» ГЛАВНАЯ > К содержанию номера
 » Все публикации автора

Журнал научных публикаций
«Наука через призму времени»

Апрель, 2018 / Международный научный журнал
«Наука через призму времени» №4 (13) 2018

Автор: Клименко Ольга Сергеевна, старший преподаватель
Рубрика: Технические науки
Название статьи: Компьютерные вирусы. Вирусные атаки 2017 года.

Статья просмотрена: 210 раз
Дата публикации: 19.03.2018

УДК 004.491

КОМПЬЮТЕРНЫЕ ВИРУСЫ. ВИРУСНЫЕ АТАКИ 2017 ГОДА.

Молодцов Никита Сергеевич

студент

 факультета технологии, предпринимательства и сервиса

Клименко Ольга Сергеевна

старший преподаватель

кафедры математики и прикладных информационных технологий им.Н.А.Ильиной,

 ФГБОУ ВО Орловский Государственный Университет имени И.С. Тургенева, г. Орел

 

Аннотация. В статье говорится о таком важном понятии 21 века, как кибербезопасность, а также рассказывается о вирусных атака в мире в 2017 году.  Массовые вирусные атаки 2017 года трех вирусов: WannaCrypt, Petya, BadRabbit показали слабые стороны сферы IT и сети Интернет. Данные атаки подвергли опасности жизни людей, нарушили работу предприятий, банков и государственных структур, вызвали большие финансовые потери. И с развитием компьютерных и информационных технологий, данные атаки будут происходить чаще и наносить все большей вред. Дабы избежать этого, крупным компаниям необходимо проанализировать данные атаки, возможно объединиться, и учесть все ошибки в сфере кибербезопасности.

Ключевые слова:WannaCrypt, Petya, BadRabbit,кибербезопасность, вирусы, сеть, антивирус.

 

В мире существует большое число компьютерных вирусов. Установить четкое их число (вместе со всеми модификациями) не берётся никто. Вместо этого, принято подсчитывать убытки, либо интенсивность вирусных атак.

Для борьбы с возможными вирусами, защиты интеллектуальной собственности и личных данных, применяется ряд средств и методов, которые можно объединить в одно понятие- кибербезопасность.

Кибербезопасность представляет собой набор инструментов, средств, принципов обеспечения безопасности, гарантий безопасности, подходов к управлению рисками, действий, профессиональной подготовки. Кибербезопасность подразумевает достижение и сохранение свойств безопасности у ресурсов организации или пользователей, направленных против соответствующих киберугроз[1].

Обстоятельств возникновения вирусов много: шпионские программы, программы для нарушения работы систем, программы, предназначенные для заработка.Но, сегодня, в век электронных платежей и переводов, самыми популярными и опасными становятся вирусы для заработка. Есть вирусы, которые направлены на кражу паролей. Остальные дремлют до подходящего момента, а позже штурмуют определённый веб-сайт. Третьи начинают отправлять ваши личные сведения. Четвёртые заблокируют систему либо веб-сайты, требуя ввести ключ. Сколь разномастной не будет этот набор вирусов, цель они преследуют одну – обогащение автора. Шантаж, обман, получение ключей и паролей. Всё это приводит к кражам средств в различных размерах. А чего стоит подключение к сети банка, когда та была «завалена» запросами от сотен тысяч компьютеров по миру.

В 2017 году мировое общество столкнулось с несколькими вирусами, которые остановили работу многих крупных фирм, учреждений, госструктур. Эти атаки грозили не только финансовыми потерями, но и нарушить работу всего общества и привести к серьезным авариям и катастрофам. Это вирусы: WannaCrypt, Petya, BadRabbit.

WannaCrypt

Первым, из серии глобальных атак 2017 года, проявил себя вирус WanaCrypt0r 2.0 (также известна как WannaCrypt, WCry, WannaCry). Это вредоносная программа, сетевой червяк и программа-вымогатель денег, которая поражает компьютеры под управлением операционной системы Windows.

Суть программы заключается в кодировании всех хранящихся данных на компьютере и просит сумму за получение пароля, для разблокировки файлов.

Масштабная атака началась 12 мая 2017 года. Первой страной, которая испытала на себе данную атаку стала Испания, затем вирус коснулся и других стран, в том числе и Россию.

В Испании атаке подверглись такие компании как: Telefónica, GasNatural, Iberdrola. В Великобритании атаке подверглись в основном больницы, Германии пострадали банки, во Франции вынуждена была остановить работу Renault.

В России от атаки пострадали такие компании и государственные структуры как: Мегафон, частично РЖД и МВД. Часть компаний смогла быстро локализовать или отразить атаки, среди них: МЧС, Сбербанк и МВД.

Остановить распространение вируса смог вирусный аналитик МаркусХатчинс. В мае 2017 года он случайно обнаружил способ остановить распространение WannaCry.

По меньшей мере, атаке подверглись более полумиллиона компьютеров в более чем 150 государствах, которые принадлежали как честным лицам, так и коммерческим и государственным структурам[2].

Для приёма выкупа от жертв используются три прописанных в программе электронных кошелька. Как и во всех таких случаях, их баланс и информация о денежных переводах являются общедоступными, в то время как владелец кошелька остаётся неизвестным. По состоянию на 25 мая 2017 г., на счета злоумышленников совершенно 302 перевода на общую сумму 126 742 долларов США [3].

До сих пор не была найдена причина и пути распространения WannaCry. Изначальная версия, в которой говорилось о том, что атака началась путем рассылки вредоносных сообщения по почте, не нашла подтверждения. Есть предположение, что вирус начал распространяться из-за утечки, до своего завершения. Об этом говорит малое вшитое количество кошельков, отсутствие шифрования при обращении к доменам, активирующим систему самоуничтожения.

Petya (также известна как Petya.A, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением MicrosoftWindows [4].

Принцип работы программы схож с WannaCrypt – программа шифрует файлы на компьютере. Petya также шифрует MBR – это данные необходимые для запуска операционной системы. После чего программа требует выкуп в биткоинах, однако оплата была бесполезной, так как вирус не предполагал возможности расшифровки информации, а уничтожает ее безвозвратно[4].

27 июня 2017 года началось массовое распространение новой модификации программы. На этот раз вирус использует те же уязвимости системы, что и WannaCry. По мнению главного инженера компании «McAfee» КристианаБика, эта версия была разработана так, чтобы распространяться максимально быстро [5]. Распространение вируса, по данным компании «ESET», а позднее и данных киберполиции Украины, началось на Украине через ПО M.E.Doc [6].

От атаки пострадали многие Украинские компании, банки, аэропорты, Чернобыльская АЭС и государственные учреждения. Далее вирус стал распространяться на компании и предприятия России, такие как: Сбербанк, «Хоум Кредит», «Башнефть», «Роснефть». Позже сообщения о вирусной атаке стали приходить и из других стран: Италия, Израиль, Сербия, Греция, Румыния, Польша, Германия, Франция, Индия, США, Великобритания и другие.

Из-за того, что атака началась через ПО M.E.Doc больше всего пострадали крупные коммерческие компании Украины.  Вторая волна эпидемии была воспроизведена фишинговой кампанией с вредоносными вложениями

Ряд специалистов предполагают, что перед вирусом Petya, а точнее перед его модификацией, которая атаковала компании в 2017 году, ставилась задача массового нанесения ущерба, а вымогательство было всего лишь прикрытием. Об этом говорит то, что вирус не предполагал восстановления файлов даже после выкупа, а просто уничтожал все данные безвозвратно. Об этом говорили специалисты лаборатории Касперского, эксперт Мэтт Свище, аналитик МаркусХатчинс.К тому же, механизм вымогательства вредоносного ПО сконструирован неумело и являлся вовсе бесполезным: единственный адрес плохо зашифрован, то есть движение денег можно отследить. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ заражённой машины с компьютера, который невозможно копировать и вставлять. Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные [4].

BadRabbit (рус. «Плохой кролик») — вирус шифровальщик, разработанный для ОС семейства Windows и обнаруженный 24 октября 2017 года. По предположениям аналитиков, программа имеет сходство отдельных фрагментов с вирусом NotPetya.

24 октября 2017 года, вирус шифровальщик атаковал ряд российских СМИ, включая ИА «Интерфакс» и интернет-газету «Фонтанка», а также киевское метро и аэропорт Одесса, требуя за разблокировку одного компьютера 0,05 биткойнов (около 16 тысяч рублей) в течение 48 часов. Также, в меньшей степени, атаке подверглись Турция и Германия. Восстановление работы сайта и компьютеров «Интерфакса» заняло более суток. Тогда же, в вирусе были найдены отсылки к фэнтази-саге «Игра престолов», а именно имена трех драконов — Дрогона, Рейгаля и Визериона.

Для первоначальной установки Вирус не использует каких-либо эксплойтов или уязвимостей: инсталлятор вируса, маскирующийся под установку обновления для AdobeFlashPlayer, должен быть скачан и запущен вручную пользователем, он запрашивает подтверждение повышения полномочий посредством UAC Windows.

После установки приложение регистрируется в штатном механизме планирования заданий и начинает самостоятельное распространение по локальной сети через удаленные подключения SMB и WMIC при помощи перехвата токенов и паролей утилитой Mimikatz и перебора паролей NTLM на удаленных узлах Windows для ряда распространенных имен пользователей. По данным CiscoTalos, компонент распространения вируса дополнительно использует технологии и коды АНБ «EternalRomance», которые ранее были опубликованы группой Shadowbrokers (ошибка в кодах SMB, исправлена Microsoft в марте 2017).

В нарушение лицензии GPLv3 приложение BadRabbit пользуется кодами и драйвером из проекта DiskCryptor, но при этом не публикует изменённых исходных кодов и не запрашивает у пользователя согласия на использование лицензии GPLv3.

По оценке Symantec, вирус имеет низкий уровень угрозы. 25 октября сервера, обеспечивавшие начальное заражение BadRabbit, были остановлены [7].

О самих вирусах мы уже поговорили. Пришла пора поведать о способах противодействия им. Как ни удивительно, при всём многообразии вирусов главной способ противодействия им — не пропустить всё это обилие на собственный компьютер. А если это уже случилось, то тут уже срабатывает второе средство – антивирусы. Итак, как не пропустить вирусы на собственный компьютер?

Первым и самым закономерным средством является настройка сетевого фильтра, который будет перекрыть избыточное подключение и просеивать трафик. Вторым средством является рекомендуемая по умолчанию функция браузера – блокирование пуска активного содержимого веб-сайтов, это защитит от заражения при просмотре Веб страничек. Это также могут быть дополнительные плагины для браузеров.

Ежедневно создаются сотни новых вирусов, потому не забывайте вовремя обновлять антивирусные базы и быть бдительным — не закачивать никакие файлы с подозрительных веб-сайтов (в распознании которых могут посодействовать особые надстройки для браузеров).

Однако, в первую очередь, ответственность за реализация условий по защите вашего ПК и персональных сведений — лежит на пользователе. Без участия пользователей, процесс заражения практически невозможен.

 



Список литературы:

  1. Кибербезопасность [электронный ресурс] / портал SecurityLab.ru – URL:https://www.securitylab.ru/about.php
  2. АТАКИ ВИРУСА-ВЫМОГАТЕЛЯ WANNACRY [электронный ресурс] / интерфакс – URL: http://www.interfax.ru/world/562248
  3. Watch as these bitcoin wallets receive ransomware payments from the ongoing global cyberattack [электронныйресурс] /QARTZ – URL: https://qz.com/982993/watch-as-these-bitcoin-wallets-receive-ransomware-payments-from-the-ongoing-cyberattack/
  4. Новая эпидемия шифровальщика Petya / NotPetya / ExPetr [электронный ресурс] / лаборатория Касперского – URL: https://www.kaspersky.ru/blog/new-ransomware-epidemics/17855/
  5. What is the Petyaransomware spreading across Europe? WIREDexplains [электронный ресурс] /WIRED – URL: https://www.wired.co.uk/article/petya-malware-ransomware-attack-outbreak-june-2017
  6. Лаборатория ESET назвала Украину источником заражения вирусом Petya [электронный ресурс] /интерфакс – URL:http://www.interfax.ru/world/568309
  7. Ransom.BadRabbit [электронный ресурс] / symantec – URL: https://www.symantec.com/security_response/writeup.jsp?docid=2017-102503-0423-99&tabid=2


Комментарии:

Фамилия Имя Отчество:
Комментарий: