Дайджест событий мобильной безопасности (выпуск 16)
WannaCry — программа-вымогатель, атакующая компьютеры под управлением OS Windows. В ходе заражения используется уязвимость EternalBlue, обнаруженной АНБ, после чего некоторым образом попавшая в руки организации Shadow Brokers. Последние, после неудачных попыток продать хоть что-то из полученных АНБ-шных уязвимостей, слили их в сеть и понеслась.
Метод атаки следующий: WannaCry сканирует в интернете узлы в поисках машин с открытым TCP-портом 445, отвечающего за обслуживание протокола SMBv1. При обнаружении такого узла вредонос пытается эксплуатировать EternalBlue, и, в случае успеха, устанавливает бэкдор, через который загружается исполняемый код программы. Далее WannaCry действует, как программа-вымогатель: шифрует данные (зашифрованные данные хранятся в расширении .wcry, откуда и возникло название) и просит за них выкуп.
Само распространение вируса и его прекращение получилось достаточно занимательным: заражение началось 12 мая в Испании, а 13 мая уже были инфицированы 131 233 компьютеров во всем мире (по данным сайта MalwareTech botnet tracker). В этот же день британский аналитик @MalvareTechBlog обнаружил, что вредонос перед шифрованием обращается по некоторому несуществующему адресу в сети, и, в случае ответа от домена, завершает свою работу. Недолго думая, @MalvareTechBlog зарегистрировал этот домен на свое имя и остановил распространение вируса, безжалостно забрав у Лаборатории Касперского звание спасителей мира от киберугроз.
В ходе заражения компании Microsoft даже пришлось выпускать экстренные патчи для для продуктов с истекшим сроком поддержки (Windows XP, Windows Server 2003 и Windows 8).
Как итог: несмотря на масштабы проблемы, всего по вине WannaCry были совершены транзакции на общую сумму около 40 тысяч долларов, что не помешало вредоносу учредить и заслужить премию «Вирус Года».
P. S. Для Windows XP уже найден рабочий способ дешифровать данные.