Що таке віруси-шифрувальники типу WannaCry та як від них захиститися?
Про віруси-вимагачі у криптоспільствах активно заговорили у травні 2017 року. В цей час вірус WannaCry швидко поширився комп'ютерними мережами. Він заражав комп'ютери на Windows, шифрував файли на жорсткому диску ПК, а потім вимагав викуп у біткоін за розшифровку.
Це короткий принцип дії шифрувальників. У цій статті розберемося, що таке WannaCry як лікувати зашифровані комп'ютери і що розповідає source code вірусу.
Є два терміни: «вимагач» та «шифрувальник». Це описує функцію шкідливого програмного забезпечення, яка полягає у вимаганні грошей за розшифрування файлів. Вірус повинен отримати доступ до файлів або системи. Це відбувається за допомогою зараження чи векторів атаки.
Технічно, вектор атаки або зараження - це засіб, за допомогою якого здирники отримують доступ. Найпопулярніші:
прикріплений файл на бізнес-пошту (резюме, інвойси, запрошення),
повідомлення в соцмережах з вкладеннями,
спливаючі вікна з різними «підказками», які ведуть до зараження.
Феномен WannaCry
Декілька факторів привернули увагу до WannaCry. Насамперед через те, що він заразив найбільші компанії. Серед них Британська національна служба охорони здоров'я. Вірус-шифрувальник експлуатував уразливість Windows, яка була вперше виявлена Агентством національної безпеки США. Symantec та інші дослідники безпеки пов'язували його з Lazarus Group - організацією, яка займається кіберзлочинністю і може бути пов'язана з урядом Північної Кореї.
Як створено WannaCry та інші шифрувальники?
WannaCry Ransomware складається з кількох компонентів. Він потрапляє на заражений комп'ютер у формі дроппера. Це окрема програма, яка отримує вбудовані в неї компоненти програми. Ці компоненти включають:
додаток, який шифрує та дешифрує дані,
файли, що містять ключі шифрування,
копію Tor.
Вихідний код не дуже заплутаний, тому його змогли проаналізувати фахівці з безпеки. Після запуску шифрувальник WannaCry намагається отримати доступ до жорстко запрограмованого URL (так звана Кнопка знищення). Якщо йому не вдається, він продовжує пошук та шифрування файлів. Він шифрує безліч форматів, від файлів Microsoft Office до MP3 та MKV. Файли стають недоступними для користувача. Коли процес завершено, вірус повідомляє про викуп. WannaCry вимагав 300 доларів у BTC за розшифровку файлів.
Дешифрування WannaCry
Як WannaCry вибирає комп'ютери?
Вектор атаки для WannaCry цікавіший, ніж сам шифрувальник. Вразливість, яку використовує WannaCry, полягає у реалізації Windows протоколу SMB. Він допомагає різним вузлам мережі взаємодіяти, а реалізацію Microsoft можна обдурити спеціально створеними пакетами для виконання будь-якого коду.
Вважається, що Агентство національної безпеки США виявило цю вразливість уже давно. Замість повідомити громадськість, воно розробило код під назвою EternalBlue. Цей експлойт, у свою чергу, викрали група хакерів.
У Microsoft виявили вразливість за місяць до цього та випустили патч. Тим не менш, це не завадило WannaCry, який спирався на EternalBlue, швидко поширитися по пристроях. Після цього Microsoft звинуватила уряд США, що він не поділився інформацією про цю вразливість раніше.
Навіть якщо комп'ютер вже заражений, WannaCry не обов'язково розпочне шифрування файлів. Він спочатку намагається отримати доступ до дуже довгого, безглуздого URL, перш ніж приступити до роботи. Якщо він отримує доступ до цього домену, WannaCry вимикається. Не зовсім зрозуміло, якою є мета цієї функції. Деякі дослідники вважали, що творці шкідливого програмного забезпечення повинні були зупинити цю атаку. Тим не менш, Маркус Хатчинс, британський дослідник безпеки, який виявив цю URL-адресу, вважає, що це має ускладнити аналіз коду. Багато дослідників запускають шкідливе програмне забезпечення в середовищі «пісочниці», з якого будь-яка URL або IP-адреса здаватиметься доступною.
Хатчінс не тільки виявив жорстко запрограмовану URL-адресу, але й заплатив 10,96 доларів і відкрив там сайт. Це допомогло уповільнити поширення шкідливого програмного забезпечення. Незабаром після того, як його визнали героєм, Хатчінса заарештували за те, що імовірно розробляв віруси в 2014 році.
Symantec вважають, що код вірусу може мати північнокорейське походження. WannaCry бродив по мережі протягом кількох місяців, перш ніж почалася епідемія. Це рання версія шкідливого ПЗ, що отримала назву Ransom Wannacry. Вона використовувала вкрадені облікові дані для запуску цільових атак. Використані методи нагадують Lazarus Group.
Lazarus Group є хакерським угрупуванням, яке пов'язане з Північною Кореєю. У 2009 році вони проводили DDoS-атаки на урядові комп'ютери Південної Кореї, потім атакували Sony та банки.
Але оскільки вихідний код вірусу було відкрито, не можна точно приписати атаку будь-кому.
Небагато технічних деталей.
Ім'я вірусу: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
Вектор: Усі версії Windows до Windows 10 уразливі, якщо не виправлені для MS-17-010.
Викуп: від 300 до 600 доларів. У вірусі є код видалення файлів.
Backdooring: черв'як проходить через кожен сеанс RDP у системі, щоб запустити здирника від імені цього користувача. Він також встановлює бекдор DOUBLEPULSAR. Це робить відновлення важчим.
Кожне зараження генерує нову пару ключів RSA-2048:
Відкритий ключ експортується як BLOB-об'єкт і зберігається у 00000000.pky.
Закритий ключ шифрується за допомогою відкритого ключа здирника і зберігається як 00000000.eky.
Кожен файл зашифрований з AES-128-CBC з унікальним ключем AES на файл. Кожен ключ AES генерується CryptGenRandom.
Ключ AES зашифрований за допомогою пари ключів RSA, унікальної для кожного. Відкритий ключ RSA, який використовується для шифрування приватного ключа, вбудований в DLL і належить авторам вірусу.
Як лікувати WannaCry - патч
За іронією долі, патч, який захищає від WannaCry, був доступний до початку атаки. Microsoft у оновленні MS17-010, що вийшло 14 березня 2017 року, виправив реалізацію протоколу SMB для Windows. Незважаючи на критичне оновлення, багато систем досі не оновилися до травня 2017 року. Більше пощастило Windows 10, оскільки функція автоматичного оновлення спрацювала. Тобто рішення, як захиститися від вірусу-шифрувальника, вже було, але недбалість на місцях змусила компанії поплатитися.
Для тих систем не було дешифрувальника та виходу, крім відновлення файлів із безпечної резервної копії. Хоча ті, хто стежить за гаманцями біткоїна, що вказані у повідомленні від вірусу, кажуть, що дехто платить викуп. При цьому мало доказів, що вони знову отримали доступ до файлів.
Ця атака змусила Microsoft випустити патч навіть XP, що підтримка припинена. Більшість заражень була на Windows 7.
Інші віруси-вимагачі
Незважаючи на всю гласність WannaCry все ще заражає системи. У березні 2018 року Boeing був уражений WannaCry. Проте компанія заявила, що це були невеликі збитки.
Велику небезпеку сьогодні становлять варіанти WannaCry або, точніше, нові шкідливі програми, що базуються на тому ж коді EternalBlue. У травні 2018 року ESET випустила дослідження: кількість виявлень шкідливого програмного забезпечення на основі EternalBlue перевищила свій максимальний рівень у 2017 році.
Наприклад, відомий апгрейд вірусу Petya та NotPetya. Це дві пов'язані шкідливі програми, які торкнулися тисячі комп'ютерів у 2016 та 2017 роках. Як Petya, і NotPetya прагнуть зашифрувати жорсткий диск. Між ними багато спільних рис, але NotPetya має більше потенційних інструментів, які допомагають поширювати і заражати комп'ютери.
Вірус Petya – це стандартний здирник, метою якої є отримання невеликої кількості BTC від жертв.
NotPetya вважається деякими кібератакою, яка спонсорується Росією та маскується під вірус.
Початкова версія вірусу Петі поширилася у березні 2016 року. Жертві надходив лист на пошту з двома файлами. Повідомлення було замасковано під претендента на роботу. У ньому було зображення молодої людини і виконуваний файл, часто з PDF в імені файлу. План в тому, щоб змусити вас клацнути по цьому файлу і погодитися з попередженням Windows User Access Control, що файл, що виконується, буде вносити зміни в комп'ютер.
Після перезавантаження комп'ютер зашифровано.
Virus Petya
Точніше, він не зашифрований. Замість шукати файли і шифрувати їх, вірус встановлює власний завантажувач. Він перезаписує основний завантажувальний запис вразливої системи, а потім шифрує таблицю файлів, яка є частиною файлової системи. По суті, файли не зашифровані, але комп'ютер не може отримати доступ до частини файлової системи, яка повідомляє їх місцезнаходження.
Чому Петя отримав таке ім'я?
Відвернемося на цікавий факт. Чому здирник отримав таке гучне ім'я «Вірус Петя».
Назва походить з фільму про Джеймса Бонда 1995 року GoldenEye. Акаунт у Твіттері, який підозрювали у приналежності до шкідливого програмного забезпечення, використав на аві зображення Алана Каммінга, який зіграв лиходія.
Історія NotPetya
Через кілька місяців після того, як Петя поширився, з'явилася нова версія під назвою Mischa. Миша вмикається, якщо користувач відмовляє Пете в доступі на рівні адміністратора.
У червні 2017 року все змінилося кардинально. Нова версія шкідливого ПЗ почала швидко поширюватися, причому заражені сайти були переважно українськими. Також він з'явився у Європі. Новий варіант швидко поширився від мережі до мережі без спам-листів або соціальної інженерії. Kaspersky Lap перейменував цю програму на NotPetya.
Непетія поширюється самостійно. Він використовує кілька способів: через блекдор в M.E.Doc (ПЗ для бухгалтерського обліку, популярне в Україні).
З цих серверів вірус пішов на інші комп'ютери, використовуючи EternalBlue та EternalRomance.
Він також може скористатися інструментом Mimi Katz, щоб знайти облікові дані адміністрування мережі. Потім він включає вбудовані у Windows інструменти PsExec та WMIC для віддаленого доступу до локальної мережі та заражає інші комп'ютери.
NotPetya шифрує все. При цьому він не розшифровує дані. Якщо шифрувальники використовують ідентифікатор на екрані, який жертва відправляє разом із викупом. Тоді можна зрозуміти хто саме заплатив. Але NotPetya генерує випадкове число. У процесі шифрування він ушкоджує їх без можливості відновлення.
Через те, що вірус досконаліший, його підозрювали у причетності до великих ресурсів, на кшталт держрозвідки. Плюс через напад на Україну в 2017 році під підозру потрапила Росія. Це звинувачення оголосив український уряд. Багато західних країн, у тому числі США та Великобританія, підтримали її. Росія заперечує свою причетність, вказуючи, що NotPetya заразив і багато російських комп'ютерів.
Ще про знаменитих вірусів-вимагачів
SecureList від Kaspersky повідомляє, що з квітня 2014 по березень 2015 найбільш відомими були CryptoWall, Cryakl, Scatter, Mor, CTB-Locker, TorrentLocker, Fury, Lortok, Aura і Shade. Їм вдалося атакувати 101 568 користувачів по всьому світу, що становить 77,48% всіх користувачів, які зазнали криптового збагачення за цей період.
CryptoLocker був одним із найприбутковіших видів здирників свого часу. У період з вересня по грудень 2013 року він заразив понад 250 тисяч систем. Він заробив понад 3 мільйони доларів до того, як його ботнет Gameover ZeuS відключили. Це сталося у 2014 році у рамках міжнародної операції.
Згодом створили інструмент відновлення зашифрованих файлів, скомпрометованих CryptoLocker. Але на зміну прийшли його клони – CryptoWall та TorrentLocker.
У травні 2016 року дослідники Лабораторії Касперського заявили, що в першому кварталі цього року до трійки здирників входили: Teslacrypt (58,4 відсотка), CTB-Locker (23,5 відсотка) та Cryptowall (3,4 відсотка).
Один із перших варіантів здирників для Apple OS X також з'явився в 2016 році. KeRanger вплинув на користувачів, що використовують програму Transmission, але за півтора дня торкнувся близько 6500 комп'ютерів.
Згідно зі звітами з початку 2017 року, шифрувальники принесли кібер-злочинцям один мільярд доларів США.
Новий звіт Національного агентства з боротьби зі злочинністю попереджає про розвиток загроз, таких як мобільні здирники та IoT. Найкращі практики захисту від шифрувальників – регулярне резервне копіювання та оновлення програмного забезпечення. Але вони не застосовуються до більшості пристроїв IoT. Це робить їх привабливішими для хакерів.
Також під загрозою різні служби зі старим програмним забезпеченням, типу комунальників. Це може бути величезною проблемою, якщо хакери захочуть заробити на нашій безвиході.
0 Комментарии