Mest bemærkelsesværdigt var det spanske teleselskab Telefonica et offer, ligesom hospitaler i hele Storbritannien. Ifølge The Guardian, de britiske angreb ramte mindst 16 National Health System (NHS) faciliteter og kompromitterede direkte de informationsteknologiske (IT) systemer, der bruges til at sikre patientsikkerheden.
Anbefalede videoer
Avast
WanaCryptOR, eller WCry, ransomware er baseret på en sårbarhed, der blev identificeret i Windows Server Message Block-protokollen og blev rettet i Microsofts marts 2017 patch tirsdag sikkerhedsopdateringer, rapporterer Kaspersky Labs. Den første version af WCry blev identificeret i februar og er siden blevet oversat til 28 forskellige sprog.
Microsoft har svaret til angrebet med sit eget Windows Security blogindlæg, hvor det forstærkede budskabet om, at de i øjeblikket understøttede Windows-pc'er, der kører de seneste sikkerhedsrettelser, er sikre mod malware. Derudover var Windows Defenders allerede blevet opdateret for at give realtidsbeskyttelse.
"Den 12. maj 2017 opdagede vi en ny ransomware, der spredes som en orm ved at udnytte sårbarheder, der tidligere er blevet rettet," begyndte Microsofts opsummering af angrebet. “Mens sikkerhedsopdateringer anvendes automatisk på de fleste computere, kan nogle brugere og virksomheder forsinke implementeringen af patches. Desværre ser malwaren, kendt som WannaCrypt, ud til at have påvirket computere, der ikke har anvendt patchen til disse sårbarheder. Mens angrebet udfolder sig, minder vi brugerne om at installere MS17-010, hvis de ikke allerede har gjort det."
Udtalelsen fortsatte: "Microsoft antimalware-telemetri fangede straks tegn på denne kampagne. Vores ekspertsystemer gav os synlighed og kontekst i dette nye angreb, mens det skete, hvilket gjorde det muligt for Windows Defender Antivirus at levere forsvar i realtid. Gennem automatiseret analyse, maskinlæring og prædiktiv modellering var vi i stand til hurtigt at beskytte mod denne malware."
Avast spekulerede yderligere i, at den underliggende udnyttelse blev stjålet fra Equation Group, som er blevet mistænkt for at være bundet til NSA, af en hackergruppe, der kalder sig ShadowBrokers. Udnyttelsen er kendt som ETERNALBLUE og hedder MS17-010 af Microsoft.
Når malwaren rammer, ændrer den navnet på de berørte filer til at inkludere en ".WNCRY"-udvidelse og tilføjer en "WANACRY!" markør i begyndelsen af hver fil. Den placerer også sin løsesumseddel i en tekstfil på ofrets maskine:
Avast
Derefter viser ransomware sin løsesum-besked, der kræver mellem $300 og $600 i bitcoin-valuta og giver instruktioner om, hvordan man betaler og derefter gendanner de krypterede filer. Sproget i løsesumsinstruktionerne er mærkeligt afslappet og ligner det, man kunne læse i et tilbud om at købe et produkt online. Faktisk har brugerne tre dage til at betale, før løsesummen fordobles, og syv dage til at betale, før filerne ikke længere kan inddrives.
Avast
Interessant nok blev angrebet bremset eller potentielt stoppet af en "utilsigtet helt" blot ved at registrere et webdomæne, der var hårdkodet i ransomware-koden. Hvis det domæne reagerede på en anmodning fra malwaren, ville det stoppe med at inficere nye systemer - fungere som en slags "kill switch", som de cyberkriminelle kunne bruge til at lukke angrebet fra.
Som Det påpeger The Guardian, forsker, kun kendt som MalwareTech, registrerede domænet for $10,69 var uvidende på tidspunktet for kill-switchen og sagde: "Jeg var ude spiste frokost med en ven og kom tilbage omkring kl. og så en strøm af nyhedsartikler om NHS og forskellige britiske organisationer hit. Jeg havde kigget lidt på det, og så fandt jeg en prøve af malwaren bag det, og så, at den oprettede forbindelse til et bestemt domæne, som ikke var registreret. Så jeg tog den op uden at vide, hvad den gjorde på det tidspunkt."
MalwareTech registrerede domænet på vegne af sit firma, som sporer botnets, og i første omgang blev de beskyldt for at indlede angrebet. “Oprindeligt havde nogen rapporteret den forkerte vej rundt om, at vi havde forårsaget infektionen ved at registrere domænet, så jeg havde et mini-freakout, indtil jeg indså, at det faktisk var omvendt, og vi havde stoppet det," fortalte MalwareTech The Værge.
Det vil sandsynligvis ikke være slutningen på angrebet, da angriberne muligvis kan ændre koden for at udelade kill-kontakten. Den eneste rigtige rettelse er at sikre, at maskinerne er fuldt patchede og kører den rigtige malwarebeskyttelsessoftware. Mens Windows-maskiner er målene for dette særlige angreb, MacOS har demonstreret sin egen sårbarhed og derfor bør brugere af Apples OS også sørge for at tage de passende skridt.
I meget lysere nyheder ser det nu ud til, at der er et nyt værktøj, der kan bestemme den krypteringsnøgle, der bruges af ransomwaren på nogle maskiner, og giver brugerne mulighed for at gendanne deres data. Det nye værktøj, kaldet Wanakiwi, ligner et andet værktøj, Wannakey, men det tilbyder en enklere grænseflade og kan potentielt reparere maskiner, der kører flere versioner af Windows. Som Det skriver Ars Technica, bruger Wanakiwi nogle tricks til at gendanne de primtal, der blev brugt til at oprette krypteringsnøglen, dybest set ved at trække disse tal fra vædder hvis den inficerede maskine forbliver tændt, og dataene ikke allerede er blevet overskrevet. Wanawiki udnytter nogle "mangler" i Microsoft Cryptographic applikationsprogrammeringsgrænsefladen, der blev brugt af WannaCry og forskellige andre applikationer til at skabe krypteringsnøgler.
Ifølge Benjamin Delpy, som var med til at udvikle Wanakiwi, blev værktøjet testet mod en række maskiner med krypterede harddiske, og det lykkedes med at dekryptere flere af dem. Windows Server 2003 og Windows 7 var blandt de testede versioner, og Delpy antager, at Wanakiwi også vil fungere med andre versioner. Som Delpy udtrykker det, kan brugere "bare downloade Wanakiwi, og hvis nøglen kan konstrueres igen, udpakker den den, rekonstruerer den (en god en), og starter dekryptering af alle filer på disken. Som bonus kan den nøgle, jeg får, bruges med malware-dekrypteringsprogrammet for at få det til at dekryptere filer, som hvis du betalte."
Ulempen er, at hverken Wanakiwi eller Wannakey virker, hvis den inficerede pc er blevet genstartet, eller hvis hukommelsespladsen med primtallene allerede er overskrevet. Så det er bestemt et værktøj, der bør downloades og holdes klar. For lidt ekstra ro i sindet skal det bemærkes, at sikkerhedsfirmaet Comae Technologies hjalp med at udvikle og teste Wanakiwi og kan verificere dets effektivitet.
Du kan download Wanakiwi her. Bare dekomprimer applikationen og kør den, og bemærk, at Windows 10 vil klage over, at applikationen er et ukendt program, og du bliver nødt til at trykke på "Mere info" for at tillade den at køre.
Mark Coppock/Digital Trends
Ransomware er en af de værste former for malware, idet den angriber vores information og låser den inde bag stærk kryptering, medmindre vi betaler penge til angriberen til gengæld for en nøgle til at låse den op. Der er noget personligt ved ransomware, der gør det anderledes end tilfældige malware-angreb, der gør vores pc'er til ansigtsløse bots.
Den bedste måde at beskytte sig mod WCry på er at sikre, at din Windows-pc er fuldt patchet med de seneste opdateringer. Hvis du har fulgt Microsofts Patch Tuesday-skema og kørt mindst Windows Defender, så burde dine maskiner allerede være beskyttet – selvom det er et vigtigt skridt at have en offline backup af dine vigtigste filer, der ikke kan røres ved et sådant angreb tage. Fremadrettet er det de tusindvis af maskiner, der endnu ikke er blevet lappet, som fortsat vil lide under dette særlige udbredte angreb.
Opdateret 5-19-2017 af Mark Coppock: Tilføjet information om Wanakiwi-værktøjet.
Redaktørernes anbefalinger
- Ransomware-angreb er steget massivt. Sådan forbliver du sikker
- Hackere scorer med ransomware, der angriber dets tidligere ofre
