Πιο συγκεκριμένα, η ισπανική εταιρεία τηλεπικοινωνιών Telefonica ήταν θύμα, όπως και τα νοσοκομεία σε όλο το Ηνωμένο Βασίλειο. Σύμφωνα με τον The Guardian, οι επιθέσεις στο Ηνωμένο Βασίλειο έπληξαν τουλάχιστον 16 εγκαταστάσεις του Εθνικού Συστήματος Υγείας (NHS) και έθεσαν άμεσα σε κίνδυνο τα συστήματα τεχνολογίας πληροφοριών (IT) που χρησιμοποιούνται για τη διασφάλιση της ασφάλειας των ασθενών.
Προτεινόμενα βίντεο
Avast
Το WanaCrypTOR ή WCry ransomware βασίζεται σε μια ευπάθεια που εντοπίστηκε στο πρωτόκολλο του Windows Server Message Block και επιδιορθώθηκε στο Ενημερωμένη έκδοση κώδικα Τρίτης Μαρτίου 2017 της Microsoft
ενημερώσεις ασφαλείας, αναφέρει η Kaspersky Labs. Η πρώτη έκδοση του WCry αναγνωρίστηκε τον Φεβρουάριο και έκτοτε έχει μεταφραστεί σε 28 διαφορετικές γλώσσες.Η Microsoft απάντησε στην επίθεση με τη δική του ανάρτηση ιστολογίου για την Ασφάλεια των Windows, όπου ενίσχυσε το μήνυμα ότι επί του παρόντος υποστηρίζεται ότι οι υπολογιστές Windows που εκτελούν τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας είναι ασφαλείς από το κακόβουλο λογισμικό. Επιπλέον, το Windows Defenders είχε ήδη ενημερωθεί για να παρέχει προστασία σε πραγματικό χρόνο.
«Στις 12 Μαΐου 2017 εντοπίσαμε ένα νέο ransomware που εξαπλώνεται σαν σκουλήκι αξιοποιώντας ευπάθειες που είχαν προηγουμένως διορθωθεί», ξεκίνησε η περίληψη της επίθεσης της Microsoft. «Ενώ οι ενημερώσεις ασφαλείας εφαρμόζονται αυτόματα στους περισσότερους υπολογιστές, ορισμένοι χρήστες και επιχειρήσεις ενδέχεται να καθυστερήσουν την ανάπτυξη των ενημερώσεων κώδικα. Δυστυχώς, το κακόβουλο λογισμικό, γνωστό ως WannaCrypt, φαίνεται να έχει επηρεάσει υπολογιστές που δεν έχουν εφαρμόσει την ενημερωμένη έκδοση κώδικα για αυτά τα τρωτά σημεία. Ενώ η επίθεση εκτυλίσσεται, υπενθυμίζουμε στους χρήστες να εγκαταστήσουν το MS17-010 εάν δεν το έχουν κάνει ήδη.»
Η δήλωση συνέχισε: «Η τηλεμετρία κατά του κακόβουλου λογισμικού της Microsoft πήρε αμέσως σημάδια αυτής της καμπάνιας. Τα έμπειρα συστήματά μας μας έδωσαν ορατότητα και πλαίσιο σε αυτήν τη νέα επίθεση όπως συνέβη, επιτρέποντας στο Windows Defender Antivirus να παρέχει άμυνα σε πραγματικό χρόνο. Μέσω της αυτοματοποιημένης ανάλυσης, της μηχανικής μάθησης και της προγνωστικής μοντελοποίησης, μπορέσαμε να προστατευτούμε γρήγορα από αυτό το κακόβουλο λογισμικό».
Η Avast υπέθεσε περαιτέρω ότι η υποκείμενη εκμετάλλευση είχε κλαπεί από την Equation Group, η οποία έχει υποπτευθεί ότι συνδέεται με την NSA, από μια ομάδα χάκερ που αποκαλείται ShadowBrokers. Το exploit είναι γνωστό ως ETERNALBLUE και ονομάζεται MS17-010 από τη Microsoft.
Όταν το κακόβουλο λογισμικό χτυπήσει, αλλάζει το όνομα των επηρεαζόμενων αρχείων ώστε να περιλαμβάνει μια επέκταση ".WNCRY" και προσθέτει ένα "WANACRY!" δείκτη στην αρχή κάθε αρχείου. Τοποθετεί επίσης το σημείωμα λύτρων σε ένα αρχείο κειμένου στον υπολογιστή του θύματος:
Avast
Στη συνέχεια, το ransomware εμφανίζει το μήνυμά του για λύτρα που απαιτεί μεταξύ 300 και 600 $ σε νόμισμα bitcoin και παρέχει οδηγίες για τον τρόπο πληρωμής και στη συνέχεια ανάκτησης των κρυπτογραφημένων αρχείων. Η γλώσσα στις οδηγίες για τα λύτρα είναι περιέργως απλή και μοιάζει παρόμοια με αυτή που θα μπορούσε να διαβάσει κανείς σε μια προσφορά για αγορά ενός προϊόντος στο διαδίκτυο. Στην πραγματικότητα, οι χρήστες έχουν τρεις ημέρες για να πληρώσουν πριν διπλασιαστούν τα λύτρα και επτά ημέρες για να πληρώσουν πριν τα αρχεία δεν θα είναι πλέον ανακτήσιμα.
Avast
Είναι ενδιαφέρον ότι η επίθεση επιβραδύνθηκε ή δυνητικά σταμάτησε από έναν «τυχαίο ήρωα» απλώς καταχωρώντας έναν τομέα ιστού που ήταν κωδικοποιημένος στον κώδικα ransomware. Εάν αυτός ο τομέας ανταποκρινόταν σε ένα αίτημα από το κακόβουλο λογισμικό, τότε θα σταματούσε να μολύνει νέα συστήματα - λειτουργώντας ως ένα είδος «διακόπτη εξόντωσης» που θα μπορούσαν να χρησιμοποιήσουν οι εγκληματίες του κυβερνοχώρου για να τερματίσουν την επίθεση.
Οπως και Τονίζει ο Guardian, ο ερευνητής, γνωστός μόνο ως MalwareTech, που κατοχύρωσε τον τομέα για 10,69 $ δεν γνώριζε τη στιγμή του διακόπτη kill, λέγοντας: «Ήμουν έξω γευματίσαμε με έναν φίλο και επέστρεψα περίπου στις 3 μ.μ. και είδε μια εισροή ειδήσεων σχετικά με το NHS και διάφορους οργανισμούς του Ηνωμένου Βασιλείου Κτύπημα. Το έψαξα λίγο και μετά βρήκα ένα δείγμα του κακόβουλου λογισμικού πίσω από αυτό και είδα ότι συνδεόταν σε έναν συγκεκριμένο τομέα, ο οποίος δεν ήταν καταχωρημένος. Οπότε το σήκωσα χωρίς να ξέρω τι έκανε εκείνη τη στιγμή».
Ο MalwareTech κατοχύρωσε τον τομέα για λογαριασμό της εταιρείας του, η οποία παρακολουθεί τα botnets, και αρχικά κατηγορήθηκαν για την έναρξη της επίθεσης. «Αρχικά κάποιος είχε αναφέρει με λάθος τρόπο ότι είχαμε προκαλέσει τη μόλυνση κατοχυρώνοντας τον τομέα, οπότε το έκανα ένα μίνι ξέφρενο μέχρι που συνειδητοποίησα ότι ήταν στην πραγματικότητα το αντίθετο και το είχαμε σταματήσει», είπε η MalwareTech στο The Κηδεμόνας.
Αυτό πιθανότατα δεν θα είναι το τέλος της επίθεσης, ωστόσο, καθώς οι επιτιθέμενοι μπορεί να είναι σε θέση να αλλάξουν τον κωδικό για να παραλείψουν το διακόπτη kill. Η μόνη πραγματική λύση είναι να βεβαιωθείτε ότι τα μηχανήματα έχουν επιδιορθωθεί πλήρως και εκτελούν το σωστό λογισμικό προστασίας από κακόβουλο λογισμικό. Ενώ οι μηχανές Windows είναι οι στόχοι αυτής της συγκεκριμένης επίθεσης, Το MacOS έχει αποδείξει τη δική του ευπάθεια και έτσι οι χρήστες του λειτουργικού συστήματος της Apple θα πρέπει να φροντίσουν να κάνουν και τα κατάλληλα βήματα.
Σε πολύ πιο φωτεινά νέα, φαίνεται τώρα ότι υπάρχει ένα νέο εργαλείο που μπορεί να προσδιορίσει το κλειδί κρυπτογράφησης που χρησιμοποιείται από το ransomware σε ορισμένα μηχανήματα που επιτρέπει στους χρήστες να ανακτήσουν τα δεδομένα τους. Το νέο εργαλείο, που ονομάζεται Wanakiwi, είναι παρόμοιο με ένα άλλο εργαλείο, Wannakey, αλλά προσφέρει μια απλούστερη διεπαφή και μπορεί ενδεχομένως να διορθώσει μηχανήματα που εκτελούν περισσότερες εκδόσεις των Windows. Οπως και αναφέρει η Ars Technica, Ο Wanakiwi χρησιμοποιεί μερικά κόλπα για να ανακτήσει τους πρώτους αριθμούς που χρησιμοποιήθηκαν για τη δημιουργία του κλειδιού κρυπτογράφησης, βασικά τραβώντας αυτούς τους αριθμούς από ΕΜΒΟΛΟ εάν το μολυσμένο μηχάνημα παραμένει ενεργοποιημένο και τα δεδομένα δεν έχουν ήδη αντικατασταθεί. Το Wanawiki αξιοποιεί ορισμένες «ελλείψεις» στη διεπαφή προγραμματισμού της εφαρμογής Microsoft Cryptographic που χρησιμοποιήθηκε από το WannaCry και διάφορες άλλες εφαρμογές για τη δημιουργία κλειδιών κρυπτογράφησης.
Σύμφωνα με τον Benjamin Delpy, ο οποίος βοήθησε στην ανάπτυξη του Wanakiwi, το εργαλείο δοκιμάστηκε σε μια σειρά μηχανημάτων με κρυπτογραφημένους σκληρούς δίσκους και ήταν επιτυχής στην αποκρυπτογράφηση αρκετών από αυτούς. Ο Windows Server 2003 και τα Windows 7 ήταν μεταξύ των εκδόσεων που δοκιμάστηκαν και η Delpy υποθέτει ότι το Wanakiwi θα λειτουργήσει και με άλλες εκδόσεις. Όπως το θέτει η Delpy, οι χρήστες μπορούν «απλώς να κατεβάσουν το Wanakiwi και εάν το κλειδί μπορεί να κατασκευαστεί ξανά, το εξάγει, το ανακατασκευάζει (καλό) και ξεκινά την αποκρυπτογράφηση όλων των αρχείων στο δίσκο. Ως μπόνους, το κλειδί που λαμβάνω μπορεί να χρησιμοποιηθεί με τον αποκρυπτογραφητή κακόβουλου λογισμικού για να αποκρυπτογραφήσει τα αρχεία όπως αν πληρώσατε."
Το μειονέκτημα είναι ότι ούτε το Wanakiwi ούτε το Wannakey λειτουργούν εάν ο μολυσμένος υπολογιστής έχει επανεκκινηθεί ή εάν ο χώρος μνήμης που περιέχει τους πρώτους αριθμούς έχει ήδη αντικατασταθεί. Επομένως, είναι σίγουρα ένα εργαλείο που πρέπει να κατεβάσετε και να το κρατήσετε έτοιμο. Για περισσότερη ησυχία, θα πρέπει να σημειωθεί ότι η εταιρεία ασφαλείας Comae Technologies βοήθησε στην ανάπτυξη και τη δοκιμή του Wanakiwi και μπορεί να επαληθεύσει την αποτελεσματικότητά του.
Μπορείς κατεβάστε το Wanakiwi εδώ. Απλώς αποσυμπιέστε την εφαρμογή και εκτελέστε την και σημειώστε ότι τα Windows 10 θα παραπονεθούν ότι η εφαρμογή είναι ένα άγνωστο πρόγραμμα και θα χρειαστεί να πατήσετε "Περισσότερες πληροφορίες" για να της επιτρέψετε να εκτελεστεί.
Mark Coppock/Digital Trends
Το Ransomware είναι ένα από τα χειρότερα είδη κακόβουλου λογισμικού, καθώς επιτίθεται στις πληροφορίες μας και τις κλειδώνει πίσω από ισχυρή κρυπτογράφηση, εκτός εάν πληρώσουμε χρήματα στον εισβολέα σε αντάλλαγμα για ένα κλειδί για να το ξεκλειδώσει. Υπάρχει κάτι προσωπικό σχετικά με το ransomware που το κάνει διαφορετικό από τις τυχαίες επιθέσεις κακόβουλου λογισμικού που μετατρέπουν τους υπολογιστές μας σε απρόσωπα ρομπότ.
Ο μοναδικός καλύτερος τρόπος προστασίας από το WCry είναι να βεβαιωθείτε ότι ο υπολογιστής σας με Windows είναι πλήρως ενημερωμένος με τις πιο πρόσφατες ενημερώσεις. Εάν ακολουθείτε το πρόγραμμα ενημέρωσης κώδικα της Microsoft για την Τρίτη και εκτελείτε τουλάχιστον το Windows Defender, τότε οι μηχανές σας θα πρέπει να είναι ήδη προστατευμένο — αν και η δημιουργία αντιγράφων ασφαλείας εκτός σύνδεσης των πιο σημαντικών αρχείων σας που δεν μπορεί να αγγίξει μια τέτοια επίθεση είναι ένα σημαντικό βήμα για παίρνω. Στο μέλλον, είναι τα χιλιάδες μηχανήματα που δεν έχουν ακόμη επιδιορθωθεί και θα συνεχίσουν να υποφέρουν από αυτή τη συγκεκριμένη εκτεταμένη επίθεση.
Ενημερώθηκε στις 19-5-2017 από τον Mark Coppock: Προστέθηκαν πληροφορίες για το εργαλείο Wanakiwi.
Συστάσεις των συντακτών
- Οι επιθέσεις ransomware έχουν εκτοξευτεί μαζικά. Δείτε πώς να παραμείνετε ασφαλείς
- Οι χάκερ σκοράρουν με ransomware που επιτίθεται στα προηγούμενα θύματά του
