Минулі вихідні були хвилюючими та виснажливими для багатьох фахівців з ІТ-безпеки, але майже напевно не лише вони чули про те, що сталося. Хоча історія, здається, залягає, але, за одностайною думкою експертів, у нас немає причин сидіти склавши руки.
Ми хотіли б допомогти вам із нашими резюме та пропозиціями нижче.

відновлення резервної

Що трапилось? - WannaCry, WannaCryptor, WanaCrypt0r Wana Decrypt0r?

Вірус шантажу забрав сотні тисяч ПК з Windows по всьому світу за лічені години.
Точніше, він зберігає збережені на ньому дані, шифрує їх, а взамін на викуп обіцяє ключ, необхідний для його розшифровки. Якщо оплата не буде здійснена протягом певного часу, він видалить ключ дешифрування, а файли буде втрачено. Він просить викуп на невідстежуваному рахунку BitCoin, але немає гарантії, що ключ надійде для оплати. Це може бути особливо болісно у разі зараження корпоративного файлового сервера, але може також спричинити серйозні втрати як домашнього користувача, якщо не буде резервного копіювання наших даних.

Але як це сталося так швидко?

Ми вже бачили незліченну кількість вірусів шантажу, але в режимі передачі зараз цей особливий. Хоча зле програмне забезпечення зазвичай надходить по електронній пошті або відвідує заражений веб-сайт на комп’ютері жертви, wannacry не вимагає взаємодії з користувачем, досить, щоб певні обставини співіснували. Ситуація ще більше погіршується тим, що заражені машини також негайно стають дистриб'юторами, так що, поки потенційні жертви не закінчаться, поширення майже не зупинити.

Яке відношення все це має до АНБ?

АНБ (Агентство національної безпеки) розробило кіберзброю (програмне забезпечення), яка використовує вразливість у Microsoft Windows, яку придбала група хакерів і зробила доступною для всіх у квітні цього року. Таким чином, озброївши цим інструментом вже існуючий вірус шантажу, на сьогодні невідомими зловмисниками було створено новий, непомічений варіант.

Які обставини, які, об’єднавшись, становлять загрозу?

Машини з мережевим підключенням та певною вразливістю піддаються ризику.
Microsoft усвідомлює цю вразливість - помилку у вбудованій службі Windows - і навіть випустила виправлення безпеки 14 березня. Це також частина регулярного оновлення, випущеного з тих пір. Виправлення безпеки доступне тут для підтримуваних версій Windows:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Таким чином, усі, хто вчасно встановив випущені оновлення, вже були захищені.

Але це закінчилося, чи не так? Яка історія "вбивці"?

Ні, це ще не закінчено. Експерт з ІТ-безпеки випадково зупинив розповсюдження, зареєструвавши домен - цей домен був знайдений при аналізі, не знав, для чого він потрібен - як пізніше виявилося, що вірус перевіряє своє існування, і якщо він отримає позитивну відповідь, він зупиняється перед подальшим розподілом. Імовірно, ця функція була вбудована у розробників, щоб вони могли в будь-який час зупинити поширення.
Але! Ніщо не заважає кіберсвіту запустити версію без цієї функції - і вони зробили це в суботу.
Тому кількість заражених машин продовжує зростати.

Ми можемо це зробити?

У корпоративному середовищі вам потрібно перевірити стан кінцевих точок для виправлення MS17-010, особливо для версій Windows, які більше не підтримуються, де його більше не можна було встановити як автоматичне оновлення.
Якщо будь-яка причина перешкоджає цьому - наприклад, продуктивне середовище не дозволяє змінити - рекомендується вимкнути SMBv1 в мережі, поки не буде встановлено патч.
Якщо проблема вже сталася, найгострішим завданням є якнайшвидше ізолювати уражену машину, відключити її від мережі та встановити файлові сервери в режим лише для читання.

наші подальші пропозиції:

• Корисно шукати спілкування в наступному домені в журналах проксі (після заміни зайвих символів). Блокування ЗАБОРОНЕНО!
hxxp: // www [крапка] ifferfsodp9ifjaposdfjhgosurijfaewrwergwea [крапка] com - якщо є попадання, можливо зараження в мережі.
• Вимкнути SMBv1
• Сигнал SIEM для будь-якого трафіку TOR (зв'язок C&C відбувається через мережу TOR)
На основі списку точок виходу, вилучених із інформаційного каналу Threat (наприклад, hailataxii - список точок виходу blutmagie.de)
• Сигналізація SIEM на основі таких IoC:
Назви файлів:
d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa b.wnry
055c7760512c98c8d51e4427227fe2a7ea3b34ee63178fe78631fa8aa6d15622 c.wnry
402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c r.wnry
e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b s.wnry
4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 taskdl.exe
2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d taskse.exe
97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 t.wnry
b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 u.wnry

IP-адреси CnC:
 188 [.] 166 [.] 23 [.] 127: 443
 193 [.] 23 [.] 244 [.] 244: 443
 2 [.] 3 [.] 69 [.] 209: 9001
 146 [.] 0 [.] 32 [.] 144: 9001
 50 [.] 7 [.] 161 [.] 218: 9001
 217.79.179 [.] 77
 128,31,0 [.] 39
 213,61,66 [.] 116
 212.47.232 [.] 237
Ê 81.30.158 [.] 223
 79.172.193 [.] 32
Ê 89.45.235 [.] 21
 38.229.72 [.] 16
 188.138.33 [.] 220

Підписи SNORT: 42329-42332, 42340, 41978

Додавання правила захисту доступу на McAfee VSE 8.8.
Правило 1:
Тип правила: Правило блокування реєстру
Процес, який повинен включати: *
Ключ реєстру або значення для захисту: HKLM -/Software/WanaCrypt0r
Ключ реєстру або значення p захистити: Ключ
Запишіть дії для запобігання: Створіть ключ або значення
Правило 2:
Тип правила: правило блокування файлу/папки
Процес, який повинен включати: *
Назва файлу або папки, яку потрібно заблокувати: * .wnry
Дії з файлами для запобігання: створюються нові файли

У ENS 10-x:
Правило 1:
Виконання1:
Включення: Включити
Назва файлу або шлях: *
Підправило 2:
Тип підправила: Файли
Операції: Створити
Ціль 1:
Включення: Включити
Файл, назва папки або шлях до файлу: * .wnry

Для домашніх користувачів найголовніше - це встановити виправлення безпеки якомога швидше, перш ніж прочитати цю статтю, якщо вона ще не була. ЗАРАЗ!
Якщо зараження сталося, на жаль, допомогти може лише відновлення із резервної копії.

Що ще може прийти?

Як і очікувалось, wannacry 2.0 було вилучено протягом останніх 72 годин, а сам спосіб розповсюдження залишатиметься придатним для розповсюдження будь-якого іншого шкідливого програмного забезпечення, поки потенційні жертви не стануть доступними. Тож історія ще далеко не закінчена, насправді! Друга хвиля, заснована на вразливості, яка використовується для розповсюдження wannacry, вже в розпалі, і варіант під назвою Uiwix, наприклад, більше не включає відомий killswitch, і певно, що незабаром буде випущено більше версій.
Подальшим приводом для занепокоєння є те, що це лише один із інструментів, розроблених АНБ та оприлюднених у квітні. Невдовзі можуть з’явитися атаки, які використовують інші вразливі місця, розроблені агентством, або їх розширені версії.

Це звучить досить погано. Як підготуватися?

У корпоративному середовищі:
• Найголовніше - це регулярно встановлювати оновлення, особливо ті, що впливають на безпеку
• планове, циклічне резервне копіювання! хоча його слід продовжувати, 100% захисту немає, і якщо проблема сталася, нехай буде план B (відновлення з резервної копії)
• регулярне оновлення антивірусного програмного забезпечення
• використання рішення поведінкового виявлення
• створення команди з управління інцидентами або використання такої послуги для швидкого та ефективного реагування

Для домашніх користувачів:
• Встановіть оновлення операційної системи
• Регулярне резервне копіювання на зовнішній пристрій, підключений до комп’ютера, лише на час резервного копіювання
• регулярні оновлення антивірусів
• свідомо вмикати та використовувати брандмауер Windows (наприклад, використовувати параметр "Я перебуваю у громадському місці")

Ми сподіваємось, що наш резюме виявився корисним при читанні на машині, що не заражає інфекцією. Якщо у вас виникнуть додаткові запитання, зв’яжіться з нашим консультантом з ІТ-безпеки.