WannaCry: кто услышит Кассандру?
11 июля 2017
Троянец WannaCry свалился как снег на голову и мгновенно стал головной болью специалистов по безопасности. Хотя стоп: действительно ли это стало неожиданностью?
Обновление MS17-010, устранившее уязвимости в Windows SMB, которые использовал WannaCry, было выпущено в марте 2017 года. Примерно тогда же уязвимости, опубликованные Shadow Brokers, стали доступны экспертам для анализа. И если само по себе обновление могло ничего не говорить системным администраторам, то мнения экспертов публиковались достаточно широко, и те, кто следит за новостями в мире ИБ, должны были их услышать.
DoublePulsar (один из опубликованных инструментов, позволявший внедрять в память атакованной машины вредоносный код) первым проанализировал старший ИБ-аналитик RiskSense Шон Диллон. По его мнению, данный инструмент обходит встроенные средства защиты и обеспечивает полный контроль над системой.
Еще до атаки WannaCry Дэн Тентлер, учредитель и гендиректор Phobos Group, просканировал Интернет и обнаружил, что 3,1% машин, имевших уязвимость, уже заражены.
Анализ интернет-ресурсов, проведенный Мэтью Хики, основателем британской консалтинговой компании Hacker House, показал, что с момента публикации эксплойтов (7 апреля 2017 года) начались исследования возможностей их использования, появились публикации документов и видеороликов, вместе с которыми мог загрузиться и эксплойт. Это говорило о том, что опубликованные эксплойты работоспособны и готовы к применению. «Таким образом, данная уязвимость стремительно теряет позиции эксклюзива, доступного лишь хорошо обеспеченным хакерам, и переходит в разряд оружия массового поражения. Не за горами то время, когда эти эксплойты начнут использоваться для доставки программ-вымогателей, ботов и других зловредов». При этом, по словам Джейка Уильямса, президента Rendition InfoSec, также известного как MalwareJake, до определенного момента атаки проводились вручную: злоумышленник сам указывал адрес атакуемого ресурса и ждал результатов.
Кто-то услышал этих Кассандр?
По идее, паника, поднятая в СМИ, должна была до каждого донести информацию о необходимости закрытия уязвимости. Но:
- более чем 18% пользователей в мире используют нелицензионные версии Windows,
- у 23% (почти четверть!) отключен сервис Windows Update,
- а 6% используют ОС, для которых обновления не выпускаются в принципе.
Conficker (он же Downup, Downadup и Kido) начал свою атаку 21 ноября 2008 года и к январю следующего года поразил 12 миллионов компьютеров по всему миру. Заражения стали возможны благодаря тому, что значительная часть пользователей не установила обновление MS08-067. Думаете, теперь эти обновления установлены у всех? Как бы не так!
В последнее время компьютерная сеть подвергается эпидемии Win32.HLLW.Shadow, он же Conficker
Запрос в техподдержку «Доктор Веб»
Угадайте, в каком году мы получили такой запрос. В 2017!
#обновления_безопасности #безопасность #Trojan.Encoder #троянец #шифровальщик #эксплойт #уязвимостьАнтивирусная правДА! рекомендует
Недавно мы объявили о мерах, которыми компания «Доктор Веб» принуждает пользователей к правильному применению антивирусной защиты. Эти меры вызвали немало возмущенных откликов от наших пользователей. А зря.
Приведенный пример с Win32.HLLW.Shadow показывает, что призывы не работают. Неужели, чтобы обратить внимание на собственную безопасность, обязательно нужно заразиться?
P.S. Интересно, сколько лет еще будет успешно использоваться DoublePulsar?
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
14:22:22 2018-12-06
Вопрос риторический, видимо только так.
Денисенко Павел Андреевич
21:53:02 2018-08-05
Неуёмный Обыватель
00:01:19 2018-07-01
vasvet
02:24:25 2018-04-09
sapfira
10:36:24 2017-07-21
AntonIT
16:11:58 2017-07-13
Dvakota
09:10:19 2017-07-12
Астанавитесь Людмила!
01:38:53 2017-07-12
LG, может уже объясните на основании чего вы так усердно ликвидируете аккаунты тех, кто не льстит и иногда замечает шероховатости и помогает совершенствоваться? А то @dyadya_Sasha, @Шалтай_Александр_Болтай, @Пaвeл, @Любитель_пляжного_футбола, @Karpensky, @a13x, @Sasha50, @tigra и другие не понимают, куда делся Неуёмный Обыватель. И как справедливо замечает @AntonIT, "всех кто не льстит, - объявят троллями и "сожгут".
Но даже и это не подходит. Ибо "жгут" теперь уже сразу после регистрации и первого же нейтрального сообщения. Может расскажете, по какой причине вы не глядя удаляли аккаунты вновь созданных пользователей? А может просто добавить в правила пункт: "Аккаунт может быть удален на основе личной неприязни администратора к любому пользователю сайта"? Ну чтобы всё по-честному было, а не так: захотела, обозвала и прихлопнула назойливую муху.
Сама по себе диктатура или деспотия, как форма правления может быть достаточно эффективной. Особенно в сложных условиях. Однако, каждый раз тираны совершают одну и ту же ошибку- окружают себя льстецами и ликвидируют тех, кто смеет озвучивать ошибки и недоработки. Это в конечном итоге ведет к саморазрушению такой системы, так как ошибки перестают замечаться и все воспринимается в радужном свете. Естественно, со временем накопившаяся критическая масса ошибок, косяков, недочетов и проблем просто надламывает всю систему.
Littlefish
00:01:58 2017-07-12
stavkafon
23:59:23 2017-07-11
gattcka
23:36:06 2017-07-11
eaglebuk
23:35:10 2017-07-11
razgen
22:33:32 2017-07-11
dyadya_Sasha
22:33:14 2017-07-11
В определенных обновлениях. В некоторых обновлениях- ключ беспокойства, которое наступает после их установки.
dyadya_Sasha
22:30:02 2017-07-11
Заразиться недостаточно. Нужно ещё узнать, что заразились многие из твоего окружения. Реально действуют только эпидемии, а разовое заражение на многих не действует.Особенно, если потери не велики.
razgen
22:26:01 2017-07-11
Шалтай Александр Болтай
22:08:56 2017-07-11
razgen
21:54:27 2017-07-11
По моему мнению столь широкому заражению способствовало так же и то, что в то время пользователи в меньшей степени чем сейчас использовали антивирусы.
Пaвeл
21:42:15 2017-07-11
Любитель пляжного футбола
21:14:44 2017-07-11
Полагаю, что это не так просто получить точные данные. Да, можно пользоваться нелицензионной ОС, но она может строить мелкие пакости, например, вывешивать баннер, не сохранять после перезагрузки фоновый рисунок на рабочем столе и пр. Кому-то это до лампочки, и работают с этой ОС дальше. Но можно ведь и "легализовать" нелицензионную ОС с помощью всякого рода активаторов. А таких пользователей (а их немало), полагаю, не так и просто вычислить по одному выходу в интернет.
aleks_ku
21:11:44 2017-07-11
vla_va
21:05:50 2017-07-11
Vladimir
20:58:02 2017-07-11
beoris
20:47:20 2017-07-11
Альфа
20:32:29 2017-07-11
orw_mikle
20:27:14 2017-07-11
В...а
20:19:07 2017-07-11
НинаК
19:48:31 2017-07-11
ek
18:50:46 2017-07-11
kva-kva
18:22:37 2017-07-11
Геральт
18:08:32 2017-07-11
mk.insta
18:06:34 2017-07-11
chicer
17:02:17 2017-07-11
Цифра оптимистично занижена.
Спасибо за выпуск.
DrKV
16:16:46 2017-07-11
Azat
14:24:11 2017-07-11
a13x
13:52:54 2017-07-11
Марина
13:25:35 2017-07-11
maestro431
13:24:23 2017-07-11
maznat
13:09:17 2017-07-11
Alexander
13:09:14 2017-07-11
Conficker живет и пакостит почти девять лет. Свежий DoublePulsar доказал свое умение вести на равных серьезную игру с компаниями-патриархами на цифровом поле. Но с Dr.Web они, как и многие другие, не связываются. Но некоторые заражаются. Что же делать?
Dr.Web сформулировал дюжину коротких и практичных Правил-Рекомендаций-Предупреждений, которые не "принуждают" пользователей, а дают разжеванную информацию и реально исполнимые предложения для укрепления безопасности компьютера. Все предельно просто.
На вопрос "сколько лет еще будет успешно использоваться DoublePulsar" возникла ассоциация. Была лесная палка, чуть обработанная превратилась в дубину, а позже появилась элегантная бейсбольная бита, - можно зверя завалить, шишку набить или компьютер разнести вдребезги. На мой взгляд, достаточно вероятный ответ - еще немало лет, но лишь для тех, кто не дружит комплексно с Dr.Web.
vinnetou
12:22:53 2017-07-11
1milS
12:15:27 2017-07-11
Damir
11:38:10 2017-07-11
Родриго
10:52:04 2017-07-11
перчатки не спасут от отморожения, но с ними спокойнее...
Влад
10:31:31 2017-07-11
krant
10:02:06 2017-07-11
Littlefish
08:56:44 2017-07-11
Так это уже и не компьютер будет, а предмет интерьера. Причём не факт, что отключив всё можно будет наслаждаться защищённым компьютером. Был выпуск - https://www.drweb.ru/pravda/issue/?number=296&lng=ru в котором писалось, что можно записать что-нибудь вредоносное на выключенный компьютер просто подключенный к электрической сети. Поэтому отключенный интернет и запрет на подключение устройств - не панацея.
Littlefish
08:45:24 2017-07-11
Littlefish
08:42:57 2017-07-11
Мне кажется вообще не проблема самим микромягким в режиме онлайн показывать количество пользователей по странам на карте мира с нелицензионной Windows. Ведь если хоть раз с компьютера на котором установлена нелицензионная Винда выходили в интернет, то очень легко Microsoft могут проверить лицензионная Винда стоит или нет. Может конечно ленятся, но могут-то.
Littlefish
08:34:37 2017-07-11
Если бы микромягкие платили бы за каждый синий/чёрный экран, то они не то чтобы обанкротились, они бы ушли в минус и долги.
Но Ваша идея хорошая конечно.