Масова Ransomware атака удря повече от 126 000 жертви по целия свят и нараства

Близък план на ръце върху клавиатура на лаптоп в тъмна стая.
Дмитрий Тищенко/123RF
В петък, 12 май 2017 г. фирмата за киберсигурност Avast съобщиха за масивна атака с ransomware, която удари повече от 75 000 жертви в 99 страни и която нарасна до над 126 000 в 104 страни до събота следобед. Докато повечето от целите са били разположени в Русия, Украйна и Тайван, други жертви са идентифицирани в Европа.

Най-вече испанската телекомуникационна компания Telefonica беше жертва, както и болниците в Обединеното кралство. Според The ​​Guardian, атаките в Обединеното кралство засегнаха най-малко 16 съоръжения на Националната здравна система (NHS) и директно компрометираха системите за информационни технологии (ИТ), които се използват за гарантиране на безопасността на пациентите.

Препоръчани видеоклипове

Avast

Avast

Рансъмуерът WanaCryptOR или WCry се основава на уязвимост, която е идентифицирана в протокола за блокиране на съобщения на Windows Server и е коригирана в Корекцията на Microsoft от март 2017 г. във вторник актуализации за сигурност, съобщава Kaspersky Labs

. Първата версия на WCry беше идентифицирана през февруари и оттогава е преведена на 28 различни езика.

Microsoft отговори към атаката със собствена публикация в блога за сигурност на Windows, където подсили съобщението, че в момента поддържаните компютри с Windows, работещи с най-новите корекции за сигурност, са безопасни от злонамерения софтуер. Освен това Windows Defenders вече бяха актуализирани, за да осигурят защита в реално време.

„На 12 май 2017 г. открихме нов ransomware, който се разпространява като червей, използвайки уязвимости, които са били коригирани преди това“, започва резюмето на атаката от Microsoft. „Докато актуализациите за сигурност се прилагат автоматично в повечето компютри, някои потребители и предприятия може да забавят внедряването на корекции. За съжаление, зловредният софтуер, известен като WannaCrypt, изглежда е засегнал компютри, които не са приложили корекцията за тези уязвимости. Докато атаката се разгръща, напомняме на потребителите да инсталират MS17-010, ако още не са го направили.”

Изявлението продължава: „Телеметрията за защита от зловреден софтуер на Microsoft веднага засече признаци на тази кампания. Нашите експертни системи ни дадоха видимост и контекст на тази нова атака, както се случи, позволявайки на Windows Defender Antivirus да осигури защита в реално време. Чрез автоматизиран анализ, машинно обучение и прогнозно моделиране успяхме бързо да защитим срещу този зловреден софтуер.“

Освен това Avast спекулира, че основният експлойт е бил откраднат от Equation Group, за която се подозира, че е свързана с NSA, от хакерска група, наричаща себе си ShadowBrokers. Експлойтът е известен като ETERNALBLUE и наречен MS17-010 от Microsoft.

Когато зловредният софтуер удари, той променя името на засегнатите файлове, за да включва разширение „.WNCRY“ и добавя „WANACRY!“ маркер в началото на всеки файл. Той също така поставя своята бележка за откуп в текстов файл на машината на жертвата:

Avast

Avast

След това рансъмуерът показва своето съобщение за откуп, което изисква между $300 и $600 в биткойн валута и предоставя инструкции как да платите и след това да възстановите криптираните файлове. Езикът в инструкциите за откуп е странно непринуден и изглежда подобен на това, което човек може да прочете в оферта за закупуване на продукт онлайн. Всъщност потребителите имат три дни да платят, преди откупът да бъде удвоен и седем дни да платят, преди файловете вече да не могат да бъдат възстановени.

Avast

Avast

Интересното е, че атаката беше забавена или потенциално спряна от „случаен герой“ просто чрез регистриране на уеб домейн, който беше твърдо кодиран в кода на ransomware. Ако този домейн отговори на заявка от злонамерения софтуер, тогава той ще спре да заразява нови системи - действайки като нещо като „превключвател за спиране“, който киберпрестъпниците могат да използват, за да спрат атаката.

Като Гардиън посочва, изследовател, известен само като MalwareTech, регистрирал домейна за $10,69, не е знаел по време на превключвателя, казвайки: „Бях навън обядвахме с приятел и се върнахме около 15 часа. и видях наплив от новинарски статии за NHS и различни организации в Обединеното кралство удари. Разгледах го малко и след това намерих извадка от зловреден софтуер зад него и видях, че се свързва към конкретен домейн, който не беше регистриран. Така че го взех, без да знам какво прави в момента.

MalwareTech регистрира домейна от името на своята компания, която проследява ботнети, и първоначално те бяха обвинени в инициирането на атаката. „Първоначално някой беше докладвал по грешен начин, че сме причинили инфекцията, като регистрирахме домейна, така че го направих мини обезумяване, докато не разбрах, че всъщност е обратното и го бяхме спрели“, каза MalwareTech пред The Пазач.

Това обаче вероятно няма да е краят на атаката, тъй като нападателите може да са в състояние да променят кода, за да пропуснат превключвателя за изключване. Единственото истинско решение е да се уверите, че машините са напълно закърпени и работят с правилния софтуер за защита от зловреден софтуер. Въпреки че машините с Windows са целите на тази конкретна атака, MacOS демонстрира собствената си уязвимост и затова потребителите на операционната система на Apple също трябва да предприемат съответните стъпки.

В много по-ярки новини сега изглежда, че има нов инструмент, който може да определи ключа за криптиране, използван от рансъмуера на някои машини, позволяващ на потребителите да възстановят данните си. Новият инструмент, наречен Wanakiwi, е подобен на друг инструмент, Wannakey, но предлага по-прост интерфейс и потенциално може да коригира машини, работещи с повече версии на Windows. Като Ars Technica съобщава, Wanakiwi използва някои трикове, за да възстанови простите числа, използвани при създаването на ключа за шифроване, основно чрез изтегляне на тези числа от RAM ако заразената машина остане включена и данните вече не са презаписани. Wanawiki използва някои „недостатъци“ в програмния интерфейс на Microsoft Cryptographic, който е бил използван от WannaCry и различни други приложения за създаване на ключове за криптиране.

Според Бенджамин Делпи, който е помогнал за разработването на Wanakiwi, инструментът е тестван срещу редица машини с криптирани твърди дискове и е успял да дешифрира няколко от тях. Windows Server 2003 и Windows 7 бяха сред тестваните версии и Delpy предполага, че Wanakiwi ще работи и с други версии. Както казва Delpy, потребителите могат „просто да изтеглят Wanakiwi и ако ключът може да бъде конструиран отново, той го извлича, реконструира го (добър) и започва дешифриране на всички файлове на диска. В допълнение, ключът, който получавам, може да се използва с дешифратора на злонамерен софтуер, за да го накара да декриптира файлове, сякаш сте платили.

Недостатъкът е, че нито Wanakiwi, нито Wannakey работят, ако заразеният компютър е рестартиран или ако пространството в паметта, съдържащо простите числа, вече е презаписано. Така че определено е инструмент, който трябва да се изтегли и да се държи готов. За допълнително спокойствие, трябва да се отбележи, че фирмата за сигурност Comae Technologies подпомогна разработването и тестването на Wanakiwi и може да провери неговата ефективност.

Можеш изтеглете Wanakiwi тук. Просто декомпресирайте приложението и го стартирайте и имайте предвид, че Windows 10 ще се оплаче, че приложението е непозната програма и ще трябва да натиснете „Повече информация“, за да го разрешите да стартира.

Марк Копок/Цифрови тенденции

Марк Копок/Цифрови тенденции

Рансъмуерът е един от най-лошите видове зловреден софтуер, тъй като атакува нашата информация и я заключва зад силно криптиране, освен ако не платим пари на нападателя в замяна на ключ за отключване. Има нещо лично в рансъмуера, което го отличава от случайните атаки на зловреден софтуер, които превръщат компютрите ни в безлични ботове.

Единственият най-добър начин да се предпазите от WCry е да се уверите, че вашият компютър с Windows е напълно обработен с най-новите актуализации. Ако сте следвали графика на Microsoft Patch Tuesday и сте използвали поне Windows Defender, тогава вашите машини вече трябва да са защитен – въпреки че наличието на офлайн архивиране на най-важните ви файлове, които не могат да бъдат засегнати от такава атака, е важна стъпка за предприеме. В бъдеще хилядите машини, които все още не са закърпени, ще продължат да страдат от тази широко разпространена атака.

Актуализирано на 19.05.2017 г. от Марк Копок: Добавена е информация за инструмента Wanakiwi.

Препоръки на редакторите

  • Атаките на рансъмуер се увеличиха значително. Ето как да сте в безопасност
  • Хакерите печелят с ransomware, който атакува предишните му жертви