WannaCryの結果：Habrahabrだけでなく、基本的な材料の選択

WannaCryの繰り返しを1つのバリエーションで除外することは不可能であることを歴史は示していますが、そのような攻撃に迅速に対抗することはかなり難しいタスクであることを理解する必要があります。 「保護」を準備し、強化し、適切な予防措置を講じるには、最も顕著な（少なくとも）ISインシデントの分析を見失わないことが非常に重要です。



これを行うために、Hacker Newsで公開された最も評価の高い資料と、HabrahabrおよびGeektimes.ruのWannaCryトピックで公開されたすべてのものを取り上げることにしました。 ITMO大学の専門家のコメントで最終的なテーマ選択を補足しました。



Flickr / Michele MF / CC

---

彼らが言う「彼ら」

---

WannaCryに公開されたデバイスの選択

私たちは、ユーザーのスマートフォンのレンズに収まる適切なデバイスのコレクションから始めることにしました。 著者は、さまざまな例を収集することができました：自宅のPCからオフィスシステム、支払い受付ポイントまで。 すでにWannaCryの誇大広告にうんざりしている人のために、資料の最後に特別なセクションがあります 。

インターネットを救ったホワイトハットのための1年間の無料ピザと1万ドル

主人公の身元がメディアで明らかにされた直後、多くの企業がイニシアチブを取り、ITコミュニティにサービスを提供するための選択肢を提供しました。 「寛大な」企業の公正な報酬または自己宣伝はあなた次第です。

WannaCry、Wcry、WannaCryptに関するすべての必要な情報

マイクロソフトと直接関係のあるセキュリティの専門家であるトロイハントは、5月13日からWannaCryに関するデータの収集を開始しました。 イベントが発生するにつれて、資料には技術的な詳細とさまざまな分析（ランサムウェアとランサムウェアの「作業」の財務結果を含む）が追加されました。 とりわけ、TroyはOSの更新を拒否すべきでない理由に関する別の記事を書きました。

WannaCry：史上最も人気のあるランサムウェアウイルス

マイクロソフトのMVPの1つは、ランサムウェアとランサムウェアがなんとかして「実行」したすべてのテーマに関するWikiページをまとめました。 ここでは、感染がどのように発生するかについての情報を見つけることができ、予防措置の推奨事項を取得できます。 マテリアルには、膨大な数の有用なリンクが含まれています（エキスパートのストーリーの次の3つの部分を含む）。

新しいWannaCryバリエーションが発見されました

WannaCryの新しい品種とは何かに関する簡単なメモ。 killスイッチを使用した場合と使用しない場合の機能と例。 専門家は、彼のブログの投稿に加えて、NYtimesテーマ記事で簡単な解説を行い、いくつかの例と比較を収集して、WannaCryとLazarus Groupの関係を確認しました。

WannaCry：WanaKiwi +デモを使用した復号化

WannaCryによって公開されたデータを解読するための実用的なガイド。 Windows XP（x86）からWindows 7（x86）、Windows 2003（x86）、Vista、2008および2008 R2までのバージョンでテスト済み。

---

彼らが「私たちと」と言うこと

---

WannaCryptの恐mailプログラムは、更新されていないシステムを攻撃します

このトピックに関する主要な専門知識が、脆弱性自体またはISの問題に関連する何らかの方法で、大企業に代わって提供されたことは驚くことではありません。 マイクロソフトも例外ではなく、状況を分析した記事の翻訳版を用意しました。これは5月12日、同社の公式ブログで公開されました。

WannaCry：分析、侵害の指標、および予防のための推奨事項

シスコは、暗号化プログラムの調査結果を行商人と共有しています。 コア資料は、Cisco Talosの専用部門によって準備されました。 英語版はこちらでご覧いただけます 。

WannaCryランサムウェアファミリー攻撃：状況分析と次の攻撃への準備

Panda Securityは、5月12日に何が起こったのかについての見解を示し、WannaCryと以前に見た他の攻撃との違いについて話しました。 次の基準が記載されています：感染の方向、脆弱なシステムとの相互作用、配布および暗号化プロセス。 さらに、同社は有用な推奨事項と関連リンクを提供しました。

Wannacry-X-Team、アウェイ

CROCは、助けを求めた顧客とのコミュニケーションがどのようにもたらされたかに関する実践的な資料を書きました。 さらに、専門家は、その場で対応すると考えた行動の選択肢を挙げました。 これが何をもたらしたのか、彼らはほとんどすぐにWannacryを止めた-資料を読んでください。

Wana Decrypt0r 2.0ランサムウェア分析

Wana Decrypt0r 2.0ランサムウェア機能（WannaCryの2番目のバージョン）の興味深い分析は、T＆T SecurityとPentestitの専門家によって準備されました。 完全なセットは次のとおりです。統計、技術的なニュアンス、分析上の考慮事項。

WannaCry 2.0：バックアップが絶対に必要であることの明確な確認

WannaCryの簡単な紹介、その動作原理、および読者に役立つ可能性のあるアクロニス製品に加えて、同社は「犠牲者」の興味深いリストを提供しています。

この男は、暗号ランサムウェアWannaCryptのグローバルな配布を誤って停止しました

リビジョンGeektimes.ruは、トピックに関する最新ニュースを報告します。 「インターネットを救った」という偶然の発見の物語に加えて、 MicrosoftがNSAを悪用の蓄積で非難した方法、および停止クレーンなしを含む新しいWannaCryバリエーションについて読むことができます。

偽のWannaCry、HPにはfireキーロガーがあり、Chromeは余分な

カスペルスキーは、マルウェアに対する誇大広告の結果を分析します。 例としては、ソフトウェアの最も基本的で無害な機能が攻撃者が最初に使用するものであることを改めて思い起こさせる最新ニュースがいくつかあります。

CVE-2017-0263のWindows権限昇格の脆弱性の解析

Positive Technologiesは、WannaCryに関するニュースをフォローし、コンテキストメニューの脆弱性と操作オプションについて話すことにしました。

---

ITMO大学コンピューターフォレンジック研究所所長、Kuzmich Pavel Alekseevich：

ほとんどの場合、感染を記録した組織の従業員はコンピューターを使用してメールを受信し、インターネットをサーフィンし、受け取った手紙や開いたWebサイトのセキュリティを確信せずにマルウェアをダウンロードしました。



このようにして、顧客の機密情報が侵害される可能性があります-営利組織の場合、および政府機関の場合、大量の個人データ。 そのような情報がこれらのコンピューターで処理されなかったことが望まれます。



ランサムウェアは詐欺のよく知られた方法であり、まだ保護のための特定のアプローチがあります。 まず、Web上の特定のリンクのクリックに注意する必要があります。 同様に、メールでも-インターネットプロバイダーまたは銀行からの手紙に添付されたファイルでウイルスが拡散することが非常に多くあります。 第三に、少なくとも時々、重要なドキュメントのバックアップコピーを別のリムーバブルメディアに作成することが重要です。



ほとんどの場合、ウイルスの感染とアクティブフェーズ（データ暗号化）は、コンピューターのパフォーマンスの大幅な低下として現れます。 これは、暗号化が非常にリソースを消費するプロセスであるという事実の結果です。 これは、理解できない拡張子のファイルが表示されたときにも気付くことができますが、通常、この段階ではアクションを実行するには遅すぎます。

---

ウイルスアナリスト、ITMO大学のITセキュリティの専門家であり、国際的なコンピューター情報保護競争の勝者であるGrigory Sablin：

攻撃者はSMBプロトコルMS17_010の脆弱性を使用します-パッチは既にMicrosoftサーバーにあります。 更新されていない人は、ディストリビューションに該当する可能性があります。 しかし、これらのユーザー自身のせいだと言うことができます-彼らは海賊版ソフトウェアを使用したか、Windowsを更新しませんでした。 私自身も状況がどのように発展するかに興味があります。MS08_67でも同様の話があり、その後、Kidoワームがそれを使用し、多くの人が感染しました。



ロックされたすべてのファイルを回復できるという事実ではありません。 多くのコンピューターがまだ更新されていないため、このウイルスはどこにでも侵入する可能性があります。 ちなみに、このエクスプロイトは、米国国家安全保障局（NSA）から「リーク」されたアーカイブから取得されました。つまり、これは特別なサービスが緊急事態でどのように機能するかの例です。

PS興味深いと思われる追加資料や意見のコメントでの議論に感謝します。 この選択をまとめる:)