕГЭ. Куда поступать? Обществознание считается одним из самых популярных предметов, которые выпускники сдают на ЕГЭ. Ввиду высокого рейтинга дисциплины Рособрнадзор

    Сайт Майер Елены - ЕГЭ по математике
    Планируется проведение двух отдельных экзаменов – базового и профильного. Кому сдавать базовый ЕГЭ по математике? Базовый ЕГЭ организуется для выпускников, изучающих математику для общего развития

    ГДЗ решебник по математике 4 класс
    Извините, тут пока ничего нет ((( Решебник по математике 4 класс (Истомина Н.Б.) – не просто возможность быстро выполнить домашнее задание для учащегося, но и способ разобраться в труднорешаемых задачах.

    ГДЗ по математике 1 класс Самсонова самостоятельные работы
    Решебник по математике за 1 класс автора Самсоновой Л.Ю. 2012 года издания. Данное пособие предлагает готовые решения на разнообразные упражнения, направленные на активизацию всего учебного процесса. Здесь

    Для этой работы нужна математика
    Слотов: 956 Рулеток: 7 Лицензия: Pragmatic Play, Microgaming, ELK, Yggdrasil, Habanero, Amatic, Isoftbet, Netent, Rival, Igrosoft, Quickspin. Игры: Автоматы, Покер, Рулетки. Всего 963 Отдача: 98% Бонус

    Веселые задачи по математике 2 класс
    Во время занятий для того, чтобы немного переключить внимание школьников, но при этом не уйти от предмета, можно давать шутливые задачи на сообразительность. Буду пополнять коллекцию таких задач. Дополнительная

    Функция экспонента в Excel
    Одной из самых известных показательных функций в математике является экспонента. Она представляет собой число Эйлера, возведенное в указанную степень. В Экселе существует отдельный оператор, позволяющий

    ЕГЭ по математике 2018
    ЕГЭ по математике, наравне с русским языком , – обязательный экзамен для сдачи выпускниками 11-х классов. По статистике он самый сложный. Мы предлагаем ознакомиться с общей информацией об экзамене и

    Секреты эффективной и быстрой подготовки ко второй части ОГЭ по математике.
    Уважаемые девятиклассники, настоящие или будущие! Часто от вас приходится слышать следующие вопросы. Легко ли подготовиться к заданиям второй части ОГЭ по математике? Сколько для этого понадобится


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: