Андрей Брызгин: Нас ждет еще не одна эпидемия с вирусами-вымогателями
Около 95% целевых заражений, даже очень серьезных и крупных, начинаются с того, что кто-то открыл письмо с вирусом. Заражение через почту зачастую таргетировано: письмо специально составляется так, чтобы целевой получатель его открыл. Если письмо пришло в отдел HR, то вирус будет вложен в резюме, если юристу — в файл с досудебной претензией, и так далее. Так что не стоит открывать вложения не задумываясь, а если вы получили от неизвестного человека письмо, которого не ждали, весьма вероятно, что это попытка атаки. Лучше свяжитесь с отправителем по альтернативному каналу (телефон вполне подходит) и выясните, что в письме, и есть ли смысл смотреть вложения.
Почтовые рассылки считаются и основным каналом распространения Petya.a (версий по-прежнему много, и в данном случае есть факты в пользу как версии с рассылками, так и гипотезы с компрометацией обновления ПО M.E.Doc). Если ориентироваться на первую версию, то вирусом эксплуатируется уязвимость RTF RCE (Код уязвимости — CVE-2017-0199 — удаленное исполнение программного кода при помощи эксплойтов, встроенных в файлы формата RTF. Есть информация о распространении через .xls-таблицы со встроенными макросами, но подтверждений пока совсем немного. Вне зависимости от того, какая из версий в итоге подтвердится, совет для пользователей, далеких от техники, очень простой: rtf-вложения к письмам лучше не открывать, особенно если данного письма вы не ждали, а если вы не знаете, что такое макросы и не используете их в работе, никогда не запускайте их в документах. Через них распространяется очень много заразы.
Велика вероятность, что в открытом доступе появятся эксплоиты сравнимые с Eternal Blue по мощности, но уже мало кому известные. Тогда эпидемия будет еще серьезнее
Помимо небольших компаний и частных лиц, изначально хуже защищенных, жертвами вирусов-вымогателей часто становятся крупные организации. Причина — обширная сетевая инфраструктура, которую сложнее контролировать. Чем больше сеть, тем больше точек входа для вредоносных программ.
Важно уточнить, что для защиты от вируса не нужны дорогостоящие комплексы и мероприятия, достаточно соблюдать политику обновлений компании Microsoft: работа Petya.a базируется на двух уязвимостях, которые были закрыты обновлениями безопасности от Microsoft еще в марте.
Мнения о происхождении вируса Petya.a расходятся: кто-то считает, что это сэмпл знакомого всем Petya, которому уже больше года, другие уверены, что это новый вирус, отдельный сэмпл. Я склоняюсь к первой версии, но нужно отметить, что именование сэмплов — процесс творческий и субъективный, подверженный влиянию личных предпочтений аналитиков и маркетологов. Определить, насколько справедливо называть вирус тем или иным именем, сложно и не всегда необходимо. Прямо сейчас, пока атака развивается, мы концентрируемся на выделении технических маркеров заражения и формировании рекомендаций по защите от них. С историей создания и неймингом разбираться надо позже, когда атака будет погашена.
Не так давно случилась эпидемия с вирусом-вымогателем WannaCry: группировка ShadowBrokers опубликовала подборку эксплоитов (средств заражения компьютеров через эксплуатацию технических уязвимостей), разработанных, как принято считать, АНБ. Возможности некоторых эксплоитов оказались очень серьезными. Тогда группировка заявила, что больше не будет выкладывать в открытый доступ другие разработки, но открыта для коммерческих предложений о покупке. Велика вероятность того, что на рынке появятся эксплоиты сравнимые с Eternal Blue (инструмент распространения WannaCry) по мощности, но уже мало кому известные. Тогда эпидемия будет еще серьезнее. Сейчас это сложно прогнозировать, но факты говорят о высокой вероятности такого развития событий.
Следует скептически относиться к версиям о мотивах создателей вируса, их политической принадлежности и географии и сосредоточиться на усилении собственной защищенности
У Petya и WannaCry есть кое-что общее, в первую очередь, один из механизмов распространения — тот самый EternalBlue, но это лишь один из векторов заражения вирусом Petya.a. Второй вектор куда более интересен — вирус действует как автоматизированный пентестер (способ анализа защищенности информационных систем с помощью контролируемой имитации кибератак): попадая на компьютер, он ищет в оперативной памяти логины и пароли локального и доменного администраторов. Затем, используя их и легитимные инструменты администрирования Windows, вирус реплицирует себя по сети, пока не заразит все возможные узлы. Функционал червя, самораспространение по локальной сети — еще один факт, который роднит Petya.a с WannaCry.
Вчера в СМИ публиковались в основном непроверенные факты — к полуночи ни у кого не было хорошего емкого обобщения о функционале вируса. Информация о способах расшифровки атакованных компьютеров – один из таких фактов; существующие дешифровщики работают только с семплами Petya годовой и полугодовой давности.
Сейчас многие пытаются узнать, кто стоит за созданием Petya, изучают почерк создателей, выдвигают версии, но стоит принимать во внимание, что создатели вирусов активно запутывают следы. Недавно мы опубликовали отчет о хакерской группе Lazarus, которую связали с северокорейской киберармией. Участники группы пытались представить себя как группу русских хакеров, используя кириллические символы и русские слова в комментариях к коду. При этом смысл этих слов зачастую был перепутан: например, команда «получить» отправляла данные, команда «отправить», наоборот, получала. Это всего лишь один из множества примеров мимикрии одной группировки под другую, часто выдуманную. Огромный арсенал средств анонимизации, используемых злоумышленниками, сводит шансы оперативно раскрыть имена и мотивы атакующих к нулю.
Обезопасить себя от этой и многих других угроз можно совершенно бесплатно и быстро
С момента атаки WannaCry прошло полтора месяца, а эксплоит Eternal Blue все еще работает (хоть и не является основным средством распространения текущего сэмпла Petya) — это говорит о том, что бесплатными и быстрыми обновлениями Windows пренебрегает огромное количество компаний и частных лиц. Таким образом, совсем немного модифицировав сегодняшнего Petya, злоумышленники могут устроить еще не одну эпидемию.
Обезопасить себя от этой и многих других угроз можно совершенно бесплатно и быстро: надо быть внимательным при работе с электронными письмами, следить за регулярностью обновлений операционной системы и прикладных программ и интересоваться информационной безопасностью. На сегодняшний день это обязательная область знаний для каждого, кто работает с компьютерной техникой, смартфонами и интернетом. Уточните у специалиста по информационной безопасности в своей компании, какие меры он предпринимает для защиты от вредоносного программного обеспечения и требуйте проведения обучения по противодействию современным угрозам.
Если вы открыли вложение с вирусом, то шансов спасти информацию практически нет. Тем не менее, попробуйте немедленно отключить компьютер от электропитания и загрузиться со временного носителя с Linux-based операционной системой. Возможно, с системного диска можно будет спасти те файлы, которые вирус не успел зашифровать. А вот платить выкуп за дешифровку файлов точно не стоит: каналы коммуникации со злоумышленниками уже закрыты.
Вместе с другими компаниями, специализирующимися на защите информации, мы продолжаем изучать текущую эпидемию и призываем скептически относиться к версиям о мотивах создателей вируса, их политической принадлежности, географии и подобным вещам. Пока на этой теме спекулирует слишком много участников обсуждений. На чем следует сосредоточиться — так это на усилении собственной защищенности. Это всегда пригодится.