Согласно мировым отчетам, огромнейшее количество хакерских атак происходит на самые различные системы, начиная от больничных, и заканчивая гигантскими промышленными системами. Для атак с требованиями покупки ключей разблокировки очень часто используется WansCrypt на основе WannaCry. И возникает вполне логический вопрос: а есть разница между вирусами «вымогателями» и вредоносным ПО?
Проще говоря, вирус вымогатель – это подмножество вредоносных программ. Атаки вредоносных программ обычно бывают в виде компьютерного вируса или червя. Вирусы проникают через документы, электронные таблицы или электронную почту, тогда как червь является более активной атакой. Он запускается в сетевой компьютерной системе и пытается поразить один или несколько компьютеров в сети. Это было сложно реализовать в период, когда сетевые компьютеры были ограничены по количеству и подключению. В наши дни, конечно, интернет очень хорошо способствует данным атакам, так как сеть интернет связывает миллиарды различных устройств.
Современное вредоносное ПО обычно состоит из комбинации одного или нескольких вирусов и червей. Это позволяет вредоносному программному обеспечению оставаться скрытым и распространяться среди файлов на главном компьютере, а также распространяться на другие машины. Вредоносная программа имеет тенденцию быть специфичной для платформы, такой как Windows или даже для отдельных приложений. Это позволяет вредоносным программам ориентироваться на конкретные пробелы безопасности или неправильно настроенные системы.
«Вымогатель» отличается прежде всего своим поведением после успешной атаки. Обычное вредоносное ПО может просто быть раздражающим или причинять небольшой ущерб, удалять файлы или изменять конфигурацию системы (например, фон на экране). Более серьезное вредоносное программное обеспечение может переформатировать диск или повредить файлы в системе. Оно также может оставаться скрытым и взаимодействовать с удаленной системой управления, чтобы стать частью «атаки с распределенным отказом в обслуживании» (DDOS). Кроме того, вредоносное программное обеспечение может попытаться перехватить информацию о паролях и нажатиях клавиш на клавиатуре или других действиях пользователя, а затем переслать эту информацию по нужному адресу.
Вирус вымогатель вступает в игру, когда вредоносное ПО уведомляет пользователя системы о том, что машина была атакована, но после того, как вирус что-то сделал с компьютером, например, зашифровал диск или файлы. Обычно уведомление содержит требования какой-то оплаты для восстановления компьютера до его прежнего состояния.
Теоретически, злоумышленник, который управляет вредоносным ПО, удаленно перенастроит компьютер после оплаты, но нет абсолютно никакой гарантии, что он это сделает.
Конечно, проследив путь денег можно выйти на злоумышленника. Однако, в наше время это очень сложно, так как большинство злоумышленников используют криптовалюту, например, биткойны. Такая оплата может производиться анонимно.
WannaCrypt атакует зашифрованные файлы на компьютере под управлением Windows, а затем требует выкупа $ 300 в биткойнах. Если оплата не осуществится в течение трех дней после первоначальной атаки, сумма будет увеличена до 600 долларов США. Данный вирус удаляет файлы на зараженной машине через неделю если не была произведена оплата.
WannaCrypt «заражает» машины Windows с использованием ошибки в протоколе блока сообщений сервера (SMB). Корпорация Майкрософт выпустила патч для защиты MS-17-010 от 14 марта для решения этой проблемы, но для систем необходимо установить это обновление для защиты. Обычно WannaCrypt должен попадать в машину с помощью других средств, поскольку большинство сетей SMB будут за брандмауэром / шлюзом. Конечно, неправильно настроенные компьютеры, подключенные непосредственно к Интернету, также будут в опасности.
WannaCrypt — это всего лишь один пример вируса вымогателя, хотя он и «знаменитый», так как затронул десятки тысяч компьютеров (больше всего в Европе, хотя он поразил немало машин и во всем мире). Также следует отметить, что он запрашивает небольшие суммы денег и имеет функцию «переключение уничтожения», что было обнаружено исследователями.
Один из эффективных способов защиты от подобного рода атак – резервное копирование важной информации. К сожалению, у большинства пользователей нет резервных копий, которые не были бы связаны с главным компьютером. Резервные копии, которые хранятся на диске компьютера, подвергшегося атаке, также будут уничтожены.
Также стоит обращать особое внимание на вирусы вымогатели и разработчикам встроенного программного обеспечения, так как данный тип атаки не ограничивается рабочими станциями или серверами. Многие встроенные системы работают с Windows. Встроенные системы часто имеют дополнительные проблемы, поскольку процесс обновления может быть ограничен из-за одного или нескольких соображений. Например, медицинские системы часто требуют сертификации, которая предотвращает применение произвольных обновлений. Многие из векторов возможных атак для этих систем часто обнаруживаются после введения этих ограничений.
Разработчики должны понимать, что небольшие выкупы, подобные WannaCrypt — это только начало. Оплата с сотен дорогостоящих устройств или миллионов недорогих устройств с помощью выкупа может привести к значительным финансовым убыткам у компаний, которые продают или управляют такой большой коллекцией устройств. Также возможно оповещать только одну компанию, владельца взломанных устройств, а остальные могут быть в неведении до определенного момента.
Тем не менее, предотвращение атак с целью вымогательства не отличается от предотвращения нарушений безопасности в целом. Это значит выполнение надлежащих мер безопасности, а также минимизацию ошибок или, лучше, их устранение. Удаленные обновления могут помочь в случае, если исправления были развернуты до того, как были использованы уязвимости.
Последнее замечание: имейте в виду, что WannaCrypt работает, даже если система использует безопасную загрузку. Это связано с тем, что основные проблемы возникают в защищенном программном обеспечении.