მასიური გამოსასყიდი შეტევა მთელ მსოფლიოში 126 000-ზე მეტ მსხვერპლს მოჰყვა და ასვლა

ხელების ახლო ხედვა ლეპტოპის კლავიატურაზე ბნელ ოთახში.
დიმიტრი ტიშჩენკო/123RF
პარასკევს, 2017 წლის 12 მაისს, კიბერუსაფრთხოების ფირმა Avast იტყობინება მასიური გამოსასყიდი შეტევის შესახებ, რომელმაც 99 ქვეყანაში 75,000-ზე მეტი მსხვერპლი დაარტყა და შაბათის შუადღისთვის 126,000-მდე გაიზარდა 104 ქვეყანაში. მიუხედავად იმისა, რომ სამიზნეების უმეტესობა მდებარეობდა რუსეთში, უკრაინასა და ტაივანში, სხვა მსხვერპლი იდენტიფიცირებულია ევროპაში.

რაც მთავარია, მსხვერპლი გახდა ესპანური სატელეკომუნიკაციო კომპანია Telefonica, ისევე როგორც საავადმყოფოები მთელს გაერთიანებულ სამეფოში. The Guardian-ის ცნობით, გაერთიანებული სამეფოს თავდასხმებმა დაარტყა სულ მცირე 16 ჯანმრთელობის ეროვნული სისტემის (NHS) დაწესებულებას და პირდაპირ დააზარალა საინფორმაციო ტექნოლოგიების (IT) სისტემები, რომლებიც გამოიყენება პაციენტების უსაფრთხოების უზრუნველსაყოფად.

რეკომენდებული ვიდეოები

Avast

Avast

WanaCrypTOR, ან WCry, გამოსასყიდი პროგრამა ეფუძნება დაუცველობას, რომელიც იდენტიფიცირებული იყო Windows Server Message Block პროტოკოლში და დაყენებული იყო Microsoft-ის 2017 წლის მარტის პატჩი სამშაბათი უსაფრთხოების განახლებები,

იტყობინება Kaspersky Labs. WCry-ის პირველი ვერსია გამოვლინდა თებერვალში და მას შემდეგ ითარგმნა 28 სხვადასხვა ენაზე.

Microsoft-მა უპასუხა თავდასხმას საკუთარი Windows Security ბლოგის პოსტით, სადაც მან გააძლიერა შეტყობინება, რომ ამჟამად მხარს უჭერს Windows კომპიუტერებს, რომლებიც მუშაობენ უსაფრთხოების უახლესი პატჩებით, დაცულია მავნე პროგრამისგან. გარდა ამისა, Windows Defenders უკვე განახლებული იყო რეალურ დროში დაცვის უზრუნველსაყოფად.

„2017 წლის 12 მაისს ჩვენ აღმოვაჩინეთ ახალი გამოსასყიდი პროგრამა, რომელიც ჭიის მსგავსად ვრცელდება დაუცველობების გამოყენებით, რომლებიც ადრე გამოსწორდა“, - დაიწყო Microsoft-ის შეტევის შეჯამება. „მიუხედავად იმისა, რომ უსაფრთხოების განახლებები ავტომატურად გამოიყენება უმეტეს კომპიუტერებში, ზოგიერთმა მომხმარებელმა და საწარმომ შეიძლება გადადოს პატჩების განთავსება. სამწუხაროდ, მავნე პროგრამა, რომელიც ცნობილია როგორც WannaCrypt, როგორც ჩანს, შეეხო კომპიუტერებს, რომლებმაც არ გამოიყენეს პატჩი ამ მოწყვლადობისთვის. სანამ თავდასხმა ვითარდება, ჩვენ შევახსენებთ მომხმარებლებს, დააინსტალირონ MS17-010, თუ ეს უკვე არ გაუკეთებიათ.

განცხადებაში ნათქვამია: „Microsoft antimalware ტელემეტრიამ მაშინვე აღმოაჩინა ამ კამპანიის ნიშნები. ჩვენმა ექსპერტულმა სისტემებმა მოგვცეს ხილვადობა და კონტექსტი ამ ახალი შეტევის შესახებ, როგორც ეს მოხდა, რაც საშუალებას აძლევდა Windows Defender Antivirus-ს რეალურ დროში დაცვით. ავტომატური ანალიზის, მანქანათმცოდნეობის და პროგნოზირებადი მოდელირების მეშვეობით ჩვენ შევძელით სწრაფად დავიცვათ ამ მავნე პროგრამისგან.”

Avast-მა ასევე ივარაუდა, რომ ძირითადი ექსპლოიტი მოიპარა Equation Group-დან, რომელიც ეჭვმიტანილია NSA-სთან დაკავშირებაში, ჰაკერების ჯგუფის მიერ, რომელიც საკუთარ თავს ShadowBrokers-ს უწოდებს. ექსპლოიტი ცნობილია როგორც ETERNALBLUE და Microsoft-ის მიერ დასახელებულია MS17-010.

მავნე პროგრამული უზრუნველყოფის შეტევისას, ის ცვლის დაზარალებული ფაილების სახელს და მოიცავს „.WNCRY“ გაფართოებას და ამატებს „WANACRY!“-ს. მარკერი თითოეული ფაილის დასაწყისში. ის ასევე ათავსებს გამოსასყიდის ჩანაწერს მსხვერპლის აპარატის ტექსტურ ფაილში:

Avast

Avast

შემდეგ გამოსასყიდი აჩვენებს თავის გამოსასყიდ შეტყობინებას, რომელიც მოითხოვს $300-დან $600-მდე ბიტკოინის ვალუტაში და აწვდის ინსტრუქციას, თუ როგორ უნდა გადაიხადოთ და შემდეგ აღადგინოთ დაშიფრული ფაილები. გამოსასყიდის ინსტრუქციების ენა უცნაურად ჩვეულებრივია და ჰგავს იმას, რაც შეიძლება წაიკითხოთ შეთავაზებაში პროდუქტის ონლაინ შესაძენად. სინამდვილეში, მომხმარებლებს აქვთ სამი დღე გადაიხადონ გამოსასყიდის გაორმაგებამდე და შვიდი დღე გადაიხადონ, სანამ ფაილები აღარ იქნება აღდგენილი.

Avast

Avast

საინტერესოა, რომ შეტევა შეანელა ან პოტენციურად შეაჩერა "შემთხვევითი გმირის" მიერ უბრალოდ ვებ დომენის დარეგისტრირებით, რომელიც მყარი კოდირებული იყო გამოსასყიდის პროგრამის კოდში. თუ ეს დომენი უპასუხებდა მავნე პროგრამის მოთხოვნას, მაშინ ის შეწყვეტს ახალი სისტემების ინფიცირებას – იმოქმედებს როგორც ერთგვარი „მოკვლის გადამრთველი“, რომელიც მათ კიბერკრიმინალებს შეუძლიათ გამოიყენონ თავდასხმის გასათიშად.

როგორც Guardian აღნიშნავსმკვლევარმა, რომელიც ცნობილია მხოლოდ როგორც MalwareTech, დაარეგისტრირა დომენი 10,69 დოლარად, არ იცოდა მოკვლის გადართვის დროს და თქვა: „მე გარეთ ვიყავი. ვისადილეთ მეგობართან და დავბრუნდით დაახლოებით 3 საათზე. და დაინახა ახალი ამბების სტატიების შემოდინება NHS-ისა და გაერთიანებული სამეფოს სხვადასხვა ორგანიზაციების შესახებ მოხვდა. მე ცოტა დავაკვირდი ამას და შემდეგ ვიპოვე მის უკან არსებული მავნე პროგრამის ნიმუში და დავინახე, რომ ის უკავშირდებოდა კონკრეტულ დომენს, რომელიც არ იყო რეგისტრირებული. ასე რომ, მე ავიღე ის, არ ვიცოდი, რა გააკეთა იმ დროს. ”

MalwareTech-მა დაარეგისტრირა დომენი მისი კომპანიის სახელით, რომელიც ადევნებს თვალყურს ბოტნეტებს და თავდაპირველად მათ ბრალი დასდეს თავდასხმის ინიცირებაში. „თავდაპირველად ვიღაცამ არასწორად შეატყობინა, რომ დომენის რეგისტრაციით ჩვენ გამოვიწვიეთ ინფექცია, ასე რომ, მე მქონდა მინი აჟიოტაჟი მანამ, სანამ მივხვდი, რომ სინამდვილეში პირიქით იყო და ჩვენ შევაჩერეთ იგი“, განუცხადა MalwareTech-მა The Მეურვე.

თუმცა, ეს სავარაუდოდ არ იქნება შეტევის დასასრული, რადგან თავდამსხმელებს შეუძლიათ შეცვალონ კოდი, რათა გამოტოვონ მკვლელობის შეცვლა. ერთადერთი რეალური გამოსწორება არის დავრწმუნდეთ, რომ მანქანები სრულად არის დაყენებული და მუშაობს მავნე პროგრამების დაცვის სწორ პროგრამაზე. მიუხედავად იმისა, რომ Windows მანქანები ამ კონკრეტული შეტევის სამიზნეა, MacOS-მა აჩვენა საკუთარი დაუცველობა ასე რომ, Apple-ის OS-ის მომხმარებლებმა ასევე უნდა დარწმუნდნენ, რომ გადადგან შესაბამისი ნაბიჯები.

ბევრად უფრო ნათელ ამბებში, ახლა ჩანს, რომ არის ახალი ინსტრუმენტი, რომელსაც შეუძლია განსაზღვროს დაშიფვრის გასაღები, რომელსაც იყენებს გამოსასყიდი პროგრამა ზოგიერთ აპარატზე, საშუალებას აძლევს მომხმარებლებს აღადგინონ თავიანთი მონაცემები. ახალი ინსტრუმენტი, სახელწოდებით Wanakiwi, მსგავსია სხვა ხელსაწყოს, Wannakey, მაგრამ ის გთავაზობთ უფრო მარტივ ინტერფეისს და პოტენციურად შეუძლია დააფიქსიროს აპარატები, რომლებიც მუშაობენ Windows-ის უფრო მეტი ვერსიით. როგორც ინფორმაციას Ars Technica ავრცელებს, ვანაკივი იყენებს რამდენიმე ხრიკს დაშიფვრის გასაღების შესაქმნელად გამოყენებული მარტივი რიცხვების აღსადგენად, ძირითადად ამ რიცხვების ამოღებით. ოპერატიული მეხსიერება თუ ინფიცირებული მანქანა რჩება ჩართული და მონაცემები უკვე არ არის გადაწერილი. Wanawiki იყენებს ზოგიერთ „ნაკლოვანებას“ Microsoft Cryptographic აპლიკაციის პროგრამირების ინტერფეისში, რომელსაც იყენებდნენ WannaCry და სხვადასხვა სხვა აპლიკაციები დაშიფვრის გასაღებების შესაქმნელად.

ბენჯამინ დელპის თქმით, რომელიც დაეხმარა Wanakiwi-ს განვითარებას, ინსტრუმენტი გამოიცადა დაშიფრული მყარი დისკებით დაშიფრული მყარი დისკების მქონე რამდენიმე აპარატზე და რამდენიმე მათგანის გაშიფვრაში წარმატებით დასრულდა. Windows Server 2003 და Windows 7 იყო შემოწმებულ ვერსიებს შორის და Delpy ვარაუდობს, რომ Wanakiwi იმუშავებს სხვა ვერსიებთანაც. როგორც Delpy ამბობს, მომხმარებლებს შეუძლიათ „უბრალოდ ჩამოტვირთონ Wanakiwi, და თუ გასაღების ხელახლა აწყობა შესაძლებელია, ის ამოიღებს მას, აღადგენს მას (კარგი) და იწყებს დისკზე არსებული ყველა ფაილის გაშიფვრას. ბონუსად, გასაღები, რომელიც მე მივიღე, შეიძლება გამოვიყენო მავნე პროგრამის გაშიფვრასთან, რათა ის გაშიფროს ფაილები, როგორც გადაიხადე. ”

მინუსი ის არის, რომ არც Wanakiwi და არც Wannakey არ მუშაობს, თუ ინფიცირებული კომპიუტერი გადატვირთულია, ან თუ მეხსიერების სივრცე, რომელიც შეიცავს პირველ რიცხვებს, უკვე გადაწერილია. ასე რომ, ეს ნამდვილად არის ინსტრუმენტი, რომელიც უნდა იყოს გადმოწერილი და მზად უნდა იყოს. დამატებითი სიმშვიდისთვის, უნდა აღინიშნოს, რომ უსაფრთხოების ფირმა Comae Technologies დაეხმარა Wanakiwi-ს შემუშავებასა და ტესტირებას და შეუძლია გადაამოწმოს მისი ეფექტურობა.

Შენ შეგიძლია ჩამოტვირთეთ Wanakiwi აქ. უბრალოდ დეკომპრესია და გაუშვით იგი და გაითვალისწინეთ, რომ Windows 10 ჩივის, რომ აპლიკაცია უცნობი პროგრამაა და თქვენ უნდა დააჭიროთ „მეტი ინფორმაცია“ მის გასაშვებად.

მარკ კოპოკი/ციფრული ტენდენციები

მარკ კოპოკი/ციფრული ტენდენციები

Ransomware არის მავნე პროგრამის ერთ-ერთი ყველაზე ცუდი სახეობა, რადგან ის თავს ესხმის ჩვენს ინფორმაციას და ბლოკავს მას ძლიერი დაშიფვრის მიღმა, თუ თავდამსხმელს არ გადაუხდით ფულს მისი განბლოკვის გასაღების სანაცვლოდ. არის რაღაც პირადი გამოსასყიდის პროგრამაში, რაც განასხვავებს მას მავნე პროგრამების შემთხვევითი შეტევებისგან, რომლებიც ჩვენს კომპიუტერებს აქცევს უსახო ბოტებად.

WCry-ისგან დაცვის ერთადერთი საუკეთესო გზაა დარწმუნდეთ, რომ თქვენი Windows კომპიუტერი სრულად არის დაყენებული უახლესი განახლებებით. თუ თქვენ მიჰყვებით Microsoft-ის Patch სამშაბათის განრიგს და მუშაობთ მინიმუმ Windows Defender-ზე, მაშინ თქვენი აპარატები უკვე უნდა იყოს დაცულია — თუმცა თქვენი ყველაზე მნიშვნელოვანი ფაილების ოფლაინ სარეზერვო ასლის ქონა, რომელსაც ასეთი შეტევა ვერ შეეხება, მნიშვნელოვანი ნაბიჯია. მიიღოს. მომავალში, ეს არის ათასობით მანქანა, რომელიც ჯერ კიდევ არ არის დამუშავებული, რომელიც კვლავ განიცდის ამ კონკრეტულ ფართო შეტევას.

განახლებულია 5-19-2017 მარკ კოპოკის მიერ: დამატებულია ინფორმაცია Wanakiwi ინსტრუმენტის შესახებ.

რედაქტორების რეკომენდაციები

  • გამოსასყიდი პროგრამების შეტევები მასიურად გაიზარდა. აი, როგორ დავიცვათ თავი
  • ჰაკერები იღებენ ქულებს გამოსასყიდის საშუალებით, რომელიც თავს ესხმის მის წინა მსხვერპლს

კატეგორიები

Ბოლო