A hatalmas zsarolóvírus-támadás több mint 126 000 áldozatot sújt világszerte, és hegymászók

Közeli kép egy laptop billentyűzetén egy sötét szobában.
Dmitrij Tiscsenko/123RF
2017. május 12-én, pénteken az Avast kiberbiztonsági cég egy hatalmas ransomware támadásról számolt be, amelynek több mint 75 000 áldozata volt 99 országban, és szombat délutánra 104 országban 126 000 fölé emelkedett. Míg a legtöbb célpont Oroszországban, Ukrajnában és Tajvanon volt, más áldozatokat Európában azonosítottak.

Leginkább a Telefonica spanyol távközlési vállalat esett áldozatul, csakúgy, mint az Egyesült Királyság kórházai. A The Guardian szerint, az Egyesült Királyság támadásai legalább 16 Nemzeti Egészségügyi Rendszer (NHS) létesítményt értek, és közvetlenül veszélyeztették a betegek biztonságát szolgáló információtechnológiai (IT) rendszereket.

Ajánlott videók

Avast

Avast

A WanaCryptOR vagy WCry zsarolóprogram egy sérülékenységen alapul, amelyet a Windows Server Message Block protokollban azonosítottak, és amelyet A Microsoft 2017. márciusi javítási keddi verziója biztonsági frissítések, jelenti a Kaspersky Labs. A WCry első verzióját februárban azonosították, és azóta 28 különböző nyelvre fordították le.

A Microsoft válaszolt a támadásra saját Windows Security blogbejegyzésével, ahol megerősítette azt az üzenetet, hogy a jelenleg támogatott Windows PC-k, amelyek a legújabb biztonsági javításokat futtatják, biztonságban vannak a kártevőkkel szemben. Ezenkívül a Windows Defenders már frissítve volt, hogy valós idejű védelmet biztosítson.

„2017. május 12-én egy új zsarolóprogramot észleltünk, amely féregszerűen terjed a korábban kijavított sebezhetőségek kihasználásával” – kezdte a Microsoft összefoglalóját a támadásról. „Bár a legtöbb számítógépen automatikusan alkalmazzák a biztonsági frissítéseket, egyes felhasználók és vállalatok késleltethetik a javítások telepítését. Sajnos úgy tűnik, hogy a WannaCrypt néven ismert rosszindulatú program olyan számítógépeket érintett, amelyek nem alkalmazták a javítást ezekhez a sebezhetőségekhez. Amíg a támadás kibontakozik, emlékeztetjük a felhasználókat, hogy telepítsék az MS17-010-et, ha még nem tették meg."

A nyilatkozat így folytatódott: „A Microsoft kártevőirtó telemetriája azonnal észlelte ennek a kampánynak a jeleit. Szakértői rendszereink láthatóvá és kontextusba helyezték ezt az új támadást, így a Windows Defender Antivirus valós idejű védelmet nyújtott. Az automatizált elemzés, a gépi tanulás és a prediktív modellezés révén gyorsan meg tudtunk védekezni ez ellen a rosszindulatú program ellen.”

Az Avast továbbá azt feltételezte, hogy a mögöttes kizsákmányolást az NSA-val gyanúsított Equation Group-tól lopta el egy magát ShadowBrokersnek nevezett hackercsoport. Az exploit ETERNALBLUE néven ismert, a Microsoft pedig MS17-010-nek nevezte el.

Amikor a rosszindulatú program támad, megváltoztatja az érintett fájlok nevét, hogy „.WNCRY” kiterjesztést tartalmazzon, és hozzáad egy „WANACRY!” kiterjesztést. jelölőt minden fájl elején. A váltságdíj-jegyzetet egy szöveges fájlba is helyezi az áldozat gépén:

Avast

Avast

Ezután a ransomware megjeleníti a váltságdíj üzenetét, amely 300 és 600 dollár közötti bitcoin valutát követel, és utasításokat ad a titkosított fájlok fizetésére, majd visszaállítására vonatkozóan. A váltságdíjra vonatkozó utasítások nyelve furcsán hétköznapi, és hasonlónak tűnik ahhoz, amit egy termék online vásárlására vonatkozó ajánlatban olvashatunk. Valójában a felhasználóknak három napjuk van fizetniük, mielőtt a váltságdíj megduplázódik, és hét napjuk van, mielőtt a fájlok többé nem lesznek visszanyerhetőek.

Avast

Avast

Érdekes módon a támadást lelassította vagy potenciálisan leállította egy „véletlen hős”, egyszerűen egy webdomain regisztrálásával, amelyet a ransomware kódba keményen kódoltak. Ha ez a tartomány válaszolna a kártevő kérésére, akkor leállítaná az új rendszerek megfertőzését – egyfajta „kill-kapcsolóként” működne, amellyel a kiberbűnözők leállíthatják a támadást.

Mint A Guardian rámutat, a csak MalwareTech néven ismert kutató, aki 10,69 dollárért regisztrálta a domaint, nem tudott a kill switch idején, és azt mondta: „Kikerültem egy barátommal ebédelt, és 15 óra körül ért vissza. és özönlöttek az NHS-ről és az egyesült királyságbeli szervezetekről szóló hírek találat. Kicsit utánanéztem ennek, majd megtaláltam a mögötte lévő rosszindulatú program mintáját, és láttam, hogy egy adott domainhez csatlakozik, amely nem volt regisztrálva. Így hát úgy vettem fel, hogy nem tudtam, mit csinált akkoriban.”

A MalwareTech a botneteket nyomon követő cége nevében regisztrálta a domaint, és először a támadás kezdeményezésével vádolták őket. „Kezdetben valaki rossz irányba jelentette, hogy mi okoztuk a fertőzést a domain regisztrációjával, így én is így tettem egy mini őrület, amíg rá nem jöttem, hogy ez fordítva van, és megállítottuk” – mondta a MalwareTech Gyám.

Ezzel azonban valószínűleg még nem ér véget a támadás, mivel a támadók esetleg módosíthatják a kódot, hogy kihagyják a kill kapcsolót. Az egyetlen igazi megoldás az, hogy megbizonyosodjunk arról, hogy a gépek teljesen ki vannak javítva, és a megfelelő kártevő-védelmi szoftvert futtatják. Míg a Windows gépek a célpontjai ennek a konkrét támadásnak, A MacOS megmutatta saját sebezhetőségét ezért az Apple operációs rendszer felhasználóinak is meg kell tenniük a megfelelő lépéseket.

Sokkal fényesebb hírként most úgy tűnik, hogy van egy új eszköz, amely képes meghatározni a ransomware által egyes gépeken használt titkosítási kulcsot, amely lehetővé teszi a felhasználók számára az adatok helyreállítását. Az új Wanakiwi eszköz hasonló egy másik eszközhöz, Wannakey, de egyszerűbb felületet kínál, és potenciálisan javíthatja a Windows több verzióját futtató gépeket. Mint Az Ars Technica jelenti, Wanakiwi néhány trükköt alkalmaz a titkosítási kulcs létrehozásához használt prímszámok helyreállítására, alapvetően úgy, hogy ezeket a számokat a RAM ha a fertőzött gép bekapcsolva marad, és az adatok még nem lettek felülírva. A Wanawiki kihasználja a Microsoft Cryptographic alkalmazásprogramozási felületének néhány „hiányosságát”, amelyet a WannaCry és számos más alkalmazás használt titkosítási kulcsok létrehozására.

Benjamin Delpy szerint, aki a Wanakiwi fejlesztésében segédkezett, az eszközt számos titkosított merevlemezzel rendelkező gépen tesztelték, és ezek közül többet sikerült visszafejteni. A Windows Server 2003 és a Windows 7 a tesztelt verziók között szerepelt, és a Delpy feltételezi, hogy a Wanakiwi más verziókkal is működni fog. Ahogy Delpy fogalmaz, a felhasználók „csak letölthetik a Wanakiwi-t, és ha a kulcs újra összeállítható, kibontja, rekonstruálja (jó), és megkezdi a lemezen lévő összes fájl visszafejtését. Bónuszként a megszerzett kulcs felhasználható a rosszindulatú programok visszafejtőjével, hogy visszafejtse a fájlokat, mintha fizetne.”

Hátránya, hogy sem a Wanakiwi, sem a Wannakey nem működik, ha a fertőzött számítógépet újraindították, vagy ha a prímszámokat tartalmazó memória már felül lett írva. Tehát ez egy olyan eszköz, amelyet le kell tölteni és készenlétben kell tartani. A nyugalom érdekében meg kell jegyezni, hogy a Comae Technologies biztonsági cég segített a Wanakiwi fejlesztésében és tesztelésében, és ellenőrizni tudta annak hatékonyságát.

tudsz töltse le a Wanakiwi-t innen. Csak csomagolja ki az alkalmazást, futtassa, és vegye figyelembe, hogy a Windows 10 panaszkodni fog, hogy az alkalmazás egy ismeretlen program, és meg kell nyomnia a „További információ” gombot a futtatáshoz.

Mark Coppock/Digitális trendek

Mark Coppock/Digitális trendek

A zsarolóprogramok a rosszindulatú programok egyik legrosszabb fajtája, mivel megtámadják az információinkat, és erős titkosítás mögé zárják azokat, hacsak nem fizetünk pénzt a támadónak a feloldó kulcsért cserébe. Van valami személyes a ransomware-ben, ami különbözteti meg a véletlenszerű rosszindulatú támadásoktól, amelyek a számítógépünket arctalan robotokká változtatják.

A WCry elleni védekezés egyetlen legjobb módja az, ha megbizonyosodik arról, hogy Windows PC-je a legújabb frissítésekkel rendelkezik. Ha követte a Microsoft javítási keddi ütemezését, és legalább Windows Defendert futtatott, akkor a gépeinek már védett – bár fontos lépés, hogy offline biztonsági másolatot készítsen a legfontosabb fájlokról, amelyeket egy ilyen támadás nem érinthet vesz. Továbbmenve, a még nem foltozott gépek ezrei fognak továbbra is szenvedni ettől a széles körben elterjedt támadástól.

Frissítve 2017. 5. 19-én Mark Coppock által: Hozzáadott információk a Wanakiwi eszközről.

Szerkesztői ajánlások

  • A ransomware támadások nagymértékben megugrottak. Így maradhat biztonságban
  • A hackerek olyan zsarolóprogramokkal szereznek pontot, amelyek megtámadják korábbi áldozatait