במיוחד, חברת התקשורת הספרדית טלפוניקה הייתה קורבן, וכך גם בתי חולים ברחבי בריטניה. לפי ה"גרדיאן"., התקפות בריטניה פגעו לפחות ב-16 מתקנים של מערכת הבריאות הלאומית (NHS) ופגעו ישירות במערכות טכנולוגיית המידע (IT) המשמשות כדי להבטיח את בטיחות החולה.
סרטונים מומלצים
אווסט
תוכנת הכופר של WanaCryptOR, או WCry, מבוססת על פגיעות שזוהתה בפרוטוקול Windows Server Message Block ותוקנה ב- תיקון מרץ 2017 של מיקרוסופט ביום שלישי עדכוני אבטחה, מדווחת מעבדות קספרסקי. הגרסה הראשונה של WCry זוהתה בפברואר ומאז תורגמה ל-28 שפות שונות.
מיקרוסופט הגיבה למתקפה עם פוסט בלוג משלה של Windows Security, שם הוא חיזק את ההודעה לפיה מחשבי Windows תומכים כעת המריצים את תיקוני האבטחה העדכניים ביותר בטוחים מפני תוכנות זדוניות. בנוסף, Windows Defenders כבר עודכן כדי לספק הגנה בזמן אמת.
"ב-12 במאי 2017 זיהינו תוכנת כופר חדשה שמתפשטת כמו תולעת על ידי מינוף נקודות תורפה שתוקנו בעבר", החל סיכום המתקפה של מיקרוסופט. "בעוד שעדכוני אבטחה מיושמים אוטומטית ברוב המחשבים, חלק מהמשתמשים והארגונים עשויים לעכב את פריסת התיקונים. למרבה הצער, נראה שהתוכנה הזדונית, המכונה WannaCrypt, השפיעה על מחשבים שלא החלו את התיקון עבור פגיעויות אלה. בזמן שההתקפה מתגלגלת, אנו מזכירים למשתמשים להתקין את MS17-010 אם הם עדיין לא עשו זאת."
ההצהרה המשיכה: "טלמטריה נגד תוכנות זדוניות של מיקרוסופט קלטה מיד סימנים של מסע פרסום זה. מערכות המומחים שלנו העניקו לנו נראות והקשר להתקפה החדשה הזו כפי שהתרחשה, ואפשרו ל-Windows Defender Antivirus לספק הגנה בזמן אמת. באמצעות ניתוח אוטומטי, למידת מכונה ומידול חזוי, הצלחנו להגן במהירות מפני תוכנה זדונית זו."
Avast עוד העלה השערה כי הניצול הבסיסי נגנב מקבוצת Equation, אשר על פי החשד קשורה ל-NSA, על ידי קבוצת האקרים שקוראת לעצמה ShadowBrokers. הניצול ידוע בשם ETERNALBLUE ונקרא MS17-010 על ידי מיקרוסופט.
כאשר התוכנה הזדונית פוגעת, היא משנה את שם הקבצים המושפעים כך שתכלול סיומת ".WNCRY" ומוסיפה "WANACRY!" סמן בתחילת כל קובץ. הוא גם מציב את פתק הכופר שלו בקובץ טקסט במחשב של הקורבן:
אווסט
לאחר מכן, תוכנת הכופר מציגה את הודעת הכופר שלה הדורשת בין 300 ל-$600 במטבע ביטקוין ומספקת הוראות כיצד לשלם ולאחר מכן לשחזר את הקבצים המוצפנים. השפה בהוראות הכופר היא סתמית בצורה מוזרה ונראית דומה למה שאפשר לקרוא בהצעה לרכישת מוצר באינטרנט. למעשה, למשתמשים יש שלושה ימים לשלם לפני שהכופר יוכפל ושבעה ימים לשלם לפני שהקבצים לא יהיו ניתנים להחזרה.
אווסט
מעניין לציין שהמתקפה הואטה או עלולה להפסיק על ידי "גיבור מקרי" פשוט על ידי רישום דומיין אינטרנט שקודד קשיח בקוד תוכנת הכופר. אם התחום הזה יגיב לבקשה מהתוכנה הזדונית, אז הוא יפסיק להדביק מערכות חדשות - שיפעל כמעין "מתג הרג" שבו פושעי הרשת יוכלו להשתמש כדי לכבות את המתקפה.
כפי ש מציין הגרדיאן, חוקר, הידוע רק בשם MalwareTech, רשם את הדומיין תמורת $10.69 לא היה מודע בזמן ה-kill switch, ואמר, "הייתי בחוץ אכל ארוחת צהריים עם חבר וחזרתי בערך בשעה 15:00. וראה זרם של כתבות חדשותיות על ה-NHS וארגונים שונים בבריטניה מכה. בדקתי את זה קצת ואז מצאתי דוגמה של תוכנות זדוניות מאחוריו, וראיתי שהיא מתחברת לדומיין מסוים, שלא היה רשום. אז הרמתי את זה בלי לדעת מה זה עשה באותו זמן".
MalwareTech רשם את הדומיין מטעם החברה שלו, העוקבת אחר רשתות בוטים, ובתחילה הם הואשמו ביוזמת המתקפה. "בתחילה מישהו דיווח בצורה לא נכונה שגרמנו לזיהום על ידי רישום הדומיין, אז הייתי מיני פריקאוט עד שהבנתי שזה בעצם הפוך והפסקנו את זה", אמרה MalwareTech ל- אַפּוֹטרוֹפּוֹס.
עם זאת, ככל הנראה זה לא יהיה סוף המתקפה, מכיוון שהתוקפים יוכלו לשנות את הקוד כדי להשמיט את מתג ההרוג. התיקון האמיתי היחיד הוא לוודא שהמכונות מתוקנות במלואן ומריצות את התוכנה הנכונה להגנה מפני תוכנות זדוניות. בעוד שמכונות Windows הן המטרות של המתקפה הספציפית הזו, MacOS הוכיחה פגיעות משלה ולכן משתמשים במערכת ההפעלה של אפל צריכים להקפיד לנקוט גם בצעדים המתאימים.
בחדשות הרבה יותר מבריקות, נראה כעת שיש כלי חדש שיכול לקבוע את מפתח ההצפנה המשמש את תוכנת הכופר במכונות מסוימות ומאפשר למשתמשים לשחזר את הנתונים שלהם. הכלי החדש, הנקרא Wanakiwi, דומה לכלי אחר, וואנקי, אבל הוא מציע ממשק פשוט יותר ויכול לתקן מכונות שמריצות גרסאות נוספות של Windows. כפי ש מדווחת Ars Technica, Wanakiwi משתמש בכמה טריקים כדי לשחזר את המספרים הראשוניים המשמשים ביצירת מפתח ההצפנה, בעצם על ידי משיכת המספרים הללו מ RAM אם המחשב הנגוע נשאר מופעל והנתונים עדיין לא הוחלפו. Wanawiki ממנפת כמה "חסרונות" בממשק תכנות היישומים הקריפטוגרפיים של מיקרוסופט ששימש את WannaCry ויישומים שונים אחרים ליצירת מפתחות הצפנה.
לדברי בנג'מין דלפי, שעזר בפיתוח Wanakiwi, הכלי נבדק מול מספר מכונות עם כוננים קשיחים מוצפנים והוא הצליח בפענוח כמה מהן. Windows Server 2003 ו-Windows 7 היו בין הגרסאות שנבדקו, ודלפי מניחה ש-Wanakiwi תעבוד גם עם גרסאות אחרות. כפי שמנסח זאת Delpy, משתמשים יכולים "פשוט להוריד את Wanakiwi, ואם ניתן לבנות את המפתח שוב, הוא מחלץ אותו, בונה אותו מחדש (טוב) ומתחיל פענוח של כל הקבצים בדיסק. בנוסף, המפתח שאני משיג יכול לשמש עם מפענח התוכנה הזדונית כדי לגרום לו לפענח קבצים כמו אם שילמת."
החיסרון הוא שלא Wanakiwi ולא Wannakey פועלים אם המחשב הנגוע הופעל מחדש או אם שטח הזיכרון שמכיל את המספרים הראשוניים כבר הוחלף. אז זה בהחלט כלי שצריך להוריד ולהחזיק במוכן. בשביל קצת שקט נפשי נוסף, יש לציין שחברת האבטחה Comae Technologies סייעה בפיתוח ובדיקת Wanakiwi ויכולה לאמת את יעילותה.
אתה יכול הורד את Wanakiwi כאן. פשוט שחרר את הדחיסה של האפליקציה והפעל אותה, ושימו לב ש-Windows 10 תתלונן שהאפליקציה היא תוכנית לא מוכרת ותצטרכו ללחוץ על "More info" כדי לאפשר לה לפעול.
מארק קופוק/טרנדים דיגיטליים
תוכנת כופר היא אחד מהסוגים הגרועים ביותר של תוכנות זדוניות, בכך שהיא תוקפת את המידע שלנו ונועלת אותו מאחורי הצפנה חזקה אלא אם כן נשלם כסף לתוקף בתמורה למפתח לפתיחתו. יש משהו אישי בתוכנת כופר שמבדיל אותה מהתקפות תוכנות זדוניות אקראיות שהופכות את המחשבים האישיים שלנו לבוטים חסרי פנים.
הדרך הטובה ביותר להגן מפני WCry היא לוודא שמחשב Windows שלך מעודכן במלואו עם העדכונים האחרונים. אם עקבת אחר לוח הזמנים של Microsoft Patch Tuesday והפעלת לפחות את Windows Defender, המכונות שלך כבר אמורות להיות מוגן - למרות שגיבוי לא מקוון של הקבצים החשובים ביותר שלך שלא ניתן לגעת בהם מתקפה כזו הוא צעד חשוב לקחת. בהמשך, אלו אלפי המכונות שטרם טופלו שימשיכו לסבול מהתקיפה הנרחבת המסוימת הזו.
עודכן ב-19-5-2017 על ידי Mark Coppock: מידע נוסף על כלי Wanakiwi.
המלצות עורכים
- התקפות כופר עלו באופן מסיבי. הנה איך לשמור על בטיחות
- האקרים מבקיעים באמצעות תוכנת כופר שתוקפת את הקורבנות הקודמים שלה
