Что там с WannaCry: дешифратор, новые вирусы и зараженная медицинская техника

12 мая стало известно о появлении вируса WannaCry, обсуждение которого в Сети уже порядком надоело. Ранее мы рассказывали о том, как зловред распространился, и о способах защиты, а сейчас предлагаем ознакомиться с новостями последних дней, чтобы быть в курсе происходящего и спокойно идти заниматься своими делами.

Медицина

Напомним, что изначально информация о WannaCry получила огласку из-за атаки на компьютеры британских поликлиник и других учреждений системы здравоохранения. Оказалось, вирус атакует не только локальные ПК, но и саму медицинскую аппаратуру, работающую на операционке Windows Embedded и поддерживающую протокол передачи данных SMBv1. От работников нескольких больниц поступили сообщения о заражении инъекционных систем Bayer MEDRAD:

Позже стало известно об атаках на устройства фирмы Siemens, а поставщики аппаратуры Smiths Medical, Medtronic и Johnsons&Johnsons предупредили об опасности заражения.

Дешифратор

Для некоторых пользователей обнаружился способ восстановить файлы, зашифрованные WannaCry, без необходимости выплачивать злоумышленникам запрашиваемую сумму. Он подходит для систем от Windows XP до Windows 7 при условии, что устройство не выключалось и не перезагружалось после заражения.

Инструмент для расшифровки wanakiwi был создан Бенджамином Делпи (Benjamin Delpy):

Он вырос из другого решения — wannakey, подходящего только для Windows XP и придуманного Адриеном Гине (Adrien Guinet):

Оба дешифратора основаны на том, что WannaCry использует простые числа для генерации секретных ключей, которые нужны для восстановления файлов, а сами ключи в незашифрованном виде сохраняются в энергозависимой памяти компьютера. Таким образом, если компьютер не перезапускался, а в ячейках памяти поверх ключа не успела записаться другая информация, инструмент достанет ключ из системы, и появится возможность восстановить устройство. Подход содержит много вероятностных ограничений, и положительный результат во многом зависит от удачного стечения обстоятельств, но это все же лучше, чем ничего.

Здесь можно прочитать подробное объяснение и посмотреть демонстрацию работы wanakiwi.

Кстати, по статистике, более 98% зараженных машин работают под управлением Windows 7.

Новые зловреды

Во-первых, обнаружился менее заметный и опасный, но в какой-то степени более коварный зловред Adylkuzz. Он использует все тот же эксплойт и появился чуть раньше, чем WannaCry — где-то в конце апреля; при этом денег с его помощью было заработано гораздо больше. Используя Adylkuzz, шахтеры майнят не очень известный тип криптовалюты Monero. Зловред упустили из виду, потому что он очень тихий и не запрашивает никаких действий со стороны пользователя (просто использует ресурсы машины: кто-то мог заметить, что компьютер работает в разы медленнее, чем обычно, но ничего больше).

Во-вторых и в-третьих, обнаружились черви EternalRocks и UIWIX. Первый использует семь инструментов Агентства Национальной Безопасности США (WannaCry — два), а создатели второго учли ошибки WannaCry и сделали более устойчивый зловред. Скорее всего, это не последние «братья» WannaCry; важно понимать, что в основном все они используют две основных лазейки: устаревшие протоколы / ПО и невнимательность пользователей при скачивании файлов из Интернета. В создании UIWIX можно найти политическую подоплеку, мы об этом говорить не будем — интересующиеся могут почитать обзорный пост.

В целом не придумано каких-то эксклюзивных способов, чтобы не стать жертвой хакерской атаки — своевременно обновляйтесь и будьте начеку.