Главная » Блоги Экспертов И ИТ-Компаний » WannaCry: пять ответов на одну из ужасных атак в истории

WannaCry: пять ответов на одну из ужасных атак в истории

С момента появления в прошлом месяце WannaCry, сетевого червя, который распространился по всему миру, используя эксплойт EternalBlue и заразив шифровальщиком сотни тысяч компьютеров, мы получили огромное количество вопросов.

В этой статье мы решили собрать наиболее важные вопросы и ответы на них.

Он пришел по электронной почте?

Большинство СМИ сообщили, что первоначально атака была отправлена по электронной почте с помощью спамовых сообщений.

Здесь Вы можете увидеть один такой пример из Financial Times, где авторы даже приводят подробности того, как он распространялся в zip-файле. Но, это не так. С самого первого дня каждая отдельная атака, которые мы наблюдали, возникала через эксплойт EternalBlue.

Она была действительно такой массовой, как сообщали СМИ?

Это действительно была массированная атака на глобальном уровне, и в этом нет никаких сомнений. Но вместе с тем, если мы вспомним последние угрозы, такие как SQLSlammer или Blaster, то WannaCry не достиг тех масштабов. В наши дни у большинства домашних пользователей по умолчанию включены автоматические обновления Windows, а значит, что они уже защищены от известных уязвимостей. Однако ущерб, причиненный данной атакой, намного больше, чем от любой другой массовой угрозы, которые мы видели до текущего дня, т.к. шифровальщик зашифровал всю ценную информацию на компьютере и в сетевых окружениях. В этом смысле, эта атака является одной из самых серьезных атак в истории.

Последние данные говорят о наличии свыше 300 000 жертв. На самом деле, количество еще больше. Есть компьютеры внутри корпоративных сетей, которые были заражены, но при этом не имеют внешнего подключения. Так что, возможно, речь может идти о миллионах компьютеров.

Почему атака не остановилась после того, как был зарегистрирован kill-switch домен?

Одной из характеристик WannaCry является то, что он пытается соединиться с определенным URL. Если он существует, то угроза ничего не делает, она более не распространяется и не запускает процесс шифрования. Почти сразу после запуска атаки один из исследователей в сфере безопасности зарегистрировал такой домен. Однако, полностью это не остановило червя от распространения. И тому есть несколько объяснений: компании, чьи компьютеры подключены к Интернету через прокси, не позволяли WannaCry подключиться к URL и продолжали сеять хаос в локальных сетях; или компании, которые полностью отключили компьютеры от Интернета для того, чтобы обуздать ситуацию. И не только это: существуют варианты угрозы, в которых прописан другой домен, так что регистрация kill-switch домена была способна остановить только часть процесса заражения.

Сколько вариантов WannaCry существует?

Все зависит от того, что считать «вариантом». С самого начала мы видели несколько различных вариаций, однако все они имели одинаковую функциональность. По нашим последним данным в целом мы зафиксировали свыше 700 вариантов, в которых были различные изменения: от небольших изменений файла во избежание сигнатурных обнаружений до изменений kill-switch домена, о чем мы говорили выше.

Могут ли обычные антивирусы удалить инфекцию?

Если коротко, то ответ - да. А если более точно, то… это зависит от многих вещей. До тех пор пока Ваше решение безопасности не способно защитить Ваш компьютер от эксплойта EternalBlue, то на него снова и снова будет попадать этот зловред, и как только на него будет попадать новый вариант или новый зловред, использующий аналогичный вектор атаки, то ПК снова будет заражен.

Рекомендации

Хотя далеко не все компании были заражены, мы можем сказать, что от атаки пострадали не только зараженные копании, но также и те компании, которые не применили требуемые обновления в своей сети. Эти компании, как правило, остановили свою работу до момента внедрения патча. Мы же предлагаем компаниям пересмотреть свой подход к информационной безопасности и использовать такие решения как Adaptive Defense. Ну и конечно всегда следует иметь в виду следующие рекомендации:

  • Используйте адекватные инструменты  защиты, такие как файерволы и антивирусные / антивредоносные решения следующего поколения.
  • Поддерживайте Ваш ПК в обновленном состоянии! Помните, что если бы пострадавшие компьютеры были бы своевременно обновлены, то они не были бы атакованы. Это очень важно для повышения уровня безопасности системы, повышения производительности и устранения ошибок в работе. Также учтите, что компании, которые вынуждены использовать компьютеры с устаревшими операционными системами (например, Windows XP), должны адекватно защищать их и по возможности изолировать.
  • Не открывайте файлы, вложения или ссылки из неизвестных и ненадежных писем, и не отвечайте на такие письма.
  • Будьте осторожны при открытии ссылок в письмах, мгновенных сообщениях и социальных сетях, даже если они пришли к Вам от известных Вам контактов.
  • Периодически выполняйте резервное копирование, особенно наиболее важной и чувствительной информации.

Для получения более подробной информации Вы можете посмотреть запись вебинара Луиса Корронса, Технического директора антивирусной лаборатории PandaLabs:

 

 " width="640" height="360" allowfullscreen>

Оригинал статьи: WannaCry: Five Answers to One of the Worst Attacks in History

 

Panda Security в России

 +7(495)105 94 51, marketing@rus.pandasecurity.com

 http://www.pandasecurity.com

 

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Екатеринбург
+7(495)1059451
Информационные технологии

Panda Securityэто лидирующая испанская мультинациональная компания, предлагающая решения с функциями расширенной информационной безопасности, а также инструменты управления и мониторинга. С момента своего создания в 1990 году, Panda неизменно выделяется своим новаторским подходом, позволившим компании создать ряд наиболее важных разработок в сфере информационной безопасности.

В настоящий момент компания сосредоточена на развитии стратегий и технологий расширенной защиты. Panda Security имеет офисы в более чем 80 странах мира, ее продукты переведены на 23 языка и используются свыше 30 миллионами пользователей во всем мире.

 

 


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>