CC BY
30
Объективно существующая необходимость повышения энергетической эффективности регионов страны в результате внедрения инноваций требует разработки принципов, механизмов, алгоритмов и рекомендаций построения систем управления инновационной деятельностью в области энергосбережения и повышения энергетической эффективности.
Разработать целевую модель региональной системы управления инновационной деятельностью в области энергосбережения и повышения энергетической эффективности, описать основные механизмы, необходимые для ее функционирования, и предложено формирование такого ее инструмента как государственный заказ на инновации, что в совокупности с выделением в составе такой модели уровня отраслевых и территориальных органов власти (государственных заказчиков региональной программы энергосбережения) отличает подобную модель от разработок других авторов.
Во всех вузах и колледжах, не только технических и военных, в управляющих компаниях ввести обучение для будущих главных врачей, директоров школ, фермеров, строителей и др. дисциплины ресурсо- и энергосбережения, энергоаудита.
В итоге получается система синергетические связанных региональных программ энергосбережения, отраслевых ЖКХ, АПК и машиностроения, инновационной политики, снижающая энергоемкость регионального валового продукта отраслей, повышающая устойчивость экономики региона.
Использованные источники:
1. Алексеев В.А. Альтернативные пути развития страны / В.А. Алексеев, А.В Ледрова, Ю.В. Алексеев // Инновации и инвестиции (РАН). - №8. - 2014.
2. Алексеев В.А. Энергосберегающие технологии для крупных населенных пунктов: Монография / В.А. Алексеев, В.С. Артемьев. - Чебоксары: Волжский филиал МАДИ, 2013. - 208 с.
УДК 004
Кувшинов Н.Е.
инженер научно-исслед. лаборатории «ФХПЭ» Казанский государственный энергетический университет
Галяутдинов А.А. студент ИКТЗИ
Казанский национальный исследовательский технический
университет имени А.Н. Туполева - КАИ
Россия, г. Казань АНАЛИЗ ВРЕДОНОСНОЙ ПРОГРАММЫ WANNACRY
Аннотация. В статье рассмотрена вредоносная программа с помощью которой совершилась крупнейшая кибератака за последние несколько лет, а также произведен ее анализ.
Ключевые слова: атака, кибератака, вирус, вредоносная программа
Kuvshinov N.E., engineer laboratory "FHPE" Kazan State Power Engineering University
Russia, Kazan ANALYSIS OF THE MALWARE WANNACRY
Annotation. The article considers a malicious program with the help of which the largest cyberattack took place in the last few years, and also analyzed it.
Key words: attack, cyberattack, virus, malware
В современном мире значимость информации очень сильно выросла, поскольку технологии за последние десятки лет шагнули далеко вперед. С распространением интернета у огромного количества людей появилась возможность получать информацию и манипулировать ей для использования в своих целях, будь то учеба, работа или даже преступления. Чтобы реализовать свои потребности в сети нужны определенного рода программы, поэтому рассмотрим одну, наиболее нашумевшую и имевшую большое влияние на пользователей и различные организации - WannaCry.
WannaCry (также известна как WannaCrypt, WCry, WanaCryptOr 2.0 и Wanna Decryptor) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая только компьютеры под управлением операционной системы Microsoft Windows. Её массовое распространение началось 12 мая 2017 года. Первой под удар попала Испания, но лидирующими по количеству зараженных компьютеров были Россия, Украина и Индия. В общей сложности, от червя пострадало более 200 тысяч компьютеров принадлежащих как частным лицам, так и коммерческим организациям, в более чем 150 странах мира. К слову, только в России пострадали такие компании как Роснефть, Башнефть, Mars, Nivea, Mondelez International, РЖД, Мегафон и многие другие. Также пострадали и компьютеры МВД, однако жизненно важные серверы не были затронуты так как они работают на отечественных процессорах и одноименной операционной системе «Эльбрус».
Отличительной особенностью данной программы является функция саморазмножения, это значит что вам не нужно никуда кликать, нажимать и ничего открывать, программа сделает все сама если у вас имеется уязвимость и подключение к интернету. После заражения компьютера жертва видит предложение об оплате определенной суммы денег за возврат доступа к файлам.
Как WannaCry атакует? Авторы воспользовались уязвимостью ETERNALBLUE и связанным с ней бэкдором DOUBLEPULSAR. ETERNALBLUE - это кодовое имя программы которая использует уязвимости в ПО для атаки на компьютер, а именно протокол SMB(Server Message Block) который отвечает за удаленный доступ к файлам и сетевым ресурсам. DOUBLEPULSAR - это дефект алгоритма позволяющий получить доступ к данным, управлению ОС и компьютером в целом. Первая позволяла через уязвимый SMB получать удаленный доступ к компьютеру и незаметно
устанавливать на него программное обеспечение. Так и устанавливается шифровальщик WannaCry. На момент атаки уязвимы были все версии операционной системы за исключением Windows 10. Учитывая масштаб заражений компании Microsoft пришлось выпустить патчи для всех не поддерживаемых версий ОС.
После запуска вредоносная программа действует как классическая программа-вымогатель: она генерирует уникальную для каждого инфицированного компьютера пару ключей асимметричного алгоритма RSA-2048(криптографический алгоритм с открытым ключом). Затем WannaCry начинает сканировать систему в поисках пользовательских файлов определённых типов, оставляя критические для дальнейшего её функционирования нетронутыми. Каждый отобранный файл шифруется по алгоритму AES-128-CBC уникальным (случайным) для каждого из них ключом, который в свою очередь шифруется открытым RSA-ключом инфицированной системы и сохраняется в заголовке зашифрованного файла. При этом к каждому зашифрованному файлу добавляется расширение .wncry.
Пара RSA-ключей инфицированной системы шифруется открытым ключом злоумышленников и отправляется к ним на серверы управления, расположенные в сети Tor (открытое ПО которое с помощью системы прокси-серверов устанавливать анонимное соединение защищенное от прослушивания и перехвата), после чего все ключи из памяти инфицированной машины удаляются. Когда шифрование завершается программа выводит на экран окно с информацией и требованием перевести определенную сумму в биткоинах на указанный кошелек, через 3 дня сумма удваивается, а через неделю зашифрованные файлы уничтожатся.
Вот такие файлы попадут под шифрование: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc .
Как можно заметить, шифруются офисные файлы Excel, Word, PowerPoint, Open Office, музыкальные и видео файлы, архивы, сообщения email и почтовые архивы/базы данных, файлы баз данных MS SQL, MS Access, графические файлы MS Visio, Photoshop, а также виртуальные машины и другие.
Обратите внимание, что если у вас установлен соответствующий патч или иным образом блокируется использование данной уязвимости, например, с помощью IPS, то это не значит, что вы не подвержены WannaCry. Шифровальщик и в этом случае сможет быть запущен, но для
этого уже понадобится реакция пользователя, привычная для работы классических локеров-вымогателей. Установка патча Microsoft блокирует только удаленное заражение и распространение вредоносного кода.
Вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). Поэтому неплохой идеей (если ваши процессы допускают это) было бы заблокировать доступ по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе. Однако блокирование данных портов извне не означает полной защиты от внутреннего заражения. Если кто-либо принесет ноутбук, содержащий WannaCry, и подключит его к внутренней локальной сети, то WannaCry начнет искать новые жертвы внутри этой сети.
Можно ли расшифровать файлы? На сегодняшний день разработано два дешифратора WannaCry: WannaKey (автор Adrien Guinet) и WanaKiwi (автор Benjamin Delpy).
Уже через шесть дней после атаки Адриен Гинье сообщил, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика WannaCry. К сожалению, данный метод работает только для операционной системы Windows XP и далеко не во всех случаях. Гинье опубликовал исходные коды инструмента, который он назвал WannaKey. Методика исследователя, по сути, базируется на эксплуатации достаточно странного и малоизвестного бага в Windows XP, о котором, похоже, не знали даже авторы нашумевшей вымогательской программы. Дело в том, что при определенных обстоятельствах из памяти машины, работающей под управлением XP, можно извлечь ключ, необходимый для «спасения» файлов.
Исследователь объясняет, что во время работы шифровальщик задействует Windows Crypto API и генерирует пару ключей - публичный, для шифрования файлов, и приватный, которым после выплаты выкупа файлы можно расшифровать. Чтобы жертвы не смогли добраться до приватного ключа и расшифровать данные раньше времени, авторы WannaCry шифруют и сам ключ, так что он становится доступен лишь после оплаты.
После того как ключ был зашифрован, его незашифрованная версия стирается с помощью стандартной функции CryptReleaseContext, что в теории должно удалять его и из памяти зараженной машины. Однако Гинье заметил, что этого не происходит, удаляется только «маркер», указывающий на ключ.
Специалист пишет, что извлечь приватный ключ из памяти возможно. Сам Гинье провел ряд тестов и успешно расшифровал файлы на нескольких зараженных компьютерах под управлением Windows XP. Однако исследователь пишет, что для удачного исхода операции необходимо соблюсти ряд условий. Так как ключ сохраняется только в энергозависимой памяти, опасаться нужно не только того, что любой процесс может случайно
перезаписать данные поверх ключа, а память перераспределится, но также нельзя выключать и перезагружать компьютер после заражения.
Неизвестно, как много компьютеров под управлением Windows XP было заражено WannaCry, и какой процент пользователей ни разу не перезагружал и не выключал ПК после заражения. Напомню, что суммарно от атак шифровальщика пострадали сотни тысяч машин, более чем в ста странах мира. Тем не менее, Гинье надеется, что его методика может пригодиться хотя бы некоторым пользователям.
Вторым дешифровщиком стал инструмент wanakiwi, разработанный на базе WannaKey, французским исследователем Бенджамином Делпи (Benjamin Delpy), при поддержке сооснователя компании Comae Technologies и эксперта Microsoft Мэтью Сюиша (Matthieu Suiche). Wanakiwi работает не только с Windows XP, но и x86-версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. Также его эффективность уже подтвердили специалисты Европола. Равно как и WannaKey, новый инструмент эксплуатирует небольшой недочет, обнаруженный исследователями в Microsoft Crypto API, что позволяет извлечь из памяти зараженной машины приватный ключ, необходимый для восстановления пострадавших файлов. К сожалению, wanakiwi по-прежнему сработает лишь в том случае, если зараженный компьютер не выключали и не перезагружали после атаки WannaCry. Также ключ в памяти может быть случайно «затерт» любым другим процессом, поэтому, по словам специалистов, пользователям «потребуется немного удачи».
В заключение нужно сказать, что в наше время современному человеку не обойтись без компьютера, интернета и других благ предоставляемых прогрессом. Поэтому не стоит держаться от них на расстоянии только из-за возможных опасностей. Самое главное - это вовремя вооружиться информацией и следовать простым правилам безопасности в интернете, тогда вы сможете обойти или нейтрализовать все угрозы.
Использованные источники:
1. IT Keys [Электронный ресурс] https://itkeys.org/
2. Хабрахабр [Электронный ресурс] https://habrahabr.ru/
3. Xakep [Электронный ресурс] https://xakep.ru/
