Вирус-вымогатель wannacry и те, кого он не атковал

Информационная безопасность

УДК 574:004.72

, канд. ф.-м. наук, доц. кафедры АСОИиУ,

ФГБОУ ВО «АГУ»

ВИРУС-ВЫМОГАТЕЛЬ WANNACRY И ТЕ, КОГО ОН НЕ АТКОВАЛ

Аннотация: Статья посвящена проблеме антивирусной защиты. На примере атаки WannaCry, рассматриваются вопросы минимизации негативных последствий от вирусной атаки для домашних ЭВМ и информационных систем небольших организаций и компаний, в которых нет штатных подразделений по защите информации. Приводится хронология появления публикаций на официальных сайтах лидирующих отечественных разработчиков антивирусного программного обеспечения и блогах компаний, специализирующихся на деятельности в области информационной безопасности, а так же краткое описание их содержания.

Ключевые слова: антивирусная защита, компьютерный вирус, вирус-вымогатель, WannaCry, домашние ЭВМ.

Как всегда внезапно, 12 мая 2017 информационные системы по всему миру были атакованы вирусом-вымогателем WannaCry. Атаке вируса-вымогателя WannaCry уже посвящено немало публикаций, большинство экспертов сходятся во мнении, что атака была рассчитана на получение максимальной прибыли и в первую очередь была направлена на учреждения и компании, для которых критически важен оперативный доступ к информации, например, медицинские учреждения, и вследствие указанной специфики работы готовых срочно перечислить «выкуп за информацию» вымогателям. Этим предположением объясняется тот факт, что атака практически не коснулась домашних ЭВМ и информационных систем небольших организаций и компаний.

Следует отметить, что существует и другое мнение - атака WannaCry была «пробным камнем». Суть этого мнения состоит в том, что одной из целей злоумышленников было изучить скорость реагирования служб информационной безопасности и компаний, специализирующихся на деятельности в области информационной безопасности, на инцидент, а так же изучить методы, средства и ресурсы, привлекаемые атакованными учреждениями для предотвращения или преодоления последствий атаки. Очевидно, что если такая цель была, то она достигнута. Теперь злоумышленники могут подготовить новую масштабную атаку, причем этой атаке могут быть подвергнуты не только учреждения и компании, но пользовательские ресурсы, например, домашние компьютеры. Таким образом, угроза быть атакованными вирусом похожим на WannaCry для не атакованных в этот раз ресурсов остаётся актуальной. В связи с чем, целесообразно на примере атаки WannaCry, оценить «масштабы бедствия» в случае если бы атака была направлены в первую очередь на домашние ЭВМ и информационные системы небольших организаций и компаний, в которых нет штатных подразделений по защите информации. В случае отражения атаки собственными силами негативные последствия атаки будут минимальными при выполнении одного главного условия – максимально оперативного доведения до заинтересованных лиц информации о методах и средствах противодействия (предотвращения) атаки и ликвидации последствий атаки. Заинтересованные лица, это пользователи домашних ЭВМ и специалисты, не имеющие соответствующей подготовки в области информационной безопасности, но выполняющие функции администраторов информационных ресурсов небольших организаций и компаний. Будем называть их пользователями. Исходя из сказанного выше и для конкретизации рассматриваемой проблемы, предлагаю краткую неформальную модель такого пользователя:

1) используемые методы и средства: использование средств, входящих в информационную систему или систему ее защиты, а так же сбор информации и данных из официальных источников на русском языке;

2) уровень знаний об организации информационной структуры: типовые знания о методах построения вычислительных систем, сетевых протоколов, использование стандартного набора программ.

Думаю, многие специалисты подтвердят мои слова о том, что, не смотря на широкое освещение в средствах массовой информации атаки WannaCry, в период с 12 по 20 мая 2017 почти каждый пользователь, ставший свидетелем каких либо действий связанных с WannaCry, задавал вопрос: «А что мне делать дома?». Возможно, широкое освещение в прессе атаки WannaCry сыграло не только положительную, но и отрицательную роль. Пользователям не стоит забывать, что «детальная информация», полученная из телевизора, не исключает необходимости ознакомиться со статьями, содержащими рекомендации экспертов. Следует отметить, что официальные русскоязычные источники довольно быстро отреагировали на атаку WannaCry публикациями, содержащими рекомендации экспертов на доступном для пользователей уровне. Для того, что бы оценить насколько быстро пользователи получили возможность ознакомиться с перечнем неотложных мер по отражению атаки WannaCry следует описать хронологию этих появления публикаций. Ограничимся официальными сайтами лидирующих отечественных разработчиков антивирусного программного обеспечения и блогами компаний, специализирующихся на деятельности в области информационной безопасности, на одном из популярных сайтов - «Хабрахабр». Очевидно, что в указанную хронологию следует включить и англоязычные публикации компании «MicroSoft».

При составлении хронологии публикаций с рекомендациями экспертов по борьбе с вирусом WannaCry, ограничимся первыми семью днями атаки WannaCry. На мой взгляд, внимания пользователей заслуживают публикации:

Нулевой день атаки 12.05.2017 - сайты компаний «Microsoft» (англ.) [1] и «Лаборатории Касперского» (агл.) [2];

Второй день атаки 13.05.2017 - блог компании «GO» [9];

Третий день атаки 14.05.2017 -  сайты компаний «Информзащита» [3] и «Microsoft» (агл.) [4], блоги компаний «Cisco», «Pentestit» [9];

Четвертый день атаки 15.05.2017 - сайты компании «Positive Technologies» [5,6], блоги компаний «TS Solution», «Pentestit» [9];

Пятый день атаки 16.05.2017 - блог компании «Positive Technologies» [9];

Шестой день атаки 17.05.2017 -  сайты компаний «Доктор Веб» [7] и «Microsoft» [8], блог компании «Microsoft» [9].

Во всех без исключения рекомендациях экспертов содержаться одинаковые перечни неотложных мер с различной степенью детализации их исполнения и иногда с учетом специфики работы программного обеспечений конкретного разработчика. В общем случае для защиты от WannaCry рекомендуется:

Перечень выглядит простым и не сложным для исполнения. Однако это не так. Исполнение этого перечня потребует от пользователя больших временных и интеллектуальных усилий, что в рассматриваемом случае вполне оправдано и адекватно угрозе потери всех данных.

Какие могут возникнуть проблемы?

По первому пункту следует отметить, что эксперты советуют предварительно убедиться в том, что блокировка не нарушит критичные бизнес-процессы организации [4]. Какие именно бизнес-процессы могут перестать функционировать не детализируется. Очевидно, что если необходимо обеспечить работу так называемого «файлового сервера» (папки общего доступа) или доменной сети, то эта рекомендация невыполнима. 

В ходе исполнения второго пункта могут возникнуть сразу несколько осложнений, так как для рассматриваемого случая наличие в ЛВС Windows Server Update Services (WSUS) является маловероятным:

Следует отметить, что сама установка обновлений может вызвать у пользователей проблемы, так как последние обновления безопасности требуют установки как минимум последних пакетов обновлений, так называемых «сервис-паков», своевременной установки которых многие пользователи не произвели. Подробная карта установки обновлений с указанием зависимостей приведена в ссылках на странице [5]. В связи с чем, установка обновлений может занять весьма продолжительное время.

В очень редких случаях, установка обновлений операционной системы может нарушить штатное функционирование прикладного программного обеспечения.

Ну и самое главное, установка обновлений может потребовать подключение к сети Интернет не защищенного сетевого узла.

Пункт третий по проблемам исполнения аналогичен пункту второму.

В заключение, в рамках рассматриваемой проблемы, можно сделать следующие выводы:

Первый урок атаки WannaCry состоит в том, что средствам массовой информации следует обратить отдельное внимание на то, что бы реакцией пользователей на публикации и репортажи была не паника, а непреодолимое желание немедленно найти и прочитать статьи с рекомендациями экспертов, опубликованные на официальных сайтах.

Во-вторых, на примере атаки WannaCry, можно констатировать, что исчерпывающая информация на доступном для пользователей уровне, включающая в себя не только первоочередные меры, но и альтернативные варианты решения проблемы, разработанные экспертами, была опубликована на официальных русскоязычных источниках через четыре дня после начала атаки.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК