Криптовымогатель WannaCry атакует своих жертв через эксплойт Microsoft SMB

Массивная атака распространяется в глобальном масштабе через уязвимость в протоколе Microsoft Server Message Block, которая была исправлена в марте.

Программы-вымогатели уже не являются только неприятностью. Сегодня они буквально стали вопросом жизни и смерти. По многочисленным сообщениям массивная атака криптовымогателя под названием WannaCry охватила весь мир, и из-за нее приостановили работу многие больницы в Великобритании и оказались зашифрованными файлы испанской телекоммуникационной фирмы Telefonica.

Атака WannaCry не связана с уязвимостью нулевого дня, а базируется на эксплойте для протокола SMB Server, который был пропатчен Microsoft 14 марта с выходом бюллетеня безопасности MS17-010. Однако компания не придавала этот дефект SMB широкой огласке до 14 апреля, когда хакерская группировка под названием Shadow Brokers опубликовала набор эксплойтов, которые, по неофициальным данным, были украдены у Агентства национальной безопасности США.

SMB (Server Message Block) является критически важным протоколом Windows, обеспечивающем возможность совместного использования файлов и папок. Сегодня он также стал протоколом, используемым в атаке WannaCry для быстрого распространения вредоносного кода от одного хоста к другому по всему миру, буквально со скоростью света. Атака относится к категории червей, «переползающих» между хостами в связанных сетях.

В числе первых крупных организаций, пострадавших от WannaCry, оказалась Государственная служба здравоохранения Великобритании (NHS), которая публично подтвердила, что подверглась атаке Wanna Decryptor.

«Атака не была направленной непосредственно на NHS и поражает организации самых разных секторов, — сообщила NHS. — В данный момент мы не имеем каких-либо доказательств, что был получен доступ к данным пациентов».

Компания Kaspersky Lab сообщила, что 12 мая к 2:30 дня по времени Атлантического побережья США (21:30 по московскому времени) было зарегистрировано больше 45 тыс. атак WannaCry в 74 странах. Хотя для распространения вымогателя используется уязвимость SMB, шифрование файлов осуществляется атакой Wanna Decryptor, которая отыскивает все файлы в сети своей жертвы. По окончании шифрования криптовымогатель выводит на экран пользователя окно с требованием выкупа. По информации Kaspersky Lab, в первые часы атаки размер запрашиваемого выкупа в битикоинах составлял 300 долл.

«Многие из ваших документов, фотографий, видеофайлов, баз данных и других файлов уже недоступны, так как они зашифрованы, — говорится в окне вымогателя. — Возможно, вы ищете способ восстановить свои файлы, но не тратьте попусту время. Никто не сможет восстановить ваши файлы без нашего сервиса дешифрования».

Где находился источник глобальных атак WannaCry и даже был ли у них один или много исполнителей, в данный момент неясно. Однако совершенно ясно, что несмотря на тот факт, что исправление уязвимостей SMB было доступно уже с марта, WannaCry распространился по десяткам тысяч организаций, не устанавливающих патчи.

Помимо установки патчей и своевременного обновления систем, важным элементом нормальной компьютерной гигиены является резервное копирование, которое может минимизировать и риск последствий заражения криптовымогателями.

По данным многочисленных отраслевых отчетов, последний год охарактеризовался ростом проблемы программ-вымогателей. Отчет 2017 Verizon Data Breach Investigation Report (DBIR) проинформировал о полуторакратном учащении атак криптовымогателей относительно данных отчета 2016 г., а Symantec сообщила в своем отчете Internet Security Threat Report (ISTR), что средний размер требуемого выкупа увеличился с 294 долл. в 2015 г. до 1077 долл. в 2016 г.