WannaCry: кто услышит Кассандру?

Уязвимые

добавить в избранное

WannaCry: кто услышит Кассандру?

Прочитали: 3409 Комментариев: 119 Рейтинг: 131

Троянец WannaCry свалился как снег на голову и мгновенно стал головной болью специалистов по безопасности. Хотя стоп: действительно ли это стало неожиданностью?

Обновление MS17-010, устранившее уязвимости в Windows SMB, которые использовал WannaCry, было выпущено в марте 2017 года. Примерно тогда же уязвимости, опубликованные Shadow Brokers, стали доступны экспертам для анализа. И если само по себе обновление могло ничего не говорить системным администраторам, то мнения экспертов публиковались достаточно широко, и те, кто следит за новостями в мире ИБ, должны были их услышать.

DoublePulsar (один из опубликованных инструментов, позволявший внедрять в память атакованной машины вредоносный код) первым проанализировал старший ИБ-аналитик RiskSense Шон Диллон. По его мнению, данный инструмент обходит встроенные средства защиты и обеспечивает полный контроль над системой.

Еще до атаки WannaCry Дэн Тентлер, учредитель и гендиректор Phobos Group, просканировал Интернет и обнаружил, что 3,1% машин, имевших уязвимость, уже заражены.

Анализ интернет-ресурсов, проведенный Мэтью Хики, основателем британской консалтинговой компании Hacker House, показал, что с момента публикации эксплойтов (7 апреля 2017 года) начались исследования возможностей их использования, появились публикации документов и видеороликов, вместе с которыми мог загрузиться и эксплойт. Это говорило о том, что опубликованные эксплойты работоспособны и готовы к применению. «Таким образом, данная уязвимость стремительно теряет позиции эксклюзива, доступного лишь хорошо обеспеченным хакерам, и переходит в разряд оружия массового поражения. Не за горами то время, когда эти эксплойты начнут использоваться для доставки программ-вымогателей, ботов и других зловредов». При этом, по словам Джейка Уильямса, президента Rendition InfoSec, также известного как MalwareJake, до определенного момента атаки проводились вручную: злоумышленник сам указывал адрес атакуемого ресурса и ждал результатов.

Кто-то услышал этих Кассандр?

По идее, паника, поднятая в СМИ, должна была до каждого донести информацию о необходимости закрытия уязвимости. Но:

более чем 18% пользователей в мире используют нелицензионные версии Windows,
у 23% (почти четверть!) отключен сервис Windows Update,
а 6% используют ОС, для которых обновления не выпускаются в принципе.

Conficker (он же Downup, Downadup и Kido) начал свою атаку 21 ноября 2008 года и к январю следующего года поразил 12 миллионов компьютеров по всему миру. Заражения стали возможны благодаря тому, что значительная часть пользователей не установила обновление MS08-067. Думаете, теперь эти обновления установлены у всех? Как бы не так!

В последнее время компьютерная сеть подвергается эпидемии Win32.HLLW.Shadow, он же Conficker

Запрос в техподдержку «Доктор Веб»

Угадайте, в каком году мы получили такой запрос. В 2017!

#обновления_безопасности #безопасность #Trojan.Encoder #троянец #шифровальщик #эксплойт #уязвимость

Dr.Web рекомендует

Недавно мы объявили о мерах, которыми компания «Доктор Веб» принуждает пользователей к правильному применению антивирусной защиты. Эти меры вызвали немало возмущенных откликов от наших пользователей. А зря.

Приведенный пример с Win32.HLLW.Shadow показывает, что призывы не работают. Неужели, чтобы обратить внимание на собственную безопасность, обязательно нужно заразиться?

P.S. Интересно, сколько лет еще будет успешно использоваться DoublePulsar?

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Toma
14:22:22 2018-12-06

Неужели, чтобы обратить внимание на собственную безопасность, обязательно нужно заразиться?
Вопрос риторический, видимо только так.

Денисенко Павел Андреевич
21:53:02 2018-08-05

Я впервые читаю про DoublePulsar, ни разу не слышал об этом.

Неуёмный Обыватель Собкор
00:01:19 2018-07-01

10 лет Conficer в строю!

Влад58028
07:35:51 2018-06-21

Бдительность нужна везде и во всём.

vasvet
02:24:25 2018-04-09

Дело прошлого Windows Update даже на лицензионной версии часто хромает.

sapfira
10:36:24 2017-07-21

Хьюстон, Хьюстон, у нас проблемы!!!

Сэм
17:17:27 2017-07-17

Спасибо!

TV
18:07:24 2017-07-16

Спасибо.

Nett
15:13:29 2017-07-14

Спасибо.

Nikodim2011 Собкор
14:44:36 2017-07-14

Спасибо.

AntonIT
16:11:58 2017-07-13

Одно дело услышать и совсем другое понять и поверить!

Tom
14:21:07 2017-07-12

Спасибо.

Azat.N
13:53:19 2017-07-12

Спасибо.

Дмитрий
13:20:42 2017-07-12

Спасибо

Самуил Христианин
12:38:58 2017-07-12

Спасиб

Dvakota
09:10:19 2017-07-12

Пока гром не грянет ...

vlm200916
02:01:55 2017-07-12

Lia00 Собкор
01:50:47 2017-07-12

ясно

Астанавитесь Людмила!
01:38:53 2017-07-12

@razgen, подозреваю, что обновления могут не скачиваться каждые полчаса, как вы указали в настройках, потому что они не всегда выходят каждые полчаса.
LG, может уже объясните на основании чего вы так усердно ликвидируете аккаунты тех, кто не льстит и иногда замечает шероховатости и помогает совершенствоваться? А то @dyadya_Sasha, @Шалтай_Александр_Болтай, @Пaвeл, @Любитель_пляжного_футбола, @Karpensky, @a13x, @Sasha50, @tigra и другие не понимают, куда делся Неуёмный Обыватель. И как справедливо замечает @AntonIT, "всех кто не льстит, - объявят троллями и "сожгут".
Но даже и это не подходит. Ибо "жгут" теперь уже сразу после регистрации и первого же нейтрального сообщения. Может расскажете, по какой причине вы не глядя удаляли аккаунты вновь созданных пользователей? А может просто добавить в правила пункт: "Аккаунт может быть удален на основе личной неприязни администратора к любому пользователю сайта"? Ну чтобы всё по-честному было, а не так: захотела, обозвала и прихлопнула назойливую муху.

Сама по себе диктатура или деспотия, как форма правления может быть достаточно эффективной. Особенно в сложных условиях. Однако, каждый раз тираны совершают одну и ту же ошибку- окружают себя льстецами и ликвидируют тех, кто смеет озвучивать ошибки и недоработки. Это в конечном итоге ведет к саморазрушению такой системы, так как ошибки перестают замечаться и все воспринимается в радужном свете. Естественно, со временем накопившаяся критическая масса ошибок, косяков, недочетов и проблем просто надламывает всю систему.

Littlefish Собкор
00:01:58 2017-07-12

@Любитель_пляжного_футбола, да это всё смешно. Сама Windows - это одна сплошная дырка. Я ж говорю, может они (майкрософт) не хотят или леняться, но проверить лицензионность можно за долю миллисекунды, было бы желание.

stavkafon
23:59:23 2017-07-11

Спасибо за призыв.

gattcka
23:36:06 2017-07-11

Спасибо за призыв.

eaglebuk
23:35:10 2017-07-11

Обновления и патчи это хорошо, антивирус - отлично, но жизнь показывает, что этого может не хватить.

Luger Собкор
22:44:47 2017-07-11

Интересная информация.

razgen Собкор
22:33:32 2017-07-11

И в то же время вот такой момент. Посмотрел сейчас в своём антивирусе пункт обновление. Указано следующее "Обновление не требуется" Последнее обновление в 21:30, следующее обновление в 22:30. То есть период обновления в данный момент составляет 1 час. Хотя в основных настройках "Периодичность обновлений" у меня выбрана опция 30 минут(рекомендуется).

dyadya_Sasha Собкор
22:33:14 2017-07-11 Именинник

@vla_va, "...ключ спокойствия - в обновлениях..."
В определенных обновлениях. В некоторых обновлениях- ключ беспокойства, которое наступает после их установки.

dyadya_Sasha Собкор
22:30:02 2017-07-11 Именинник

"...Неужели, чтобы обратить внимание на собственную безопасность, обязательно нужно заразиться?..."
Заразиться недостаточно. Нужно ещё узнать, что заразились многие из твоего окружения. Реально действуют только эпидемии, а разовое заражение на многих не действует.Особенно, если потери не велики.

razgen Собкор
22:26:01 2017-07-11

@Шалтай_Александр_Болтай, Понимаю, что безопасностью нужно заниматься, в том числе и производя обновления ОС. А вот не лежит у меня душа к этим обновлениям, потому что порой они приносят определённые проблемы. Вот обновления антивируса – это другое дело. Здесь строго у меня выбрана опция обновляться каждые 30 мин. Ну и при выпуске обновлений требующих перезагрузки, перезагружаюсь сразу, не откладывая в долгий ящик.

Шалтай Александр Болтай Собкор
22:08:56 2017-07-11

Безопасность - это вам не просто так, ею нужно заниматься.

razgen Собкор
21:54:27 2017-07-11

"Conficker (он же Downup, Downadup и Kido) начал свою атаку 21 ноября 2008 года и к январю следующего года поразил 12 миллионов компьютеров по всему миру. Заражения стали возможны благодаря тому, что значительная часть пользователей не установила обновление MS08-067."
По моему мнению столь широкому заражению способствовало так же и то, что в то время пользователи в меньшей степени чем сейчас использовали антивирусы.

Пaвeл Собкор
21:42:15 2017-07-11

<< более чем 18% пользователей в мире используют не лицензионные версии Windows, у 23% (почти четверть!) отключен сервис Windows Update, а 6% используют ОС, для которых обновления не выпускаются в принципе. >>@chicer, согласен, данные цифры нужно умножать как минимум на два.

Galina X
21:31:50 2017-07-11

Спасибо!

Sapfir
21:17:07 2017-07-11

Спасибо!

Любитель пляжного футбола Собкор
21:14:44 2017-07-11

@Littlefish, 08:42:57 2017-07-11
Полагаю, что это не так просто получить точные данные. Да, можно пользоваться нелицензионной ОС, но она может строить мелкие пакости, например, вывешивать баннер, не сохранять после перезагрузки фоновый рисунок на рабочем столе и пр. Кому-то это до лампочки, и работают с этой ОС дальше. Но можно ведь и "легализовать" нелицензионную ОС с помощью всякого рода активаторов. А таких пользователей (а их немало), полагаю, не так и просто вычислить по одному выходу в интернет.

Dmur
21:13:20 2017-07-11

Ознакомился.

aleks_ku
21:11:44 2017-07-11

до каждого долго идет...

vla_va
21:05:50 2017-07-11

ключ спокойствия - в обновлениях

Татьяна
21:01:41 2017-07-11

Интересно. Спасибо!

Vladimir
20:58:02 2017-07-11

читая данную статью, невольно приходишь к мысли: более 30% пользователей ОС Виндоуз используют ее нелегально, и ее 6% сидят на старых ОС, - какой хороший кусок пирога для Микрософт, чтобы заработать. Вывод: уж не Микрософт ли финансирует этих "Палакальщиков-вымогателей", чтобы подтолкнуть пользователей к покупке новой ОС или ее легализации (за деньги, конечно же). А что, еще на пару сотен миллионов зеленых обогатить Билла. Это точно также, как и антивирусные компании могут также таким образом провоцировать рынок к движению. Я уже не говорю о разных АНБ и им подобным, или просто начинающим хакерам. Бенефициаров очень много, и это только вопрос денег.

beoris
20:47:20 2017-07-11

Задраить люки!

Andromeda
20:42:18 2017-07-11

Всё понятно.

EvgenyZ
20:39:57 2017-07-11

Интересно.

Альфа
20:32:29 2017-07-11

За битого двух небитых дают!

orw_mikle
20:27:14 2017-07-11

Это Россия, т.е. пока гром не грянет...

Masha
20:24:02 2017-07-11

Интересный выпуск, спасибо!

Demon
20:19:29 2017-07-11

Спасибо.

В...а
20:19:07 2017-07-11

как снег на голову!

Ruslan
20:13:27 2017-07-11

Спасибо за статью!

НинаК
19:48:31 2017-07-11

услышит, кому надо

Сергей
19:32:39 2017-07-11

Очень познавательно.

Комментарии к другим выпускам | Мои комментарии

Вы используете устаревший браузер!

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

WannaCry: кто услышит Кассандру?

Dr.Web рекомендует

Нам важно ваше мнение

Комментарии пользователей