- PVSM.RU - https://www.pvsm.ru -

Итоги WannaCry: подборка основных материалов на «Хабрахабре» и не только

История показывает, что исключать повторения WannaCry в том или иной вариации нельзя, но нужно понимать, что оперативное противодействие подобным атакам — достаточно сложная задача. Для подготовки, укрепления «защиты» и принятия соответствующих профилактических мер очень важно не упускать из вида разборы наиболее заметных (как минимум) инцидентов в сфере ИБ.

Для этого мы решили взять наиболее рейтинговые материалы, которые выходили на Hacker News, и все, что было опубликовано по теме WannaCry на «Хабрахабре» и Geektimes.ru. Итоговую тематическую подборку мы дополнили комментариями экспертов Университета ИТМО.

Итоги WannaCry: подборка основных материалов на «Хабрахабре» и не только - 1 [1] Flickr / Michele M. F. [2] / CC [3]


Что говорят «у них»


Подборка устройств, подверженных воздействию WannaCry [4]

Мы решили начать с неплохой коллекции устройств, которые попали в объектив смартфонов своих пользователей. Авторам удалось собрать самые различные примеры: от бытовых ПК до служебных систем и пунктов приема платежей. Для тех, кому уже надоела шумиха вокруг WannaCry, есть специальный раздел в конце материала.

Год бесплатной пиццы и 10 тысяч долларов для white-hat’а, который «спас Интернет» [5]

Сразу после раскрытия личности героя в СМИ ряд компаний проявил инициативу и предложил свои варианты вознаграждения за заслуги перед ИТ-сообществом. Справедливое вознаграждение или самореклама «щедрых» компаний — решать вам.

Вся необходимая информации о WannaCry, Wcry и WannaCrypt [6]

Трой Хант, эксперт в области ИБ, имеющий непосредственное отношение к компании Microsoft, начал собирать данные о WannaCry еще 13 мая. По мере развития событий материал был дополнен технологическими подробностями и различной аналитикой (в том числе и финансовыми результатами «работы» шифровальщика-вымогателя). Помимо всего прочего Трой написал отдельный материал [7] о том, почему не стоит отказываться от обновления ОС.

WannaCry: наиболее популярный вирус-вымогатель в истории [8]

Один из MVP компании Microsoft собрал свою wiki-страничку на тему всего, что успел «натворить» шифровальщик-вымогатель. Здесь вы сможете найти информацию о том, как происходит заражение и получить рекомендации относительно профилактических мероприятий. Материал наполнен огромным количеством полезных ссылок (в том числе и на три последующие части рассказа эксперта).

Обнаружены новые вариации WannaCry [9]

Краткая заметка о том, что из себя представляют новые разновидности WannaCry. Характерные особенности и примеры с kill-switch и без него. Помимо постов в своем блоге эксперт дал краткий комментарий в тематической статье NYtimes и собрал пару примеров и сравнений, подтверждающих связь WannaCry и Lazarus Group.

WannaCry: дешифровка с помощью WanaKiwi + демо [10]

Практическое руководство по дешифровке данных, которые подверглись воздействию WannaCry. Проверено на версиях, начиная с Windows XP (x86) и до Windows 7 (x86), включая Windows 2003 (x86), Vista and 2008 and 2008 R2.


Что говорят «у нас»


Программа-шантажист WannaCrypt атакует необновлённые системы [11]

Нет ничего удивительного в том, что основная экспертиза по теме была предоставлена от лица крупнейших компаний, тем или иным образом связанных либо с самой уязвимостью, либо с вопросами ИБ. Microsoft не стала исключением и подготовила перевод статьи с разбором ситуации, которая вышла 12 мая в официальном блоге компании.

WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению [12]

Компания Cisco делится с хабражителями результатами исследования программы-шифровальщика. Основной материал был подготовлен специальным подразделением Cisco Talos. Его англоязычную версию можно просмотреть здесь [13].

Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам [14]

Компания Panda Security привела свою точку зрения относительно того, что произошло 12 мая, и рассказала о том, что отличает WannaCry от других атак, которые мы видели ранее. Описаны следующие критерии: направление заражения, взаимодействие с уязвимой системой, процессы распространения и шифрования. Помимо этого компания предоставила полезные рекомендации и ссылки по теме.

Wannacry — икс-команда, на выезд [15]

Компания КРОК написала практический материал о том, как происходило общение с клиентам, которые обратились за помощью. Помимо этого эксперты привели варианты действий, которые они рассматривали для реагирования на месте. Что из этого вышло и где остановили Wannacry почти сразу — читайте в материале.

Анализ шифровальщика Wana Decrypt0r 2.0 [16]

Интересный разбор особенностей шифровальщика Wana Decrypt0r 2.0 (вторая версия WannaCry) подготовили специалисты компаний T&T Security и Pentestit. Здесь представлен полный комплект: статистика, технологические нюансы и аналитические рассуждения.

WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужен бэкап [17]

Помимо краткого знакомства с WannaCry, его принципами работы и продуктами Acronis, которые могли бы пригодиться читателям, компания привела интересный список «жертв».

Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt [18]

Редакция Geektimes.ru рапортует о последних новостях по теме. Помимо рассказа о случайной находке, которая «спасла Интернет», вы можете почитать о том, как Microsoft обвинила АНБ [19] в накоплении эксплойтов, и новых вариациях WannaCry [20], в том числе без стоп-крана.

Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее [21]

«Лаборатория Касперского» разбирает последствия ажиотажа по поводу вредоносного ПО. В качестве примера приведена пара последних новостей, которые в очередной раз напоминают нам о том, что самые базовые и безобидные функциональные возможности ПО — это первое, что берут на вооружение злоумышленники.

Разбираем уязвимость CVE-2017-0263 для повышения привилегий в Windows [22]

Компания Positive Technologies решила пойти по следам новостей о WannaCry и рассказать об уязвимости «контекстного меню» и вариантах эксплуатации.


Кузьмич Павел Алексеевич, директор лаборатории компьютерной криминалистики при Университете ИТМО:

Скорее всего, сотрудники тех организаций, где зафиксировали заражение, использовали компьютеры для получения почты и «серфинга» в интернете и, не убедившись в безопасности полученных писем и открываемых сайтов, загрузили на них вредоносное программное обеспечение.

Вполне возможно, что таким образом могли быть скомпрометированы конфиденциальные сведения их клиентов — в случае коммерческих организаций, а также и большие объемы персональных данных — в случае с государственными ведомствами. Стоит надеяться на то, что на данных компьютерах такие сведения не обрабатывались.

Программы-вымогатели — это хорошо известный способ мошенничества и определенные подходы для защиты все-таки есть. Во-первых, нужно внимательно относиться к переходам по тем или иным ссылкам в Сети. Аналогично и с почтой — очень часто вирусы распространяются в файлах, приложенных к письмам якобы от вашего интернет-провайдера или банка. В-третьих, немаловажно хотя бы иногда делать резервные копии значимых документов на отдельные съемные носители.

Чаще всего заражение и активная фаза работы вируса — шифрование данных — проявляется в виде значительного снижения производительности компьютера. Это является следствием того, что шифрование — крайне ресурсоемкий процесс. Также это можно заметить при появлении файлов с непонятным расширением, но обычно на этом этапе уже поздно предпринимать какие-либо действия.


Григорий Саблин, вирусный аналитик, эксперт в области информационной безопасности Университета ИТМО, победитель международных соревновании по защите компьютерной информации:

Злоумышленники используют уязвимость в протоколе SMB MS17_010 — патч уже на серверах Microsoft. Те, кто не обновился, могут попасть под раздачу. Но, можно сказать, эти пользователи сами виноваты — они использовали пиратское ПО или не обновляли Windows. Мне самому интересно, как будет развиваться ситуация: похожая история была с MS08_67, её тогда использовал червь Kido, и тогда тоже многие заразились.

Не факт, что удастся восстановить все заблокированные файлы. Этот вирус может проникнуть куда угодно из-за того, что многие компьютеры еще не обновлены. Кстати, этот эксплойт был взят из архива, который «слили» у Агентства национальной безопасности (АНБ) США, то есть это пример того, как могут действовать спецслужбы в какой-либо экстренной ситуации.

P.S. Будем признательны обсуждение в комментариях дополнительных материалов и мнений, которые показались вам интересными. Соберем эту подборку вместе :)

Автор: itmo

Источник [23]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/256243

Ссылки в тексте:

[1] Image: https://habrahabr.ru/company/spbifmo/blog/329512/

[2] Michele M. F.: https://www.flickr.com/photos/e-coli/

[3] CC: https://creativecommons.org/licenses/by-sa/2.0/

[4] Подборка устройств, подверженных воздействию WannaCry: http://b0n1.blogspot.ru/2017/05/wannacry-ransomware-picture-collection_17.html

[5] Год бесплатной пиццы и 10 тысяч долларов для white-hat’а, который «спас Интернет»: https://thenextweb.com/insider/2017/05/16/wannacry-savior-rewarded-years-free-pizza-10000-saving-internet/

[6] Вся необходимая информации о WannaCry, Wcry и WannaCrypt: https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/

[7] отдельный материал: https://www.troyhunt.com/dont-tell-people-to-turn-off-windows-update-just-dont/

[8] WannaCry: наиболее популярный вирус-вымогатель в истории: https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58

[9] Обнаружены новые вариации WannaCry: https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e

[10] WannaCry: дешифровка с помощью WanaKiwi + демо: https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d

[11] Программа-шантажист WannaCrypt атакует необновлённые системы: https://habrahabr.ru/company/microsoft/blog/328910/

[12] WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению: https://habrahabr.ru/company/cisco/blog/328598/

[13] здесь: http://blog.talosintelligence.com/2017/05/wannacry.html

[14] Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам: https://habrahabr.ru/company/panda/blog/328882/

[15] Wannacry — икс-команда, на выезд: https://habrahabr.ru/company/croc/blog/329434/

[16] Анализ шифровальщика Wana Decrypt0r 2.0: https://habrahabr.ru/company/pentestit/blog/328606/

[17] WannaCry 2.0: наглядное подтверждение того, что вам обязательно нужен бэкап: https://habrahabr.ru/company/acronis/blog/328796/

[18] Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt: https://geektimes.ru/post/289143/

[19] Microsoft обвинила АНБ: https://geektimes.ru/post/289169/

[20] новых вариациях WannaCry: https://geektimes.ru/post/289153/

[21] Поддельные WannaCry, у HP в дровах кейлоггер, Chrome загружает лишнее: https://habrahabr.ru/company/kaspersky/blog/329098/

[22] Разбираем уязвимость CVE-2017-0263 для повышения привилегий в Windows: https://habrahabr.ru/company/pt/blog/328804/

[23] Источник: https://habrahabr.ru/post/329512/