Obětí byla především španělská telekomunikační společnost Telefonica, stejně jako nemocnice ve Spojeném království. Podle The GuardianÚtoky ve Spojeném království zasáhly nejméně 16 zařízení národního zdravotnického systému (NHS) a přímo ohrozily systémy informačních technologií (IT), které se používají k zajištění bezpečnosti pacientů.
Doporučená videa
Avast
Ransomware WanaCryptOR nebo WCry je založen na zranitelnosti, která byla identifikována v protokolu Windows Server Message Block a byla opravena Opravné úterý společnosti Microsoft z března 2017 bezpečnostní aktualizace, uvádí společnost Kaspersky Labs. První verze WCry byla identifikována v únoru a od té doby byla přeložena do 28 různých jazyků.
Microsoft odpověděl k útoku svým vlastním blogovým příspěvkem Windows Security, kde posílil zprávu, že aktuálně podporované počítače s Windows s nejnovějšími bezpečnostními záplatami jsou v bezpečí před malwarem. Kromě toho již byly Windows Defendery aktualizovány, aby poskytovaly ochranu v reálném čase.
„Dne 12. května 2017 jsme odhalili nový ransomware, který se šíří jako červ využitím zranitelností, které byly dříve opraveny,“ začalo shrnutí útoku společnosti Microsoft. „Zatímco aktualizace zabezpečení jsou na většině počítačů aplikovány automaticky, někteří uživatelé a podniky mohou nasazení oprav zpozdit. Bohužel se zdá, že malware známý jako WannaCrypt zasáhl počítače, které neprovedly opravu těchto zranitelností. Zatímco se útok vyvíjí, připomínáme uživatelům, aby si nainstalovali MS17-010, pokud tak ještě neučinili.“
Prohlášení pokračovalo: „Antimalwarová telemetrie společnosti Microsoft okamžitě zachytila známky této kampaně. Naše expertní systémy nám poskytly přehled a kontext tohoto nového útoku tak, jak k němu došlo, a umožnily Windows Defender Antivirus poskytovat obranu v reálném čase. Díky automatizované analýze, strojovému učení a prediktivnímu modelování jsme byli schopni se před tímto malwarem rychle chránit.“
Avast dále spekuloval, že základní exploit byl ukraden ze skupiny Equation Group, která byla podezřelá z vazby na NSA, hackerskou skupinou, která si říká ShadowBrokers. Exploit je známý jako ETERNALBLUE a společností Microsoft pojmenován MS17-010.
Když malware udeří, změní název postižených souborů tak, aby obsahoval příponu „.WNCRY“ a přidal „WANACRY!“. značka na začátku každého souboru. Také umístí svou poznámku o výkupném do textového souboru na počítači oběti:
Avast
Poté ransomware zobrazí zprávu o výkupném, která požaduje mezi 300 a 600 $ v bitcoinové měně, a poskytuje pokyny, jak zaplatit a poté obnovit zašifrované soubory. Jazyk v pokynech k výkupnému je podivně ležérní a zdá se podobný tomu, co by se dalo číst v nabídce ke koupi produktu online. Ve skutečnosti mají uživatelé tři dny na zaplacení, než se výkupné zdvojnásobí, a sedm dní na zaplacení, než soubory již nebude možné obnovit.
Avast
Zajímavé je, že útok zpomalil nebo potenciálně zastavil „náhodný hrdina“ jednoduše registrací webové domény, která byla napevno zakódována do kódu ransomwaru. Pokud by tato doména odpověděla na požadavek malwaru, přestala by infikovat nové systémy – fungovala jako jakýsi „zabíječ“, který by kyberzločinci mohli použít k zastavení útoku.
Tak jako Guardian upozorňuje, výzkumný pracovník, známý pouze jako MalwareTech, zaregistroval doménu za 10,69 $, o tom v době přepínače zabíjení nevěděl a řekl: „Byl jsem mimo na obědě s přítelem a vrátil se kolem 15:00. a viděl příliv novinových článků o NHS a různých britských organizacích udeřil. Trochu jsem se na to podíval a pak jsem našel vzorek malwaru za tím a viděl jsem, že se připojuje ke konkrétní doméně, která nebyla registrována. Takže jsem to zvedl, aniž bych věděl, co to v tu chvíli udělalo."
MalwareTech zaregistroval doménu jménem své společnosti, která sleduje botnety, a zpočátku byli obviněni ze zahájení útoku. "Zpočátku někdo nahlásil špatným směrem, že jsme způsobili infekci registrací domény, tak jsem to udělal." malé šílenství, dokud jsem si neuvědomil, že je to ve skutečnosti naopak a zastavili jsme to,“ řekl MalwareTech The Strážce.
To však pravděpodobně nebude konec útoku, protože útočníci mohou být schopni změnit kód tak, aby vynechal přepínač zabíjení. Jedinou skutečnou opravou je ujistit se, že stroje jsou plně opraveny a používají správný software na ochranu před malwarem. Zatímco počítače se systémem Windows jsou cílem tohoto konkrétního útoku, MacOS prokázal svou vlastní zranitelnost a uživatelé operačního systému Apple by se proto měli ujistit, že také podniknou příslušné kroky.
V mnohem jasnějších zprávách se nyní zdá, že existuje nový nástroj, který dokáže určit šifrovací klíč používaný ransomwarem na některých počítačích a umožňuje uživatelům obnovit jejich data. Nový nástroj s názvem Wanakiwi je podobný jinému nástroji, Wannakey, ale nabízí jednodušší rozhraní a může potenciálně opravit počítače s více verzemi Windows. Tak jako Informuje o tom Ars TechnicaWanakiwi používá některé triky k obnovení prvočísel použitých při vytváření šifrovacího klíče, v podstatě tím, že tato čísla vytáhne z RAM pokud infikovaný počítač zůstane zapnutý a data již nebyla přepsána. Wanawiki využívá některé „nedostatky“ v rozhraní pro programování aplikací Microsoft Cryptographic, které WannaCry a různé další aplikace používaly k vytváření šifrovacích klíčů.
Podle Benjamina Delpyho, který pomáhal s vývojem Wanakiwi, byl nástroj testován na řadě strojů se zašifrovanými pevnými disky a několik z nich byl úspěšný při dešifrování. Mezi testovanými verzemi byly Windows Server 2003 a Windows 7 a Delpy předpokládá, že Wanakiwi bude fungovat i s jinými verzemi. Jak uvádí Delpy, uživatelé si mohou „prostě stáhnout Wanakiwi, a pokud lze klíč sestavit znovu, rozbalí jej, zrekonstruuje (což je dobrý) a spustí dešifrování všech souborů na disku. Jako bonus lze klíč, který získám, použít s dešifrovačem malwaru, aby dešifroval soubory, jako kdybyste zaplatili.“
Nevýhodou je, že ani Wanakiwi, ani Wannakey nefungují, pokud byl infikovaný počítač restartován nebo pokud byl paměťový prostor obsahující prvočísla již přepsán. Takže je to rozhodně nástroj, který by měl být stažen a připraven. Pro trochu většího klidu je třeba poznamenat, že bezpečnostní firma Comae Technologies pomáhala s vývojem a testováním Wanakiwi a může ověřit jeho účinnost.
Můžeš Wanakiwi stáhněte zde. Stačí dekomprimovat aplikaci a spustit ji a všimněte si, že Windows 10 si bude stěžovat, že aplikace je neznámý program, a budete muset kliknout na „Další informace“, abyste ji umožnili spustit.
Označte Coppock/Digital Trends
Ransomware je jedním z nejhorších druhů malwaru, protože napadá naše informace a zamyká je silným šifrováním, pokud útočníkovi nezaplatíme peníze výměnou za klíč k jeho odemknutí. Na ransomwaru je něco osobního, co ho odlišuje od náhodných malwarových útoků, které mění naše počítače v roboty bez tváře.
Jediným nejlepším způsobem, jak se chránit před WCry, je zajistit, aby byl váš počítač se systémem Windows plně vybaven nejnovějšími aktualizacemi. Pokud jste postupovali podle plánu Microsoft Patch Tuesday a spustili jste alespoň Windows Defender, pak by vaše počítače již měly být chráněno – i když offline záloha vašich nejdůležitějších souborů, kterých se takový útok nemůže dotknout, je důležitým krokem k vzít. Do budoucna jsou to tisíce strojů, které ještě nebyly opraveny, které budou nadále trpět tímto konkrétním rozšířeným útokem.
Aktualizováno 19. 5. 2017 Markem Coppockem: Přidány informace o nástroji Wanakiwi.
Doporučení redakce
- Útoky ransomwaru masivně vzrostly. Zde je návod, jak zůstat v bezpečí
- Hackeři bodují s ransomwarem, který útočí na své předchozí oběti
