Кибератака: последствия, борьба и рекомендации

- Реклама -
В Украине во время массированной хакерской атаки, обрушившейся на страну 27 июня, были инфицированы 12,5 тыс. компьютеров. Вирус распространялся с помощью бухгалтерского программного обеспечения M.E.Doc украинского производства. Соответствующая информация появилась в блоге компании Microsoft. 
Отмечается, что атаку провели с помощью "вируса-вымогателя", который является новым вариантом вредоносного программного обеспечения Ransom: Win32/Petya, однако является более изощренным, в отличие от своего предшественника.
По словам специалистов компании, процесс заражения был запущен после легального обновления M.E.Doc.
Кроме Украины, есть информация о заражении в 64 других странах, в число которых входят Бельгия, Бразилия, Германия, Россия и США.
В Microsoft отметили, что их антивирус Windows Defender сумел распознать угрозу, поэтому пользователям посоветовали вовремя обновлять операционную систему, ведь новые версии содержат защиту от всех современных угроз.
"Атака привела к заражению компьютеров по всему миру и до сих пор не остановлена… На данном этапе невозможно назвать число жертв, подвергшихся заражению", — отмечается в заявлении Европола, который после первых сообщений об инфицировании создал координационный центр и сейчас активно контролирует распространение вируса, однако остановить его не может.
Поражены были компьютерные сети инфраструктуры и бизнес-системы. "Мы находимся в тесном контакте с правоохранительными органами с зараженных стран и ключевыми промышленными партнерами для оценки влияния этой атаки, координации действий и объединения усилий", — говорится в сообщении. 
Напомним, 27 июня в Украине неизвестный вирус поразил сети ряда крупных компаний, в том числе и больших государственных. Атака началась практически одновременно около 11:30. Вирус распространился очень быстро. Проявлялся в отказе работы компьютеров на платформе Windows. Перегружался и зашифровывался. В связи с этим, а также рядом терактов, Совет нацбезопасности принял решение об усилении мер контртеррористического и контрразведывательного режима в Киеве и регионах Украины. 
О том, как уберечься и как избавиться от вируса-вымогателя, пишет 112.ua:
«Украину поразил вирус-вымогатель. Тысячи компьютеров по всей стране заражены, пострадали крупные компании и частные лица. Специалисты говорят, что вирус mbr locker 256 – это некий аналог известного вируса WannaCry, который стал активно распространяться по всему миру 12 мая 2017 года. Сперва он поразил сеть учреждений здравоохранения Великобритании, а затем перекинулся на организации в других странах, включая Украину.
Судя по скриншотам экранов пораженных компьютеров, вирус блокирует доступ к файлам на компьютере, шифрует их и требует выкуп в размере 300 долл. на адрес Bitcoin-кошелька за их расшифровку. Так же поступал и WannaCry, который, согласно подсчетам, нанес ущерб более чем на 1 млрд долл., хотя и принес создателям всего лишь 120 тыс. долл.
Вирус работает только в операционной системе Windows. ИТ-эксперты объясняют, что авторы коварного кода WannaCry использовали уязвимость операционной системы Microsoft. Эту информацию подтвердил и президент Microsoft Брэд Смит. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут.
MBR — это главная загрузочная запись, код, необходимый для последующей загрузки ОС и расположенный в первом секторе устройства. После включения питания компьютера происходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Затем компьютер перезагружается, после чего система начинает проверку жесткого диска и шифрует данные.
Поскольку mbr locker 256 весьма похож на WannaCry, давайте вспомним, что надо знать, чтобы уберечься от поражения.
Как уберечь свой компьютер от вируса-вымогателя?
Какие меры необходимо выделить как эффективные для борьбы с данным вирусом:
1. Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server), их вы можете скачать здесь. В связи с модификацией вируса Microsoft выпускает обновления очень часто, надо следить за ними.
2. Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана здесь, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
3. В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation.
4. Антивирус с последними базами – обязательно. Даже если система не была обновлена, и WannaCry попал на компьютер — и корпоративные, и домашние решения антивируса ESET NOD32 успешно детектируют и блокируют все его модификации. В продуктах ESET NOD32 для Windows предусмотрена функция проверки обновлений операционной системы. Если она включена и все обновления Windows установлены, система защищена от WannaCryptor и подобных атак.
5. Кроме того, не стоит открывать сомнительные ссылки и архивы. Системным администраторам и администраторам безопасности стоит обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика. Стоит ограничить возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий % TEMP%,% APPDATA%.
6. Постоянно делайте несколько резервных копий критичных данных. Копии желательно хранить отдельно. Можно пользоваться и "облачными" сервисами для интернет-бэкапа.
Если поймали вирус — платить или не платить?
Если вы уже заразились, не спешите платить злоумышленникам. Вряд ли это вам поможет. Согласно исследованию компании Symantec, в WannaCry алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки был реализован с ошибкой состояния гонки. Это делало выплату выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Возможно, в "украинском" вирусе, программа построена аналогичным образом.
Специалисты утверждают, что существует надежный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала ее на практике, опубликовав в открытом доступе утилиту WanaKiwi, позволяющую расшифровать файлы без выкупа.
Поэтому, если вы пострадали, срочно вызывайте специалиста, который по возможности удалит вирус без утери файлов.
Известный эксперт в сфере компьютерной безопасности Брайан Кребс рекомендует воспользоваться ресурсом nomoreransom.org – проектом, поддерживаемым антивирусными фирмами и официальными организациями, например, центром по борьбе с киберпреступностью Европола.
На сайте вы найдете подборку инструментов для расшифровки файлов, зашифрованных различными вирусами, вы также можете прислать зашифрованный файл со своего компьютера, чтобы специалисты оценили возможность его расшифровки.
Также Кребс рекомендует форум сайта Bleepingcomputer.com, где энтузиасты помогают друг другу в расшифровке файлов
Свои рекомендации привела и Служба безопасности Украины:

За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних. Не виплачувати здирникам кошти, які вони вимагають — оплата не гарантує відновлення доступу до зашифрованих даних.

Рекомендації:

  1. Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
  2. Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
  3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:Windowsperfc.dat
  4. Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме:

— для Windows XP — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

— для Windows Vista 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

-для Windows Vista 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

— для Windows 7 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

— для Windows 7 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

— для Windows 8 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

— для Windows 8 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

— для Windows 10 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

— для Windows 10 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

— See more at: https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.fI6Aqvwn.dpuf

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

8. Коли користувач бачить «синій екран смерті», дані ще не зашифровані, тобто вірус ще не дістався до головної таблиці файлів. Якщо комп’ютер перезавантажуються і запускає check Disk, негайно вимикайте його. На цьому етапі ви можете витягнути свій жорсткий диск, підключити його до іншого комп’ютера (тільки не у якості завантажувального тому) і скопіювати файли.  

9. Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:

• рішення Cisco Talos https://www.talosintelligence.com/mbrfilter, вихідні коди доступні тут https://github.com/Cisco-Talos/MBRFilter;

• зріле рішення Greatis http://www.greatis.com/security/;

• свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Слід ззначити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція https://help.ubuntu.com/community/Boot-Repair

 Потрібно завантажити ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (можна використовувати Universal USB Installer). 

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп’ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій.

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:

І.    https://eset.ua/download_files/news/ESET_Recommendations_v2.0.pdf

1. Якщо інфікований комп’ютер увімкнений, не перезавантажуйте та не вимикайте його!

a) Виконайте створення логу за допомогою програми ESET Log Collector: Завантажте утиліту ESET Log Collector: http://eset.ua/ua/download/utility?name=logcollector  Переконайтеся в тому, що встановлені всі галочки у вікні «Артефакти для збору». У вкладці «Режим збору журналів ESET» встановіть: «Вихідний двійковий код із диска».  Натисніть на кнопку: «Зібрати». Надішліть архів з журналами на електронну адресу support@eset.ua.

b) У продуктах ESET увімкніть сервіс ESET Live Grid, а також виявлення потенційно небажаних та небезпечних додатків. Дочекайтеся оновлення сигнатур до версії 15653 та проскануйте ПК.

2. Якщо комп’ютер вимкнений, не вмикайте його! Для збору інформації, яка допоможе написати декодер, перейдіть до виконання пункту 3, для сканування системи перейдіть до пункту 4.

3. З уже інфікованого комп'ютера (який не завантажується) потрібно зібрати MBR для подальшого аналізу. Зібрати його можна за допомогою цієї інструкції: • Завантажте ПК з ESET SysRescue Live CD або USB (створення описано в Додатку 1). • Надайте згоду з умовами ліцензії використання. • Натисніть CTRL+ALT+T (відкриється термінал). • Напишіть команду "parted -l" без лапок, параметром є маленька буква "L" та натисніть . • Перегляньте список дисків та ідентифікуйте заражений (повинен бути один з /dev/sda). • Введіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили в попередньому кроці, та натисніть (файл /home/eset/petya.img буде створений). • Підключіть USB-флешку і скопіюйте файл /home/eset/petya.img. • Комп'ютер можна вимкнути. • Надішліть файл petya.img на електронну адресу support@eset.ua.

4. Для сканування комп’ютера дотримуйтесь інструкцій, які подано у Додатку 3.

ІІ.  http://zillya.ua/ru/epidemiya-zarazhenii-svyazana-s-deistviem-wannacry

Методи протидії зараженню:

  1. Відключення застарілого протоколу SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
  2. Установлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
  3. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445
  4. Блокування можливості відкриття JS файлів, отриманих електронною поштою.

III. https://www.symantec.com/ 

За рекомендаціями антивірусної компанії Symantec, для встановлення факту зараження комп’ютеру шифрувальником файлів, необхідно завершити всі локальні задачі та перевірити наявність наступного файлу С:Windowsperfect/

Крім того, як швидкий спосіб унеможливлення подальшого поширення вірусу, поки будуть встановлені патчі з п. 4, доцільним є примусове створення в дисковій директорії С:Windows текстового файлу perfect, і встановлення для нього атрибуту «тільки для читання».

- Реклама -