Erityisesti espanjalainen televiestintäyritys Telefonica joutui uhriksi, samoin kuin sairaalat kaikkialla Yhdistyneessä kuningaskunnassa. The Guardianin mukaanIson-Britannian hyökkäykset osuivat ainakin 16:een National Health Systemin (NHS) laitokseen ja vaaransivat suoraan tietotekniikkajärjestelmät, joita käytetään potilasturvallisuuden varmistamiseen.
Suositellut videot
Avast
WanaCryptOR eli WCry, lunnasohjelma perustuu haavoittuvuuteen, joka tunnistettiin Windows Server Message Block -protokollassa ja joka korjattiin Microsoftin maaliskuun 2017 päivitystiistai tietoturvapäivitykset, raportoi Kaspersky Labs. WCryn ensimmäinen versio tunnistettiin helmikuussa, ja se on sittemmin käännetty 28 eri kielelle.
Microsoft on vastannut hyökkäykseen omalla Windows Security -blogikirjoituksellaan, jossa se vahvisti viestiä, että tällä hetkellä tuetut Windows-tietokoneet, joissa on uusimmat tietoturvakorjaukset, ovat turvassa haittaohjelmilta. Lisäksi Windows Defenders oli jo päivitetty tarjoamaan reaaliaikaista suojausta.
"Havaitsimme 12. toukokuuta 2017 uuden kiristysohjelman, joka leviää madon tavoin hyödyntämällä aiemmin korjattuja haavoittuvuuksia", Microsoftin yhteenveto hyökkäyksestä alkoi. "Vaikka tietoturvapäivitykset otetaan automaattisesti käyttöön useimmissa tietokoneissa, jotkut käyttäjät ja yritykset voivat viivästyttää korjaustiedostojen käyttöönottoa. Valitettavasti WannaCrypt-niminen haittaohjelma näyttää vaikuttaneen tietokoneisiin, jotka eivät ole asentaneet korjaustiedostoa näihin haavoittuvuuksiin. Hyökkäyksen edetessä muistutamme käyttäjiä asentamaan MS17-010, jos he eivät ole jo tehneet niin."
Lausunto jatkui: "Microsoftin haittaohjelmien torjuntaan liittyvä telemetria havaitsi välittömästi merkkejä tästä kampanjasta. Asiantuntijajärjestelmämme antoivat meille näkyvyyttä ja kontekstia tähän uuteen hyökkäykseen sellaisenaan, jolloin Windows Defender Antivirus pystyi tarjoamaan reaaliaikaista puolustusta. Automaattisen analyysin, koneoppimisen ja ennakoivan mallinnuksen avulla pystyimme nopeasti suojaamaan tätä haittaohjelmaa vastaan.
Avast spekuloi lisäksi, että ShadowBrokers-niminen hakkeriryhmä varasti taustalla olevan hyväksikäytön Equation Groupilta, jonka epäillään olevan sidoksissa NSA: han. Hyödyntäminen tunnetaan nimellä ETERNALBLUE ja Microsoftin nimeksi MS17-010.
Kun haittaohjelma iskee, se muuttaa vaikuttavien tiedostojen nimet sisältämään ".WNCRY" laajennuksen ja lisää "WANACRY!" merkki jokaisen tiedoston alussa. Se myös sijoittaa lunnaat tekstitiedostoon uhrin koneelle:
Avast
Tämän jälkeen lunnasohjelma näyttää lunastusviestinsä, joka vaatii 300–600 dollaria bitcoin-valuuttana ja antaa ohjeet kuinka maksaa ja sitten palauttaa salatut tiedostot. Lunnaita koskevien ohjeiden kieli on omituisen rento ja näyttää samalta kuin mitä voisi lukea tuotteen ostotarjouksesta verkossa. Itse asiassa käyttäjillä on kolme päivää maksaa ennen kuin lunnaat kaksinkertaistuvat ja seitsemän päivää maksaa ennen kuin tiedostoja ei enää voida palauttaa.
Avast
Mielenkiintoista on, että "vahingossa sattunut sankari" hidasti tai mahdollisesti pysäytti hyökkäyksen yksinkertaisesti rekisteröimällä verkkotunnuksen, joka oli kovakoodattu kiristysohjelmakoodiin. Jos tämä verkkotunnus vastaisi haittaohjelman pyyntöön, se lopettaisi uusien järjestelmien tartuttamisen – toimien eräänlaisena "tappauskytkimenä", jota kyberrikolliset voisivat käyttää hyökkäyksen katkaisemiseen.
Kuten The Guardian huomauttaa, tutkija, joka tunnetaan vain nimellä MalwareTech, rekisteröi verkkotunnuksen hintaan 10,69 dollaria, ei ollut tietoinen kill-kytkimen aikaan ja sanoi: "Olin poissa lounaalla ystävän kanssa ja palasin noin klo 15. ja näki tulvan uutisartikkeleita NHS: stä ja useista Yhdistyneen kuningaskunnan järjestöistä osuma. Tutkin asiaa hieman ja sitten löysin näytteen haittaohjelmista sen takana ja huomasin, että se oli yhteydessä tiettyyn verkkotunnukseen, jota ei ollut rekisteröity. Joten otin sen käsiini tietämättä mitä se teki tuolloin."
MalwareTech rekisteröi verkkotunnuksen yrityksensä puolesta, joka seuraa botnetteja, ja aluksi heitä syytettiin hyökkäyksen aloittamisesta. ”Aluksi joku oli ilmoittanut väärin päin, että olimme aiheuttaneet tartunnan rekisteröimällä verkkotunnuksen, niin minä tein pieni friikki, kunnes tajusin, että se oli itse asiassa päinvastoin ja olimme lopettaneet sen", MalwareTech kertoi The Suojelija.
Tämä ei kuitenkaan todennäköisesti ole hyökkäyksen loppu, koska hyökkääjät saattavat pystyä muuttamaan koodia jättämään tappokytkimen pois. Ainoa todellinen korjaus on varmistaa, että koneet on korjattu täysin ja että niissä on oikea haittaohjelmasuojausohjelmisto. Vaikka Windows-koneet ovat tämän hyökkäyksen kohteena, MacOS on osoittanut oman haavoittuvuutensa joten Applen käyttöjärjestelmän käyttäjien tulee myös varmistaa, että he ryhtyvät asianmukaisiin toimiin.
Paljon kirkkaammissa uutisissa nyt näyttää siltä, että on olemassa uusi työkalu, joka voi määrittää lunnasohjelman käyttämän salausavaimen joissakin koneissa, jotta käyttäjät voivat palauttaa tietonsa. Uusi Wanakiwi-työkalu on samanlainen kuin toinen työkalu, Wannakey, mutta se tarjoaa yksinkertaisemman käyttöliittymän ja voi mahdollisesti korjata koneet, joissa on useampia Windows-versioita. Kuten Ars Technica raportoiWanakiwi käyttää joitain temppuja salausavaimen luomisessa käytettyjen alkulukujen palauttamiseksi, periaatteessa vetämällä nuo luvut RAM jos tartunnan saanut kone pysyy päällä eikä tietoja ole jo kirjoitettu päälle. Wanawiki hyödyntää joitain "puutteita" Microsoft Cryptographic -sovellusohjelmointirajapinnassa, jota WannaCry ja monet muut sovellukset käyttivät salausavaimien luomiseen.
Wanakiwin kehittämisessä auttanut Benjamin Delpy kertoo, että työkalua testattiin useissa koneissa, joissa oli salatut kiintolevyt, ja se onnistui purkamaan useiden niistä. Windows Server 2003 ja Windows 7 olivat testattujen versioiden joukossa, ja Delpy olettaa, että Wanakiwi toimii myös muiden versioiden kanssa. Delpyn mukaan käyttäjät voivat vain ladata Wanakiwin, ja jos avain voidaan rakentaa uudelleen, se purkaa sen, rekonstruoi sen (hyvä) ja aloittaa kaikkien levyllä olevien tiedostojen salauksen purkamisen. Bonuksena saaneeni avainta voidaan käyttää haittaohjelmien salauksenpurkuohjelman kanssa tiedostojen salauksen purkamiseen, kuten jos maksaisit."
Huono puoli on, että Wanakiwi tai Wannakey eivät toimi, jos tartunnan saanut tietokone on käynnistetty uudelleen tai jos alkuluvut sisältävä muistitila on jo ylikirjoitettu. Joten se on ehdottomasti työkalu, joka tulisi ladata ja pitää valmiina. Mielenrauhan lisäämiseksi on huomattava, että tietoturvayritys Comae Technologies auttoi Wanakiwin kehittämisessä ja testaamisessa ja voi varmistaa sen tehokkuuden.
Sinä pystyt lataa Wanakiwi tästä. Pura vain sovellus ja suorita se. Huomaa, että Windows 10 valittaa, että sovellus on tuntematon ohjelma, ja sinun on napsautettava "Lisätietoja", jotta se voi toimia.
Mark Coppock/Digital Trends
Ransomware on yksi pahimmista haittaohjelmista siinä mielessä, että se hyökkää tietoihimme ja lukitsee ne vahvan salauksen taakse, ellemme maksa hyökkääjälle rahaa vastineeksi avaimesta sen avaamiseksi. Kiristysohjelmissa on jotain henkilökohtaista, mikä erottaa sen satunnaisista haittaohjelmahyökkäyksistä, jotka tekevät tietokoneistamme kasvottomia botteja.
Paras yksittäinen tapa suojautua WCry: ltä on varmistaa, että Windows-tietokoneesi on täysin päivitetty uusimmilla päivityksillä. Jos olet noudattanut Microsoftin Patch Tuesday -aikataulua ja käyttänyt vähintään Windows Defenderiä, koneesi pitäisi jo olla suojattu – vaikka offline-varmuuskopiointi tärkeimmistä tiedostoistasi, joihin tällainen hyökkäys ei voi koskea, on tärkeä askel ota. Jatkossa ne tuhannet koneet, joita ei ole vielä korjattu, kärsivät edelleen tästä laajasta hyökkäyksestä.
Päivitetty 19.5.2017 Mark Coppock: Lisätty tietoja Wanakiwi-työkalusta.
Toimittajien suositukset
- Ransomware-hyökkäykset ovat lisääntyneet valtavasti. Näin pysyt turvassa
- Hakkerit tekevät pisteitä lunnasohjelmilla, jotka hyökkäävät aiempia uhrejaan vastaan
