Компания Sophos обнаружила десятки тысяч вариантов шифровальщика WannaCry, вызвавшего массированную эпидемию в 2017 г. Спустя два года атаки шифровальщика продолжаются, и количество уязвимых компьютеров остается стабильно высоким.

Живее всех живых

Печально известный шифровальщик WannaCry, ставший причиной глобальной эпидемии в мае 2017 г., никуда не девался и по-прежнему атакует огромное количество машин по всему миру. Причем, по утверждению экспертов компании Sophos, большее, чем когда-либо.

В действительности речь идет не столько о количестве успешных заражений, сколько о миллионах попыток. Проблема в том, что у WannaCry появилось огромное число вариаций, и их становится все больше. К настоящему времени насчитывается уже 12,5 тыс. вариантов оригинального кода. Около 98% обнаружений последнего времени приходится на 2,7 тыс. сэмплов, в которых отсутствует та самая функция деактивации, позволившая остановить эпидемию весной 2017 г.

Между тем, только за август 2019 г. телеметрия защитных разработок Sophos выявила 4,3 млн сэмплов WannaCry в 6963 вариантах. 5555 из них, то есть, 80% ранее не обнаруживались. Иными словами, продолжаются активные разработки новых вариантов шифровальщика.

Слабые места

Эксперты Sophos, однако, выяснили, что у WannaCry есть особенность, позволяющая от него защищаться: некоторые варианты вируса проверяют атакуемую систему на предмет того, не была ли она заражена WannaCry раньше, и игнорируют ее, если находят признаки заражения. Таким образом, компьютер в буквальном смысле можно «вакцинировать» с помощью обезвреженной версии WannaCry: активные вредоносы будут ее игнорировать. Впрочем, неизвестно, сколько такая защита продержится.

Ключевой проблемой, остается обилие компьютеров, в которых так и не была исправлена уязвимость, используемая WannaCry. Стоит напомнить, что эпидемия 2017 г. стала возможной благодаря тому, что шифровальщик использовал два утекших незадолго до этого эксплойта, разработанных, согласно наиболее распространенной версии, в Агентстве национальной безопасности США: EternalBlue и DoublePulsar. EternalBlue — для получения доступа к системе, DoublePulsar — для установки и запуска копии.

Эксплойт EternalBlue использует слабое место в реализации протокола SMB в версиях ОС Windows (Windows 7, Windows Server 2008 и более ранних) — уязвимость CVE-2017-0145, исправленную Microsoft за два месяца до эпидемии WannaCry.

«Не установленные вовремя патчи — не всегда частная проблема владельца уязвимых систем, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Когда речь идет об уязвимостях, которые могут быть использованы "червями" типа WannaCry, каждое не обновленное вовремя устройство становится само по себе источником угрозы для других». 

WannaCry в России

Напомним, в 2017 г. WannaCry активно «прошелся» по российским государственным ведомствам и компаниям. По сведениям различных источников в Сети и по сообщениям самих организаций, атаке подверглись компьютеры РЖД, Сбербанка, МВД, Следственного комитета, Минздрава, МЧС и других крупных организаций.

В числе пострадавших оказался сотовый оператор «Мегафон» вместе со своей «дочкой» «Скартел» (торговая марка Yota). Вирус не затронул сервера, обслуживающие телекоммуникационную сеть компании, но в течение некоторого времени вызывал перебои в работе call-центра и розничной сети.