Eelkõige langes ohvriks Hispaania telekommunikatsiooniettevõte Telefonica, nagu ka haiglad kogu Ühendkuningriigis. The Guardiani andmetelÜhendkuningriigi rünnakud tabasid vähemalt 16 riikliku tervishoiusüsteemi (NHS) asutust ja kahjustasid otseselt patsientide ohutuse tagamiseks kasutatavaid infotehnoloogiasüsteeme.
Soovitatavad videod
Avast
WanaCryptOR ehk WCry lunavara põhineb haavatavusel, mis tuvastati Windows Serveri sõnumiploki protokollis ja mis parandati Microsofti märtsi 2017 plaastri teisipäev turvavärskendused, teatab Kaspersky Labs. WCry esimene versioon tuvastati veebruaris ja sellest ajast alates on see tõlgitud 28 erinevasse keelde.
Microsoft on vastanud
rünnakule oma Windowsi turvalisuse ajaveebi postitusega, kus see kinnitas sõnumit, et praegu toetatud Windowsi arvutid, millel on uusimad turvapaigad, on pahavara eest kaitstud. Lisaks oli Windows Defenders juba värskendatud, et pakkuda reaalajas kaitset."12. mail 2017 tuvastasime uue lunavara, mis levib nagu uss, kasutades ära varem parandatud turvaauke," alustas Microsofti rünnaku kokkuvõte. "Kuigi turvavärskendused rakendatakse enamikus arvutites automaatselt, võivad mõned kasutajad ja ettevõtted paikade juurutamist edasi lükata. Kahjuks näib, et pahavara, mida tuntakse nimega WannaCrypt, on mõjutanud arvuteid, mis pole nende haavatavuste jaoks plaastrit rakendanud. Kui rünnak areneb, tuletame kasutajatele meelde, et nad installiksid MS17-010, kui nad pole seda veel teinud.
Avaldus jätkus: "Microsofti pahavaratõrje telemeetria tuvastas kohe selle kampaania märgid. Meie ekspertsüsteemid andsid meile selle uue rünnaku nähtavuse ja konteksti nii, nagu see juhtus, võimaldades Windows Defender Antivirus pakkuda reaalajas kaitset. Automatiseeritud analüüsi, masinõppe ja ennustava modelleerimise abil suutsime selle pahavara eest kiiresti kaitsta.
Lisaks spekuleeris Avast, et selle aluseks oleva ärakasutamise varastas häkkerirühmitus, kes nimetas end ShadowBrokersiks, Equation Groupilt, mida kahtlustatakse seotuses NSA-ga. Kasutamine on tuntud kui ETERNALBLUE ja Microsofti poolt MS17-010.
Kui pahavara tabab, muudab see mõjutatud failide nime, et lisada laiend ".WNCRY" ja lisatakse "WANACRY!" marker iga faili alguses. Samuti asetab see oma lunaraha tekstifaili ohvri masinasse:
Avast
Seejärel kuvab lunavara oma lunarahasõnumi, mis nõuab 300–600 dollarit bitcoini valuutas ning annab juhiseid maksmiseks ja krüptitud failide taastamiseks. Lunarahajuhiste keel on kummaliselt juhuslik ja tundub sarnane sellega, mida võiks lugeda veebist toote ostmise pakkumisest. Tegelikult on kasutajatel aega kolm päeva maksta, enne kui lunaraha kahekordistub, ja seitse päeva, enne kui faile enam ei tagastata.
Avast
Huvitav on see, et ründe aeglustas või potentsiaalselt peatas "juhuslik kangelane" lihtsalt veebidomeeni registreerimisega, mis oli lunavara koodi sisse kodeeritud. Kui see domeen vastaks pahavara päringule, lõpetaks see uute süsteemide nakatamise – toimides omamoodi tapmislülitina, mida küberkurjategijad saaksid kasutada rünnaku väljalülitamiseks.
Nagu The Guardian juhib tähelepanu, teadlane, tuntud kui MalwareTech, registreeris domeeni 10,69 dollari eest, ei teadnud seda tapmise ajal, öeldes: "Ma olin väljas sõbraga lõunatamas ja jõudsin tagasi umbes kell 15.00. ja nägin uudisteartiklite sissevoolu NHSi ja erinevate Ühendkuningriigi organisatsioonide kohta tabas. Uurisin seda veidi ja leidsin selle taga oleva pahavara näidise ja nägin, et see ühendub konkreetse domeeniga, mis ei olnud registreeritud. Nii et ma võtsin selle kätte, teadmata, mida see tol ajal tegi.
MalwareTech registreeris domeeni oma ettevõtte nimel, mis jälgib botnette ja algul süüdistati neid rünnaku algatamises. "Alguses oli keegi valesti teatanud, et oleme domeeni registreerimisega nakatumise põhjustanud, nii ma tegingi väike veidrus, kuni sain aru, et tegelikult oli vastupidi ja me olime selle peatanud,” rääkis MalwareTech Hooldaja.
Tõenäoliselt ei ole see aga rünnaku lõpp, kuna ründajad võivad koodi muuta, et tapmislüliti välja jätta. Ainus tõeline lahendus on veenduda, et masinad on täielikult paigatud ja kasutaksid õiget pahavarakaitsetarkvara. Kuigi Windowsi masinad on selle konkreetse rünnaku sihtmärgid, MacOS on näidanud oma haavatavust ja seetõttu peaksid Apple'i OS-i kasutajad kindlasti tegema ka asjakohaseid samme.
Palju helgemate uudiste puhul näib nüüd, et on olemas uus tööriist, mis suudab määrata lunavara poolt mõnes masinas kasutatava krüpteerimisvõtme, mis võimaldab kasutajatel oma andmeid taastada. Uus tööriist nimega Wanakiwi sarnaneb teise tööriistaga, Wannakey, kuid see pakub lihtsamat liidest ja võib potentsiaalselt parandada masinaid, mis töötavad rohkem Windowsi versioone. Nagu Ars Technica teatab, kasutab Wanakiwi mõningaid nippe, et taastada krüpteerimisvõtme loomisel kasutatud algarvud, põhimõtteliselt tõmmates need numbrid RAM kui nakatunud masin jääb sisselülitatuks ja andmeid pole juba üle kirjutatud. Wanawiki kasutab mõningaid "puudujääke" Microsofti krüptograafilise rakenduste programmeerimisliideses, mida WannaCry ja mitmed muud rakendused kasutasid krüpteerimisvõtmete loomiseks.
Wanakiwi arendamisel aidanud Benjamin Delpy sõnul testiti tööriista paljude krüptitud kõvaketastega masinate vastu ja see õnnestus mitme neist dekrüpteerimisel. Windows Server 2003 ja Windows 7 olid testitud versioonide hulgas ning Delpy eeldab, et Wanakiwi töötab ka teiste versioonidega. Nagu Delpy ütleb, saavad kasutajad lihtsalt Wanakiwi alla laadida ja kui võtme saab uuesti konstrueerida, ekstraheerib see selle, rekonstrueerib selle (hea) ja alustab kõigi kettal olevate failide dekrüpteerimist. Boonusena saab hangitud võtit kasutada pahavara dekrüpteerijaga, et muuta see failide dekrüpteerimiseks, nagu oleksite maksnud.
Negatiivne külg on see, et Wanakiwi ega Wannakey ei tööta, kui nakatunud arvuti on taaskäivitatud või kui algnumbreid sisaldav mäluruum on juba üle kirjutatud. Seega on see kindlasti tööriist, mis tuleks alla laadida ja valmisolekus hoida. Meelerahu huvides tuleb märkida, et turvafirma Comae Technologies aitas Wanakiwi arendamisel ja testimisel kontrollida ning kontrollida selle tõhusust.
Sa saad laadige Wanakiwi alla siit. Lihtsalt pakkige rakendus lahti ja käivitage see ning pange tähele, et Windows 10 kaebab, et rakendus on tundmatu programm ja selle käivitamiseks peate vajutama "Lisateavet".
Mark Coppock/Digitaalsed trendid
Lunavara on üks hullemaid pahavara liike, kuna see ründab meie teavet ja lukustab selle tugeva krüptimise taha, välja arvatud juhul, kui me maksame ründajale raha selle avamise võtme eest. Lunavaras on midagi isiklikku, mis eristab selle juhuslikest pahavararünnakutest, mis muudavad meie arvutid näotuteks robotiteks.
Parim viis WCry eest kaitsmiseks on tagada, et teie Windowsi arvuti on uusimate värskendustega täielikult paigatud. Kui olete järginud Microsofti patch teisipäeva ajakava ja kasutanud vähemalt Windows Defenderit, peaksid teie masinad juba olema kaitstud – kuigi võrguühenduseta varukoopia oma kõige olulisematest failidest, mida selline rünnak ei saa puudutada, on oluline samm võta. Edaspidi kannatavad selle konkreetse laialt levinud rünnaku all jätkuvalt tuhanded masinad, mida pole veel paigatud.
Uuendas 19.5.2017 Mark Coppock: lisatud teave Wanakiwi tööriista kohta.
Toimetajate soovitused
- Lunavararünnakud on tohutult kasvanud. Siin on, kuidas end turvaliselt hoida
- Häkkerid löövad punkte lunavaraga, mis ründab selle eelmisi ohvreid
