Prije svega, španjolska telekomunikacijska kompanija Telefonica bila je žrtva, kao i bolnice diljem Ujedinjenog Kraljevstva. Prema The Guardianu, napadi u Ujedinjenom Kraljevstvu pogodili su najmanje 16 ustanova Nacionalnog zdravstvenog sustava (NHS) i izravno ugrozili sustave informacijske tehnologije (IT) koji se koriste za osiguranje sigurnosti pacijenata.
Preporučeni videozapisi
Avast
WanaCryptOR, ili WCry, ransomware temelji se na ranjivosti koja je identificirana u protokolu Windows Server Message Block i zakrpana je Microsoftova zakrpa za ožujak 2017. utorak sigurnosna ažuriranja, izvještava Kaspersky Labs. Prva verzija WCryja identificirana je u veljači i od tada je prevedena na 28 različitih jezika.
Microsoft je odgovorio napadu svojim postom na blogu o sigurnosti sustava Windows, gdje je pojačao poruku da su trenutno podržana Windows računala s najnovijim sigurnosnim zakrpama sigurna od zlonamjernog softvera. Osim toga, Windows Defenders već je ažuriran kako bi pružio zaštitu u stvarnom vremenu.
“Dana 12. svibnja 2017. otkrili smo novi ransomware koji se širi poput crva iskorištavanjem ranjivosti koje su prethodno popravljene”, započeo je Microsoftov sažetak napada. “Iako se sigurnosna ažuriranja automatski primjenjuju na većini računala, neki korisnici i poduzeća mogu odgoditi implementaciju zakrpa. Nažalost, čini se da je zlonamjerni softver, poznat kao WannaCrypt, zahvatio računala koja nisu primijenila zakrpu za ove ranjivosti. Dok se napad odvija, podsjećamo korisnike da instaliraju MS17-010 ako to već nisu učinili.”
U izjavi se nastavlja: “Microsoftova antimalware telemetrija odmah je otkrila znakove ove kampanje. Naši ekspertni sustavi dali su nam uvid i kontekst u ovom novom napadu kako se dogodio, omogućujući Windows Defender Antivirusu da pruži obranu u stvarnom vremenu. Automatiziranom analizom, strojnim učenjem i prediktivnim modeliranjem uspjeli smo se brzo zaštititi od ovog zlonamjernog softvera.”
Avast je dalje spekulirao da je temeljni exploit ukraden od Equation Groupa, za koji se sumnja da je povezan s NSA-om, od strane hakerske skupine koja sebe naziva ShadowBrokers. Eksploatacija je poznata kao ETERNALBLUE i Microsoft je nazvao MS17-010.
Kada se zlonamjerni softver pojavi, mijenja naziv pogođenih datoteka kako bi uključio ekstenziju ".WNCRY" i dodaje "WANACRY!" marker na početku svake datoteke. Također stavlja svoju poruku o otkupnini u tekstualnu datoteku na žrtvinom računalu:
Avast
Zatim, ransomware prikazuje svoju poruku o otkupnini koja zahtijeva između 300 i 600 dolara u bitcoin valuti i daje upute o tome kako platiti i zatim oporaviti šifrirane datoteke. Jezik u uputama za otkupninu neobično je ležeran i čini se sličnim onome što se može pročitati u ponudi za kupnju proizvoda na mreži. Zapravo, korisnici imaju tri dana za plaćanje prije nego što se otkupnina udvostruči i sedam dana za plaćanje prije nego što se datoteke više ne mogu vratiti.
Avast
Zanimljivo je da je napad usporio ili potencijalno zaustavio "slučajni heroj" jednostavno registracijom web domene koja je bila tvrdo kodirana u ransomware kodu. Kad bi ta domena odgovorila na zahtjev zlonamjernog softvera, tada bi prestala zaraziti nove sustave — djelujući kao neka vrsta "kill switcha" koji bi kibernetički kriminalci mogli koristiti za zaustavljanje napada.
Kao Ističe Guardian, istraživač, poznat samo kao MalwareTech, registrirao je domenu za 10,69 USD, nije bio svjestan u trenutku isključivanja, rekavši: "Bio sam vani ručao s prijateljem i vratio se oko 15 sati. i vidio priljev novinskih članaka o NHS-u i raznim britanskim organizacijama pogoditi. Malo sam to istražio, a onda sam pronašao uzorak zlonamjernog softvera iza njega i vidio da se povezuje na određenu domenu, koja nije bila registrirana. Pa sam ga uzeo ne znajući što je u tom trenutku učinio.”
MalwareTech je registrirao domenu u ime svoje tvrtke koja prati botnete, a isprva su ih optuživali za iniciranje napada. “U početku je netko krivo prijavio da smo mi izazvali infekciju registracijom domene, pa jesam malo ludilo dok nisam shvatio da je zapravo obrnuto i da smo to zaustavili,” rekao je MalwareTech za The Čuvar.
Međutim, to vjerojatno neće biti kraj napada jer bi napadači mogli promijeniti kod tako da izostave prekidač za isključivanje. Jedino pravo rješenje je provjeriti jesu li strojevi potpuno zakrpani i pokreću li odgovarajući softver za zaštitu od zlonamjernog softvera. Iako su Windows strojevi mete ovog posebnog napada, MacOS je pokazao vlastitu ranjivost stoga bi i korisnici Appleovog OS-a trebali poduzeti odgovarajuće korake.
U puno ljepšim vijestima, sada se čini da postoji novi alat koji može odrediti ključ za šifriranje koji koristi ransomware na nekim računalima i omogućuje korisnicima da povrate svoje podatke. Novi alat, nazvan Wanakiwi, sličan je drugom alatu, Wannakey, ali nudi jednostavnije sučelje i potencijalno može popraviti strojeve s više verzija sustava Windows. Kao Izvještava Ars Technica, Wanakiwi koristi neke trikove za vraćanje prostih brojeva korištenih u stvaranju ključa za šifriranje, u osnovi povlačenjem tih brojeva iz radna memorija ako zaraženi stroj ostane uključen i podaci nisu već prepisani. Wanawiki iskorištava neke "nedostatke" u programskom sučelju Microsoft Cryptographic aplikacije koje je koristio WannaCry i razne druge aplikacije za stvaranje ključeva za šifriranje.
Prema Benjaminu Delpyju, koji je pomogao u razvoju Wanakiwija, alat je testiran na velikom broju strojeva s kriptiranim tvrdim diskovima i bio je uspješan u dešifriranju nekoliko njih. Windows Server 2003 i Windows 7 bili su među testiranim verzijama, a Delpy pretpostavlja da će Wanakiwi raditi i s drugim verzijama. Kako kaže Delpy, korisnici mogu “samo preuzeti Wanakiwi, i ako se ključ može ponovno konstruirati, on ga izdvaja, rekonstruira (dobar) i započinje dešifriranje svih datoteka na disku. Dodatno, ključ koji dobijem može se upotrijebiti s dekriptorom zlonamjernog softvera kako bi dešifrirao datoteke kao da ste platili.”
Loša strana je što ni Wanakiwi ni Wannakey ne rade ako je zaraženo računalo ponovno pokrenuto ili ako je memorijski prostor koji sadrži primarne brojeve već prepisan. Dakle, to je definitivno alat koji treba preuzeti i držati spreman. Za dodatni mir, treba napomenuti da je zaštitarska tvrtka Comae Technologies pomogla u razvoju i testiranju Wanakiwija i može potvrditi njegovu učinkovitost.
Možeš preuzmite Wanakiwi ovdje. Samo dekomprimirajte aplikaciju i pokrenite je, i imajte na umu da će se Windows 10 žaliti da je aplikacija nepoznati program i morat ćete pritisnuti "Više informacija" da biste je pokrenuli.
Mark Coppock/Digitalni trendovi
Ransomware je jedna od najgorih vrsta zlonamjernog softvera, jer napada naše podatke i zaključava ih iza jake enkripcije osim ako ne platimo novac napadaču u zamjenu za ključ za otključavanje. Postoji nešto osobno u ransomwareu što ga čini drugačijim od nasumičnih napada zlonamjernim softverom koji naša računala pretvaraju u robote bez lica.
Jedini najbolji način da se zaštitite od WCry-ja je da provjerite je li vaše Windows računalo u potpunosti zakrpano s najnovijim ažuriranjima. Ako ste slijedili Microsoftov raspored Patch Tuesday i pokrenuli barem Windows Defender, tada bi vaša računala već trebala biti zaštićeno — iako je izvanmrežna sigurnosna kopija vaših najvažnijih datoteka koje se ne mogu dirati takvim napadom važan korak uzeti. Ubuduće, tisuće strojeva koji još nisu zakrpani i dalje će patiti od ovog raširenog napada.
Ažurirano 19. 5. 2017. Mark Coppock: Dodane informacije o alatu Wanakiwi.
Preporuke urednika
- Napadi ransomwarea su u velikom porastu. Evo kako se zaštititi
- Hakeri postižu rezultate s ransomwareom koji napada svoje prethodne žrtve
