» ГЛАВНАЯ > К содержанию номера
» Все публикации автора
Журнал научных публикаций
«Наука через призму времени»
Апрель, 2018 / Международный научный журнал
«Наука через призму времени» №4 (13) 2018
Автор: Клименко Ольга Сергеевна, старший преподаватель
Рубрика: Технические науки
Название статьи: Компьютерные вирусы. Вирусные атаки 2017 года.
Дата публикации: 19.03.2018
УДК 004.491
КОМПЬЮТЕРНЫЕ ВИРУСЫ.
ВИРУСНЫЕ АТАКИ 2017 ГОДА.
Молодцов Никита
Сергеевич
студент
факультета технологии, предпринимательства и сервиса
Клименко Ольга
Сергеевна
старший преподаватель
кафедры математики и
прикладных информационных технологий им.Н.А.Ильиной,
ФГБОУ ВО Орловский Государственный Университет
имени И.С. Тургенева, г. Орел
Аннотация. В статье говорится о таком важном понятии 21 века, как кибербезопасность, а также рассказывается о вирусных атака в мире в 2017 году. Массовые вирусные атаки 2017 года трех вирусов: WannaCrypt, Petya, BadRabbit показали слабые стороны сферы IT и сети Интернет. Данные атаки подвергли опасности жизни людей, нарушили работу предприятий, банков и государственных структур, вызвали большие финансовые потери. И с развитием компьютерных и информационных технологий, данные атаки будут происходить чаще и наносить все большей вред. Дабы избежать этого, крупным компаниям необходимо проанализировать данные атаки, возможно объединиться, и учесть все ошибки в сфере кибербезопасности.
Ключевые слова:WannaCrypt, Petya, BadRabbit,кибербезопасность, вирусы, сеть, антивирус.
В мире
существует большое число компьютерных вирусов. Установить четкое их число
(вместе со всеми модификациями) не берётся никто. Вместо этого, принято
подсчитывать убытки, либо интенсивность вирусных атак.
Для борьбы с возможными
вирусами, защиты интеллектуальной собственности и личных данных, применяется
ряд средств и методов, которые можно объединить в одно понятие-
кибербезопасность.
Кибербезопасность представляет
собой набор инструментов, средств, принципов обеспечения безопасности, гарантий
безопасности, подходов к управлению рисками, действий, профессиональной
подготовки. Кибербезопасность подразумевает достижение и сохранение свойств
безопасности у ресурсов организации или пользователей, направленных против
соответствующих киберугроз[1].
Обстоятельств возникновения
вирусов много: шпионские программы, программы для нарушения работы систем, программы,
предназначенные для заработка.Но, сегодня, в век электронных платежей и
переводов, самыми популярными и опасными становятся вирусы для заработка. Есть
вирусы, которые направлены на кражу паролей. Остальные дремлют до подходящего
момента, а позже штурмуют определённый веб-сайт. Третьи начинают отправлять
ваши личные сведения. Четвёртые заблокируют систему либо веб-сайты, требуя
ввести ключ. Сколь разномастной не будет этот набор вирусов, цель они
преследуют одну – обогащение автора. Шантаж, обман, получение ключей и паролей.
Всё это приводит к кражам средств в различных размерах. А чего стоит
подключение к сети банка, когда та была «завалена» запросами от сотен тысяч
компьютеров по миру.
В 2017 году мировое общество
столкнулось с несколькими вирусами, которые остановили работу многих крупных
фирм, учреждений, госструктур. Эти атаки грозили не только финансовыми
потерями, но и нарушить работу всего общества и привести к серьезным авариям и
катастрофам. Это вирусы: WannaCrypt, Petya, BadRabbit.
WannaCrypt
Первым, из серии глобальных атак
2017 года, проявил себя вирус WanaCrypt0r 2.0 (также известна как WannaCrypt,
WCry, WannaCry). Это вредоносная программа, сетевой червяк и программа-вымогатель
денег, которая поражает компьютеры под управлением операционной системы Windows.
Суть программы заключается в
кодировании всех хранящихся данных на компьютере и просит сумму за получение
пароля, для разблокировки файлов.
Масштабная атака началась 12
мая 2017 года. Первой страной, которая испытала на себе данную атаку стала
Испания, затем вирус коснулся и других стран, в том числе и Россию.
В Испании атаке подверглись
такие компании как: Telefónica, GasNatural, Iberdrola. В Великобритании
атаке подверглись в основном больницы, Германии пострадали банки, во Франции вынуждена
была остановить работу Renault.
В России от атаки пострадали
такие компании и государственные структуры как: Мегафон, частично РЖД и МВД.
Часть компаний смогла быстро локализовать или отразить атаки, среди них: МЧС,
Сбербанк и МВД.
Остановить распространение
вируса смог вирусный аналитик МаркусХатчинс. В мае 2017 года он случайно
обнаружил способ остановить распространение WannaCry.
По меньшей мере, атаке
подверглись более полумиллиона компьютеров в более чем 150 государствах,
которые принадлежали как честным лицам, так и коммерческим и государственным
структурам[2].
Для приёма выкупа от жертв
используются три прописанных в программе электронных кошелька. Как и во всех
таких случаях, их баланс и информация о денежных переводах являются
общедоступными, в то время как владелец кошелька остаётся неизвестным. По
состоянию на 25 мая
До сих пор не была найдена
причина и пути распространения WannaCry. Изначальная версия, в которой
говорилось о том, что атака началась путем рассылки вредоносных сообщения по
почте, не нашла подтверждения. Есть предположение, что вирус начал
распространяться из-за утечки, до своего завершения. Об этом говорит малое
вшитое количество кошельков, отсутствие шифрования при обращении к доменам,
активирующим систему самоуничтожения.
Petya (также известна как
Petya.A, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) —
вредоносная программа, сетевой червь и программа-вымогатель, поражающая
компьютеры под управлением MicrosoftWindows [4].
Принцип работы программы схож с
WannaCrypt – программа шифрует файлы на компьютере. Petya также шифрует MBR – это данные необходимые для запуска
операционной системы. После чего программа требует выкуп в биткоинах, однако
оплата была бесполезной, так как вирус не предполагал возможности расшифровки
информации, а уничтожает ее безвозвратно[4].
27 июня 2017 года началось
массовое распространение новой модификации программы. На этот раз вирус использует
те же уязвимости системы, что и WannaCry. По мнению главного инженера компании
«McAfee» КристианаБика, эта версия была разработана так, чтобы распространяться
максимально быстро [5]. Распространение вируса, по данным компании «ESET», а позднее и данных киберполиции Украины,
началось на Украине через ПО M.E.Doc [6].
От атаки пострадали многие
Украинские компании, банки, аэропорты, Чернобыльская АЭС и государственные
учреждения. Далее вирус стал распространяться на компании и предприятия России,
такие как: Сбербанк, «Хоум Кредит», «Башнефть», «Роснефть». Позже сообщения о
вирусной атаке стали приходить и из других стран: Италия, Израиль, Сербия,
Греция, Румыния, Польша, Германия, Франция, Индия, США, Великобритания и
другие.
Из-за того, что атака началась
через ПО M.E.Doc больше всего пострадали крупные коммерческие компании
Украины. Вторая волна эпидемии была
воспроизведена фишинговой кампанией с вредоносными вложениями
Ряд специалистов предполагают,
что перед вирусом Petya, а точнее перед его модификацией, которая атаковала
компании в 2017 году, ставилась задача массового нанесения ущерба, а
вымогательство было всего лишь прикрытием. Об этом говорит то, что вирус не
предполагал восстановления файлов даже после выкупа, а просто уничтожал все
данные безвозвратно. Об этом говорили специалисты лаборатории Касперского,
эксперт Мэтт Свище, аналитик МаркусХатчинс.К тому же, механизм вымогательства
вредоносного ПО сконструирован неумело и являлся вовсе бесполезным:
единственный адрес плохо зашифрован, то есть движение денег можно отследить.
Ещё одной недоработкой можно отметить требование отправить 60-значный
персональный идентификационный ключ заражённой машины с компьютера, который
невозможно копировать и вставлять. Более того, специалисты Лаборатории Касперского
выяснили, что в новой версии вируса этот ключ — ничего не значащий набор
случайных символов. Это может говорить о том, что создатели вируса, скорее
всего, и не собирались расшифровывать данные [4].
BadRabbit (рус. «Плохой
кролик») — вирус шифровальщик, разработанный для ОС семейства Windows и
обнаруженный 24 октября 2017 года. По предположениям аналитиков, программа
имеет сходство отдельных фрагментов с вирусом NotPetya.
24 октября 2017 года, вирус
шифровальщик атаковал ряд российских СМИ, включая ИА «Интерфакс» и
интернет-газету «Фонтанка», а также киевское метро и аэропорт Одесса, требуя за
разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в
течение 48 часов. Также, в меньшей степени, атаке подверглись Турция и
Германия. Восстановление работы сайта и компьютеров «Интерфакса» заняло более
суток. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов»,
а именно имена трех драконов — Дрогона, Рейгаля и Визериона.
Для первоначальной установки
Вирус не использует каких-либо эксплойтов или уязвимостей: инсталлятор вируса,
маскирующийся под установку обновления для AdobeFlashPlayer, должен быть скачан
и запущен вручную пользователем, он запрашивает подтверждение повышения
полномочий посредством UAC Windows.
После установки приложение
регистрируется в штатном механизме планирования заданий и начинает
самостоятельное распространение по локальной сети через удаленные подключения
SMB и WMIC при помощи перехвата токенов и паролей утилитой Mimikatz и перебора
паролей NTLM на удаленных узлах Windows для ряда распространенных имен
пользователей. По данным CiscoTalos, компонент распространения вируса
дополнительно использует технологии и коды АНБ «EternalRomance», которые ранее
были опубликованы группой Shadowbrokers (ошибка в кодах SMB, исправлена Microsoft
в марте 2017).
В нарушение лицензии GPLv3
приложение BadRabbit пользуется кодами и драйвером из проекта DiskCryptor, но
при этом не публикует изменённых исходных кодов и не запрашивает у пользователя
согласия на использование лицензии GPLv3.
По оценке Symantec, вирус имеет
низкий уровень угрозы. 25 октября сервера, обеспечивавшие начальное заражение
BadRabbit, были остановлены [7].
О самих вирусах мы уже поговорили.
Пришла пора поведать о способах противодействия им. Как ни удивительно, при
всём многообразии вирусов главной способ противодействия им — не пропустить всё
это обилие на собственный компьютер. А если это уже случилось, то тут уже
срабатывает второе средство – антивирусы. Итак, как не пропустить вирусы на
собственный компьютер?
Первым и самым закономерным
средством является настройка сетевого фильтра, который будет перекрыть
избыточное подключение и просеивать трафик. Вторым средством является
рекомендуемая по умолчанию функция браузера – блокирование пуска активного
содержимого веб-сайтов, это защитит от заражения при просмотре Веб страничек.
Это также могут быть дополнительные плагины для браузеров.
Ежедневно создаются сотни новых
вирусов, потому не забывайте вовремя обновлять антивирусные базы и быть
бдительным — не закачивать никакие файлы с подозрительных веб-сайтов (в
распознании которых могут посодействовать особые надстройки для браузеров).
Однако, в первую очередь, ответственность
за реализация условий по защите вашего ПК и персональных сведений — лежит на
пользователе. Без участия пользователей, процесс заражения практически
невозможен.
Список литературы:
- Кибербезопасность [электронный ресурс] / портал SecurityLab.ru – URL:https://www.securitylab.ru/about.php
- АТАКИ ВИРУСА-ВЫМОГАТЕЛЯ WANNACRY [электронный ресурс] / интерфакс – URL: http://www.interfax.ru/world/562248
- Watch as these bitcoin wallets receive ransomware payments from the ongoing global cyberattack [электронныйресурс] /QARTZ – URL: https://qz.com/982993/watch-as-these-bitcoin-wallets-receive-ransomware-payments-from-the-ongoing-cyberattack/
- Новая эпидемия шифровальщика Petya / NotPetya / ExPetr [электронный ресурс] / лаборатория Касперского – URL: https://www.kaspersky.ru/blog/new-ransomware-epidemics/17855/
- What is the Petyaransomware spreading across Europe? WIREDexplains [электронный ресурс] /WIRED – URL: https://www.wired.co.uk/article/petya-malware-ransomware-attack-outbreak-june-2017
- Лаборатория ESET назвала Украину источником заражения вирусом Petya [электронный ресурс] /интерфакс – URL:http://www.interfax.ru/world/568309
- Ransom.BadRabbit [электронный ресурс] / symantec – URL: https://www.symantec.com/security_response/writeup.jsp?docid=2017-102503-0423-99&tabid=2
Комментарии: