Компютърното изнудване... кои са лошите
Всеки интернет потребител избира сам на коя страна да застане
/ брой: 98
Безпрецедентна по своя размер - така ръководителят на Европол Роб Уейнрайт определи заразата с вируса WannaCry (WannaCrypt, WanaDecrypt0r). Първата атака с WannaCry в Европа бе извършена в петък, 12 май, и порази редица институции, заводи и фирми. Вече са засегнати над 200 000 компютъра в повече от 150 държави. Статистиката към момента се води от Индия, САЩ, Русия, Тайван, Китай, Украйна и др. Според Microsoft версиите на ОС Windows 7, 8.1 и 10, които получават редовни обновявания и те са приложени, са защитени от този вирус. Другите версии на Windows XP, Windows Server 2003 и Windows 8 са критично рискови и за тях Microsoft направи изключение и публикува спешни ъпдейти (обновяване на софтуера) за настоящата ситуация.
Как работи вирусът? WannaCry съчетава възможностите на червей и рансъмуер (изнудване и откуп). Червеят се разпространява чрез уязвимост в операционната система Windows на Microsoft, използвайки експлойт*, открит и прилаган от АНС (Агенцията за национална сигурност на САЩ). Групата хакери Shadow Brokers го открадна и публикува преди два месеца в т. нар. Dark Web (Тъмна мрежа) заедно с десетки други експлойти за Windows, други операционни системи и антивирусни програми.
Президентът и юридически директор на Microsoft Брад Смит обяви официалната позиция на софтуерния гигант по повод глобалната епидемия от компютърния червей-рансъмуер WannaCry. Той сравни кражбата от кибер арсенала на АНС с кражбата на крилатите ракети "Томахоук" - ако толкова мощно оръжие попадне в ръцете на престъпници, неминуемо ще се случи някаква беда. Смит специално подчерта, че Microsoft е представила ъпдейт за тази уязвимост само няколко дни след изтичането й от АНС, или по-точно на 14 март 2017 г., тогава са направени обновявания по сигурността само за последните версии на операционната система, за които има официална поддръжка. За съжаление някои потребители не инсталират автоматично обновяванията, а стотици милиони потребители все още използват стари версии на ОС Windows, за които обновяванията отдавна са спрени. След като Microsoft видя мащабите на разпространение на вируса, в същия ден спешно представи ъпдейти и за по-старите версии на операционната си система. На пресконференция Брад Смит предложи: "Правителствата на всички световни държави трябва да приемат тази атака като аларма за събуждане. Трябва да се промени подходът и в киберпространството да се въведат същите правила, които се прилагат към оръжията в реалния, физическия свят. Правителствата трябва да преценят ущърба, нанесен на населението заради скриването (от страна на АНС) на тези уязвимости и използването на тези експлойти. Това е една от причините, подтикнала ни през месец февруари да призовем за приемането на Цифрова Женевска конвенция за решаването на тези проблеми, включително новите изисквания към правителствата по отношение на разкриването на различните уязвимости, вместо тяхното натрупване, продажба и използване."
Експертите очакваха нови вълни на разпространение и други версии на този вирус, а това увеличи рязко продажбите на киберзастраховки. Този сравнително нов пазар вече се оценява на 2,5-3 милиарда долара годишно, като 90% от застраховките се сключват основно в САЩ. Интересен е бизнес моделът: застрахованите могат да получат застрахователната сума, ако са поразени от рансъмуер, но само при инсталирани всички ъпдейти на Microsoft. Ако е платено на изнудвачите, застраховката не се изплаща.
Според анализа на компанията Cyence досега епидемията WannaCry е нанесла вреди за над 4 милиарда долара, докато организацията U.S. Cyber Consequences Unit е пресметнала, че вредата е за няколко стотици милиони долара.
Зад завесите. Хакери
По щастлива случайност глобалното заразяване с вируса бе спряно в същия ден, когато започна. Британският софтуерист Маркъс Хъчинс откри авариен стопиращ механизъм в този рансъмуер, предназначен да скрие вируса от стартиране и изследване във виртуална среда. Действието на вируса е следното: след стартирането си той се свързва с интернет и прави заявка към определен домейн, ако този домейн не съществува, вирусът се активира и започва криптирането на всички файлове, които са достъпни в харддисковете на компютъра, а ако домейнът е наличен, вирусът сам спира действието си. Хакерът моментално подава заявка и регистрира този домейн и спира разпространението на тази версия на вируса. След появата на информацията за стоп механизма експертите смятаха, че ще се появи нов вариант на вируса без стопиращ механизъм. И се оказаха прави. Новата версия се появи не след около седмица както обикновено, а само след няколко часа - с променен стопиращ механизъм, проверяващ преди стартирането вече различни домейн имена.
Хакерът Матю Суиш публикува анализ на новите два варианта на WannaCry, за да помогне на всички в борбата срещу този коварен вирус. Той е блокирал първия вариант чрез регистрация на въпросното домейнно име, докато втората версия не криптира файловете поради повреден вграден архиватор. Със сигурност ще има нови криптовируси без логически грешки в стоп механизма и криптирането, както и с вградени допълнителни възможности.
Зад завесите. Microsoft
През февруари тази година в безпрецедентен случай Microsoft не издаде пакет с обновявания за операционната система Windows и свързания с нея софтуер. Обяснението им: възникнала в последния момент ситуация. По това време бяха известни две критични уязвимости в Windows, които се очакваше да бъдат защитени именно през февруари. Това обаче не се случи. А един от проблемите беше именно в експлойта, използван от WannaCry - възможността за отдалечено изпълнение на код и причиняване на срив и отказ за достъп до услуга и поставящ компютърната система в критичен риск. През март Microsoft издаде двоен пакет с обновявания, с който бяха публикувани и обновяванията от февруари. След месец Shadow Brokers публикува хакерски програми, в които присъстваха и двата инструмента, подпомогнали вирусното разпространение на WannaCry. И се появиха версии и спекулации, които не виждаха нищо случайно в забавянето на февруарския ъпдейт и публикуването на кибероръжията. Според някои Microsoft са били уведомени от американските тайни служби, че предстои публикуването на информация за експлойт и уязвимост на все още незапушени дупки в ОС Windows. Междувременно централата в Редмънд увери потребителите си, че публикуваните проблеми не засягат последната версия на ОС Windows 10. Вземайки предвид процента на глобално използване на компютърни системи с ОС Windows XP, Vista и Windows 7, едва ли на никого в Microsoft не му е хрумнало, че се задава критична буря. Това се случи, просто реакцията на редмъндската компания се оказа доста закъсняла и изглежда, не само американските шпиони носят вина за заразата на хиляди системи по света, коментира в свой материал The Register.
"Нашият анализ на мета данните в тези ъпдейти показва, че тези файлове са създадени и цифрово подписани от Microsoft на 11, 13 и 17 февруари, същата седмица, в която са подготвили ъпдейти за поддържаните версии на Windows. С други думи, Microsoft са имали готови фиксове за вече неподдържаните си системи в средата на февруари, но ги пускат чак миналата седмица, след като светът бе потопен от WannaCry", пише специалистът Йън Томсън. И продължава: "Ако платите на Microsoft куп пари и сте достатъчно важен, може да продължите да получавате обновявания за сигурността за неподдържаните версии на Windows по условията на специален лиценз. Изглежда, че компаниите и организациите с тези споразумения са получили фиксове за старите системи отдавна, но ние, плебеите, сме получили безплатните обновявания, когато къщата вече е започнала да гори." Microsoft са отказали коментар пред медията, посочвайки предишна тяхна публикация, в която висш мениджър на компанията обвини АНС за създадения хаос.
Вирусът изнудвач
Рансъмуер (вирус изнудвач) е зловреден софтуер, който заразява компютъра, криптира и сменя типа на файловете на потребителите, докато не се плати откуп. В рамките на три дни трябва да се плати равностойността на 300 долара във виртуалната валута биткойн (трудно проследим паричен превод) на посочен интернет линк, изнудвачите дават възможност, преди да се плати, да се декриптират няколко файла, за да сте "сигурни" във възстановяването. Ако не се плати до седмия ден, сумата се удвоява, а след това файловете остават недостъпни завинаги. Много е важно да се подчертае, че плащането на откупа не гарантира възстановяването на криптираните файлове, а само че изнудвачите ще получат пари от страна на жертвата. И още нещо важно: декриптирането на файловете не означава, че самият рансъмуер е премахнат от компютъра, това се прави с антивирусен софтуер.
Откуп от 3700 долара
Създателите на печално известните рансъмуери Locky и Bart с хиляди заразени компютри създадоха нов вирус за криптиране на потребителските файлове с името Jaff. За получаване на ключа за декриптирането на информацията хакерите този път искат значителната сума от 2 биткойна или около 3700 долара. Новият рансъмуер се разпространява отново чрез електронната поща, като имейлите се разпращат от ботнета Necurs. Според статистиката на IBM Security за април в този ботнет участват около 6 милиона заразени и хакнати компютърни системи и той е един от главните канали за разпространение на най-опасните банкови вируси и рансъмуери.
Вариантът Adylkuzz
Появи се следващата хакерска атака от голям мащаб, която може да е засегнала стотици хиляди компютри по света - вирусът Adylkuzz. Той прониква в компютрите като WannaCry, възползвайки се от същата уязвимост в Windows. Заразените компютри започват да "произвеждат" криптовалутата Монеро, която е подобна на биткойн. Генерираните суми са еквивалентни на няколко хиляди долара и се изпращат до съответни интернет адреси. Специалистите са на мнение, че този вирус е много по-ефективен, защото не привлича излишно внимание и видимо не забавя работата на компютъра.
Прицел към киноиндустрията
Искането на откуп освен за декриптиране на файлове напоследък е насочено и към киноиндустрията. След като наскоро хакери откраднаха новия сезон на Orange Is the New Black и обявиха публично, че изнудват Netflix, за да не пуснат целия сезон онлайн и понеже не получиха искания откуп, сериалът е вече достъпен в интернет.
Следващият пострадал е един от най-големите в киното - Disney. От компанията потвърдиха, че хакери са изпратили искания към тях, но не разкриват кое е заглавието. Впоследствие стана ясно, че най-новият им филм от пиратската сага "The Pirates of the Caribbean: Dead Men Tell No Tales" е бил откраднат от компютърните им колеги. Според The Hollywood Reporter хакерите искат огромна сума пари, като плащането отново трябва да бъде направено във виртуалната валута биткойн. Те заплашват, че ако не получат исканата сума, ще започнат да пускат части от филма. Първият клип ще е с дължина няколко минути, а следващите по 20 минути. Засега все още няма пуснато съдържание, но ако това е същата група, която стои зад хакването на сериала на Netflix, намеренията им са сериозни.
WikiLeaks пусна хакерски инструменти на ЦРУ
Докато всички бяха заети с атаките на WannaCry, порталът WikiLeaks публикува поредни документи на ЦРУ. Този път бяха представени откраднати инструкции за използване на хакерски програми. Според публикуваната в WikiLeaks информация те се използват за: кражба на данни, затрудняване на работата на вече инсталиран софтуер и обслужване на други програми. Особено опасен е кодът за срив на софтуера, той може да се внедри във вече стартирани процеси и да стартира нови процеси по желание на вируса. Работи и като незабележима компютърна услуга и изпълнява дистанционни задачи за събиране на персонална информация, която се изпраща на определени сървъри.
Как да съхраним надеждно информацията си
Зловредният софтуер и криптовирусите са създадени с цел директна печалба, основана на вашето невнимание, припряност и липса на елементарни познания за сигурност в интернет. Защото след такава зараза често единствените думи са "не, няма шанс да възстановим файловете ви".
Всъщност спасение има и то се нарича... предпазливост и бекъп** (резервно копиране и архивиране на данни)! Сигурно е, че ако криптовирус кодира всичките ви файлове, то няма кой да ви помогне (понякога дори и да платите откупа, друг е въпросът, че не трябва да се плаща). В съвременния цифров свят трябва по възможност поне веднъж седмично да правите бекъп на важните си документи, снимки и файлове на външен харддиск или в някое облачно хранилище на данни.
Задължително инсталирайте антивирусна програма, която има модул за защита от криптовируси и която се обновява ежедневно. Препоръчително е този софтуер да е платен, защото предлага по-надеждна защита в реално време, по-чести обновявания и мониторинг на потенциално опасен софтуер.
Най-често зловредният софтуер използва уязвимости в операционната система на Microsoft, затова е препоръчително системните ъпдейти на Windows ОС да се инсталират автоматично без пряката намеса на потребителя. Програмите, които използвате, също трябва да се обновяват редовно.
Заразяването на компютъра става обикновено през имейла - отваряте прикачен файл, замаскиран като документ, пратен от някой познат или фирма. Необходимо е внимателно прочитане на самото заглавие на мейла, типа на получения файл и подателя, дали е този, за когото се представя. Много често напоследък вирусът твърди, че получавате фактура (invoice) в Excel файл.
Трябва да се разреши показването на файловите разширения в Windows ОС, защото по подразбиране, когато разглеждате дадена папка, те са скрити. Полезно е да видите какви типове файлове сваляте от интернет, защото вирусите често използват подменени иконки и техните самостартиращи се файлове изглеждат като обикновен документ - PDF, DOC, XLS файл.
* Експлойт е софтуерен код (програма), който е създаден със специална цел да използва уязвимост или грешка в компютърно приложение, като целта е да се придобие контрол над компютърна система.
** Бекъп е резервно копиране и архивиране на данни, тези копия могат да бъдат използвани за възстановяване при загуба, причинена от хардуерен проблем, компютърен вирус или човешка грешка.
Карта на заразените компютри в света
Ето така изглежда заразен компютър
Общият брой заразени системи с WannaCry