"WannaCry и другие cовременные угрозы информационной безопасности: к чему готовиться и как противостоять"

WannaCry – не простой вымогатель(ransomware1). Обычный представитель этого семейства распространяется достаточно медленно. Через SPAM-рассылкуили путем применения методов социальной инженерии пользователь получает вредоносный файл, который приоткрытии заражает один компьютер. В итоге этот компьютер и подвергается вредоносному воздействию: важные для пользователя файлы зашифровываются и для расшифровки пользователю предлагается заплатить некоторую сумму в качестве выкупа на анонимный биткоин-кошелек.

С большой долей вероятности выкуп не помогает – пользователь либо вообще не получает ключа для расшифровки, либо этот ключ оказывается поврежденным. В этом смысле WannaCry не стал исключением – хотя примерно за неделю злоумышленниками была собрана сумма около $80000, успешных случаев расшифровки зафиксировано не было. Зато по способу распространения WannaCry заметно отличается от своих«собратьев»: он действует по принципу червя, то есть времени на какие-то защитные действия не остается – после заражения вредоносный код практическисразу распространяется на все станции рабочей сети.

Причем для компрометации используется уязвимый протокол SMB версии 1 (порт TCP/445), который предназначен для обмена файлами вкорпоративных сетях, поэтому даже сегментация сети, как правило, не предотвращает распространение WannaCry, поскольку для полной защиты на уровне IPS2 потребовалось бы выделить каждую машину в отдельный сегмент. Некоторое время назад была обнаружена уязвимость в вышеупомянутом протоколе, Microsoft выпустил соответствующий патч, но многие компаниине успели установить его, именно поэтому WannaCry получил столь широкое распространение.