WannaCry: разбор атаки и защита

Фотография компьютеров в серверной, иллюстрация последствий глобальной кибератаки

Image Credit: Everything I Do via Shutterstock.com

Что произошло

Внезапная и масштабная кибератака с использованием шифровальщика WanaCryptor (известного также как WannaCry или Wcry) поразила сети по всему миру. По данным разработчика антивирусного ПО Avast, заражено как минимум 100 000 компьютеров. Атака в первую очередь ударила по России, Украине и Тайваню, но охватила учреждения по крайней мере в 99 странах.

WanaCryptor требовал выкуп примерно в 300 долларов США (на момент первоначальных сообщений — около 0.17 BTC). Шифровальщик отличался локализованными сообщениями на более чем двух десятках языков, что указывает на намерение похитителей получить максимальное количество платежей.

Как WanaCryptor распространялся

WanaCryptor 2.0 объединил утёкший SMB-эксплойт и самораспространяющийся механизм. Ключевые компоненты:

Эксплойт ETERNALBLUE (MS17-010), связанный с Equation Group и широко ассоциируемый с NSA. Этот эксплойт использовал уязвимость в реализации протокола SMB в Windows.
BACKDOOR DOUBLEPULSAR — модуль, который позволяет загружать и выполнять произвольный код на уже скомпрометированных хостах. При обнаружении машин с установленным backdoor вредоносник использовал его для установки шифровальщика.
Самораспространяющийся «червь», который пропускает традиционную схему доставки (фишинговые письма, вложения). Вредонос самостоятельно сканировал сеть и пытался внедряться в уязвимые системы.

Из-за самораспространения атака напоминала классические червя-пользователи вирусы — заражение одного узла приводило к лавинообразному росту числа пострадавших в пределах сети.

Механика «kill-switch»

Исследователь безопасности, известный как MalwareTech, обнаружил в коде вредоносника «kill‑switch» — запрос к длинному доменному имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Если домен отвечал, шифровальщик прекращал распространение. Регистрация домена замедлила распространение конкретной версии, но это не защитило уже инфицированные машины и не исключает появления вариантов без такого механизма.

Критические моменты безопасности и обновления

Microsoft выпустила исправление (патч) для уязвимости EternalBlue в марте 2017 года — до широкого распространения атаки. Тем не менее многие организации не установили обновление вовремя. Это показало сочетание факторов:

накопление невыполненных обновлений в корпоративных сетях;
продолжающееся использование устаревших ОС (включая Windows XP и Windows Server 2003);
недостаточная сегментация сети и отсутствие контроля перемещений внутри сети.

Microsoft также оперативно выпустила критические обновления для устаревших версий Windows, чтобы закрыть дыру даже для тех организаций, которые ещё используют «вышедшие из поддержки» ОС.

Находится ли ваша система под риском

Короткий ответ: возможно, если вы не установили патчи и используете SMBv1. Длинный ответ — смотрите рекомендации ниже.

Важно: даже если патч применён, это не гарантия абсолютной безопасности. Некоторые факторы риска:

оставшиеся уязвимые устройства и IoT‑устройства с непатчеными старыми стэками;
внутренние машины, которые никогда не выходят в интернет и не получают обновления;
варианты вредоносов без «kill‑switch».

Прямые шаги для проверки и снижения риска:

Убедитесь, что установлен патч MS17-010 на всех серверах и рабочих станциях.
Если возможно, отключите SMBv1. Это устаревшая версия протокола и она не нужна в большинстве сред.
Проверяйте наличие и функционирование EDR/AV и ищите признаки DOUBLEPULSAR и других индикаторов компрометации.
Изолируйте подозрительные узлы и немедленно начните исследование инцидента.

Как отключить SMBv1 в Windows

Microsoft рекомендует отключать SMBv1. Для Windows 10 и современного сервера можно выполнить командлет PowerShell от имени администратора:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Альтернативно, в старых системах можно отключить компонент через «Компоненты Windows» или удалить соответствующую роль. Всегда делайте это согласно вашей процедуре тестирования и отката, чтобы не нарушить рабочие нагрузки, которые действительно используют SMBv1.

Важно: перед массовой деактивацией протоколов убедитесь, что это не сломает легаси-приложения. Тестируйте изменения в контролируемом окружении.

Кто понёс ущерб

Атака поразила широкий спектр организаций: больницы (NHS в Великобритании — как минимум 40 трастов объявили чрезвычайную ситуацию), телеком-операторов, логистические компании, почтовые службы и промышленные операторы. Компании, сообщающие о проблемах, включали Telefonica, FedEx, Portugal Telecom и MegaFon.

Финансовое вознаграждение, полученное на двух адресах биткоина, составляло на момент первых отчётов около 9,21 BTC (приблизительно $16 000 на дату сообщений). Отсутствие идентификаторов в платежах свидетельствует о массовых непреднамеренных последствиях и о том, что злоумышленники, возможно, не получили ожидаемую доходность.

Что делать организациям прямо сейчас

Ниже — практический план действий для ИТ‑команд и руководства.

Немедленные шаги (0–24 часа)

Изолируйте подозрительные и заражённые хосты от сети.
Включите режим повышенной готовности SOC и свяжитесь с внешними специалистами по инцидентам при необходимости.
Примените патчи MS17-010 ко всем уязвимым системам немедленно.
Отключите SMBv1 на рабочих станциях и серверах, где это безопасно.
Восстановите важные сервисы из проверенных резервных копий.

Короткая перспектива (24–72 часа)

Проведите полный аудит уязвимостей в сети.
Выполните детальный поиск индикаторов компрометации (IOCs), включая признаки DOUBLEPULSAR.
Сообщите заинтересованным сторонам и, при необходимости, регуляторам.

Долгосрочные меры (недели–месяцы)

Проведите миграцию с устаревших ОС на поддерживаемые платформы.
Внедрите сегментацию сети и многоуровневую аутентификацию.
Разработайте и отработайте план восстановления после инцидента и план бизнес‑непрерывности.
Установите процессы управления патчами с коротким SLA для критических обновлений.

Ролевые чек‑листы

Ниже — краткие списки обязанностей по ролям.

IT‑администратор:

Найти и изолировать поражённые хосты.
Применить MS17-010 ко всем ОС и серверам.
Отключить SMBv1, если безопасно.
Проверить резервные копии и начать их верификацию.

CISO / руководитель безопасности:

Оценить масштабы инцидента и влияние на бизнес.
Запустить инцидентный план и координировать коммуникации.
Решить, нужны ли внешние эксперты и уведомления регулятора.

Служба поддержки / операционный персонал:

Информировать пользователей о ситуации и временных мерах.
Блокировать подозрительные почтовые вложения.
Направлять пользователей по процедурам восстановления доступа и данных.

Пользователи:

Не включать и не перезагружать подозрительные машины без инструкции от IT.
Сообщать о необычном поведении компьютера (запросы на оплату, невозможность открыть файлы).

План реагирования и отката

Минимальный playbook при обнаружении заражения:

Идентификация: подтвердить индикатор компрометации и зафиксировать время обнаружения.
Окончательная изоляция: удалить из сети все подтверждённые заражённые узлы.
Сохранение артефактов: сделать образ диска/дамп памяти для последующего анализа.
Очистка/восстановление: принять решение о реимидже или восстановлении из бэкапа.
Уведомления: информировать руководство, регулятора и, при необходимости, клиентов.
Пост‑инцидентный анализ: разбирают корневую причину, обновляют процессы и документацию.

Критерии приёмки:

Система успешно восстановлена из проверенной резервной копии.
Никаких признаков активности шифровальщика нет в журналов и на хостах.
Установлены исправления и отключён SMBv1 там, где это было безопасно.
Проведён аудит доступов и изменены наиболее критичные пароли/ключи.

Когда предложенные меры не сработают

Если существует новый вариант WanaCryptor без «kill‑switch», регистрация домена не поможет.
Если в сети есть устройства, которые физически не обновлялись годами и не поддерживаются, отключение SMBv1 или установки патчей может быть затруднено без замены устройств.
Если злоумышленник провёл целевую операцию (APT) и установил дополнительные бэкдоры, простого патча может быть недостаточно — потребуется углублённый инцидент‑респонс.

Альтернативные подходы и эвристики

«Изоляция прежде всего»: лучше временно потерять связность сервиса, чем позволить шифровальщику распространиться по всей сети.
«Патч + сегментация»: патчи закрывают уязвимости, сегментация ограничивает вредоносное перемещение внутри сети.
«Бэкап и проверка»: регулярная проверка целостности и восстановления из бэкапов снижает шок от потери данных.

Миграция с Windows XP и других устаревших ОС

Почему важно мигрировать:

Поддержка со стороны вендора окончена — нет новых исправлений.
Устаревшие ОС часто не поддерживают современные средства защиты и управление.

Практические шаги:

Инвентаризация: найти все устройства на XP и сопоставить их критичность.
Планы замены: для рабочей станции — обновление до поддерживаемой версии или замена железа.
Временные компенсирующие меры: если замена невозможна сразу, изолируйте устройство и ограничьте доступ.
Тестирование приложений: убедиться, что ключевые приложения работают на новой платформе.

Факто-бокс

Минимум заражённых машин: по данным Avast — не менее 100 000.
Страны с наиболее большими вспышками: Россия, Украина, Тайвань (по первичным отчётам).
Примерная сумма выкупа, требуемого от одной жертвы: $300.
Зафиксированный объём выкупов на двух адресах BTC: 9,21 BTC (приблизительно $16 000 на момент сообщений).

Краткая терминология

ETERNALBLUE — эксплойт, использующий уязвимость в реализации SMB в Windows.
DOUBLEPULSAR — модуль‑бэкдор, дающий возможность удалённого выполнения кода на скомпрометированном хосте.
SMBv1 — устаревшая версия сетевого протокола Windows для шаринга файлов.
Kill‑switch — встроенный в код механизм прекращения активности вредоносной программы при выполнении определённого условия.

Риски и рекомендации по смягчению

Риск: повторная эксплуатация уязвимостей из архивов «утекших» инструментов разведки. Митигирование:

Минимизировать хранение и использование невозобновляемых уязвимостей внутри организации.
Быстро распространять критические патчи и документировать их применение.
Внедрять подходы «всё по умолчанию — запрещено», а не «всё разрешено, пока не запрещено». Это снижает риск нулевого дня.

Короткая инструкция для пользователей

Немедленно сообщайте о появлении сообщений о выкупе или невозможности открыть файлы.
Не оплачивайте выкуп, пока не проконсультируетесь со специалистами. Оплата не гарантирует восстановление данных.
Регулярно сохраняйте важные файлы в проверенные резервные хранилища и не полагайтесь на единственный носитель.

Что дальше

После локализации инцидента организациям предстоит переосмысление практик безопасности: управление патчами, удаление устаревших платформ, сегментация сети и регулярные учения по инцидент‑ответу. Публичные дискуссии также вернулись к вопросам хранения и этики «незакрытых» уязвимостей разведывательными службами.

Мы надеемся, что эта статья помогла понять, как действовать при подобной атаке и какие меры принять, чтобы снизить риски в будущем.

Краткое резюме

WanaCryptor использовал утёкшие эксплойты и самораспространялся по сетям с уязвимым SMB.
Первичные защиты — установить патчи MS17-010 и отключить SMBv1.
Организациям нужно иметь готовый инцидентный план, регулярно проверять резервные копии и мигрировать с устаревших ОС.

Если вы были прямо затронуты атакой WanaCryptor, поделитесь опытом и действиями по восстановлению. Это поможет сообществу улучшать практики защиты и реагирования.