Всем привет.
1) Главная новость прошедших суток — это, конечно, атака вируса-шифровальщика Petya.A (хотя некоторые, например, «Лаборатория Касперского», считают, что это вовсе не Petya, поэтому назвали его NotPetya). Атака началась в Украине, но со временем распространилась на весь мир. Сейчас уже становятся понятны некоторые детали происходящего:
— изначально злоумышленники взломали сервер украинской компании «IT Эксперт», которая разрабатывает программу подачи бухгалтерской отчётности M.E.Doc, и запушили зловредное ПО под видом новой версии приложения. Стоит отметить, что вышеупомянутая программа используется подавляющим большинством украинских предприятий, потому что её активно и настойчиво рекомендует Государственная фискальная служба Украины. Таким образом произошло начальное заражение. В других странах для заражения использовались заражённые .DOC- и .PDF-файлы.
— после заражения вирус использует полный ассортимент трюков для распространения внутри локальной сети предприятия: сканирование сети, дамп содержимого Active Directory, воровство паролей и использование встроенных инструментов управления вроде редактора групповых политик, комбинация различных уязвимостей, включая уже успевшую надоесть MS17-010 (это та самая уязвимость, которая после утечки данных ЦРУ была использована в вирусе-шифровальщике WannaCry), CVE-2017-0199 (удалённое исполнение кода в MS Office и встроенном в Windows текстовом редакторе WordPad) и вроде бы даже ту самую дыру в Windows Defender, о которой я упоминал вчера.
— шифровальшик перезаписывает главную загрузочную запись на жёстком диске компьютера, после чего подвешивает систему при помощи вызова недокументированной функции Win32 API NtRaiseHardError. Когда пользователь нажимает на кнопку Reset для перезагрузки, то вместо операционной системы грузится вирус и начинает шифровать содержимое жёсткого диска. При этом пользователю вирус показывает экран, подражающий системной утилите CHKDSK, то есть пользователь думает, что система просто проверяет диск на наличие ошибок.
— по некоторым данным, вирус шифрует не сами файлы, а главную файловую таблицу файловой системы NTFS.
— чтобы остановить распространение вируса, надо закрыть на компьютерах TCP-порты 1024-1035, 135 и 445.
Какие выводы можно сделать из произошедшего? Во-первых, кто не обновился и не установил нужные патчи (к слову, вышедшие более 2 месяцев назад) — тот сам виноват. Во-вторых, от некоторых атак патчи не спасут, так как основной проблемой безопасности является человеческий фактор. В-третьих, Windows — сама по себе не очень безопасная система, а уж комбинация Windows с Microsoft Office или Adobe Acrobat — это вообще пороховая бочка.
Информация на сайте украинской киберполиции:
https://www.cybercrime.gov.ua/16-novosti/241-kiberpolitsiya-vzhivae-zakhodiv-reaguvannya-na-kiberintsendenti-z-urazhennya-derzhavnikh-ta-privatnikh-ustanov-ukrajiniНеплохое саммари на сайте Wired:
https://www.wired.com/story/petya-ransomware-wannacry-mistakes/2) На волне паники Microsoft объявила, что осенью в Windows 10 вернётся EMET — инструмент для минимизации последствий эксплойтов, ранее доступный для Windows 7 и 8. Раньше компания заявляла, что Windows 10 достаточно безопасна сама по себе, а вот теперь, видимо, передумала.
https://arstechnica.com/information-technology/2017/06/microsoft-bringing-emet-back-as-a-built-in-part-of-windows-10/3) Еврокомиссия оштрафовала Google на 2.4 млрд евро за то, что компания продвигала свой сервис сравнения цен Google Shopping в результатах поиска. Теперь Еврокомиссия будет разбираться, не нарушил ли Google монопольное законодательство при продвижении своих карт, почтового сервиса Gmail, браузера Chrome и т.д. Чувствуется, что это не последний штраф. Правда, Google уже заявил, что оспорит это решение в судебном порядке.
https://www.theguardian.com/business/2017/jun/27/google-braces-for-record-breaking-1bn-fine-from-eu