Vissvarīgākais ir Spānijas telekomunikāciju uzņēmums Telefonica, kā arī slimnīcas visā Apvienotajā Karalistē. Saskaņā ar The GuardianApvienotās Karalistes uzbrukumi skāra vismaz 16 Nacionālās veselības sistēmas (NHS) iestādes un tieši apdraudēja informācijas tehnoloģiju (IT) sistēmas, kas tiek izmantotas pacientu drošības nodrošināšanai.
Ieteiktie videoklipi
Avast
WanaCryptOR jeb WCry izspiedējvīrusa pamatā ir ievainojamība, kas tika identificēta Windows Server Message Block protokolā un tika labota Microsoft 2017. gada marta ielāpu otrdiena drošības atjauninājumi, ziņo Kaspersky Labs. Pirmā WCry versija tika identificēta februārī un kopš tā laika ir tulkota 28 dažādās valodās.
Microsoft ir atbildējusi uzbrukumam ar savu Windows drošības emuāra ierakstu, kurā tas pastiprināja ziņojumu, ka pašlaik atbalstītie Windows datori, kuros darbojas jaunākie drošības ielāpi, ir droši pret ļaunprātīgu programmatūru. Turklāt Windows Defenders jau bija atjaunināts, lai nodrošinātu reāllaika aizsardzību.
“2017. gada 12. maijā mēs atklājām jaunu izspiedējprogrammatūru, kas izplatās kā tārps, izmantojot iepriekš novērstās ievainojamības,” sākās Microsoft uzbrukuma kopsavilkums. “Lai gan drošības atjauninājumi lielākajā daļā datoru tiek lietoti automātiski, daži lietotāji un uzņēmumi var aizkavēt ielāpu izvietošanu. Diemžēl šķiet, ka ļaunprogrammatūra, kas pazīstama kā WannaCrypt, ir skārusi datorus, kas nav lietojuši šo ievainojamību ielāpu. Kamēr notiek uzbrukums, mēs atgādinām lietotājiem instalēt MS17-010, ja viņi to vēl nav izdarījuši.
Paziņojums turpinājās: “Microsoft pretļaunatūras telemetrija nekavējoties atklāja šīs kampaņas pazīmes. Mūsu ekspertu sistēmas sniedza mums redzamību un kontekstu par šo jauno uzbrukumu, kā tas notika, ļaujot Windows Defender Antivirus nodrošināt reāllaika aizsardzību. Izmantojot automatizētu analīzi, mašīnmācīšanos un paredzamo modelēšanu, mēs varējām ātri aizsargāties pret šo ļaunprātīgo programmatūru.
Avast arī spekulēja, ka pamatā esošo izmantošanu no Equation Group, par kuru pastāv aizdomas, ka tā ir saistīta ar NSA, nozaga hakeru grupa, kas sevi dēvēja par ShadowBrokers. Ekspluatācija ir pazīstama kā ETERNALBLUE, un Microsoft to nosauca par MS17-010.
Kad ļaunprogrammatūra uzbrūk, tā maina ietekmēto failu nosaukumus, iekļaujot paplašinājumu “.WNCRY”, un pievieno “WANACRY!” marķieris katra faila sākumā. Tā arī ievieto savu izpirkuma piezīmi teksta failā upura mašīnā:
Avast
Pēc tam izpirkuma programmatūra parāda savu izpirkuma maksu, kas pieprasa no 300 līdz 600 USD bitcoin valūtā, un sniedz norādījumus, kā samaksāt un pēc tam atgūt šifrētos failus. Izpirkuma maksas norādījumu valoda ir dīvaini ikdienišķa un šķiet līdzīga tai, ko varētu lasīt piedāvājumā iegādāties produktu tiešsaistē. Faktiski lietotājiem ir jāmaksā trīs dienas, pirms izpirkuma maksa tiek dubultota, un septiņas dienas jāmaksā, pirms faili vairs nebūs atgūstami.
Avast
Interesanti, ka uzbrukumu palēnināja vai potenciāli apturēja “nejaušs varonis”, vienkārši reģistrējot tīmekļa domēnu, kas bija stingri iekodēts izspiedējvīrusa kodā. Ja šis domēns atbildētu uz ļaunprātīgas programmatūras pieprasījumu, tas pārstātu inficēt jaunas sistēmas — darbotos kā sava veida "iznīcināšanas slēdzis", ko kibernoziedznieki varētu izmantot, lai izslēgtu uzbrukumu.
Kā The Guardian norāda, pētnieks, kas pazīstams tikai kā MalwareTech, reģistrēja domēnu par 10,69 USD, nogalināšanas slēdža brīdī nezināja, sakot: “Es biju ārpus pusdienoja ar draugu un atgriezās apmēram 15:00. un redzēja ziņu pieplūdumu par NHS un dažādām Apvienotās Karalistes organizācijām sist. Es to nedaudz izpētīju, un pēc tam atradu aiz tā esošās ļaunprātīgās programmatūras paraugu un redzēju, ka tā izveido savienojumu ar noteiktu domēnu, kas nebija reģistrēts. Tāpēc es to paņēmu, nezinot, ko tas tajā laikā darīja.
MalwareTech reģistrēja domēnu sava uzņēmuma vārdā, kas izseko robottīklus, un sākumā viņi tika apsūdzēti uzbrukuma ierosināšanā. “Sākotnēji kāds bija nepareizi ziņojis, ka esam izraisījuši infekciju, reģistrējot domēnu, tāpēc es to izdarīju neliels ķēms, līdz es sapratu, ka patiesībā ir otrādi, un mēs to bijām apturējuši,” The MalwareTech stāstīja The. Aizbildnis.
Tomēr tas, visticamāk, nebūs uzbrukuma beigas, jo uzbrucēji, iespējams, varēs mainīt kodu, lai izlaistu nogalināšanas slēdzi. Vienīgais īstais labojums ir pārliecināties, vai datori ir pilnībā izlaboti un izmanto pareizo ļaunprātīgas programmatūras aizsardzības programmatūru. Lai gan šī konkrētā uzbrukuma mērķis ir Windows mašīnas, MacOS ir parādījusi savu ievainojamību tāpēc Apple operētājsistēmas lietotājiem arī noteikti jāveic atbilstošās darbības.
Daudz spilgtākās ziņās tagad šķiet, ka ir jauns rīks, kas var noteikt šifrēšanas atslēgu, ko dažās iekārtās izmanto izpirkuma programmatūra, ļauj lietotājiem atgūt savus datus. Jaunais rīks ar nosaukumu Wanakiwi ir līdzīgs citam rīkam, Wannakey, taču tas piedāvā vienkāršāku saskarni un, iespējams, var labot iekārtas, kurās darbojas vairāk Windows versiju. Kā Ars Technica ziņo, Wanakiwi izmanto dažus trikus, lai atgūtu šifrēšanas atslēgas izveidē izmantotos pirmskaitļus, galvenokārt izvelkot šos skaitļus no RAM ja inficētā iekārta paliek ieslēgta un dati jau nav pārrakstīti. Wanawiki izmanto dažus “trūkumus” Microsoft Cryptographic lietojumprogrammu programmēšanas saskarnē, ko izmantoja WannaCry un dažādas citas lietojumprogrammas, lai izveidotu šifrēšanas atslēgas.
Saskaņā ar Benjamin Delpy, kurš palīdzēja izstrādāt Wanakiwi, teikto, rīks tika pārbaudīts pret vairākām iekārtām ar šifrētiem cietajiem diskiem, un vairākas no tām tika veiksmīgi atšifrētas. Windows Server 2003 un Windows 7 bija starp pārbaudītajām versijām, un Delpy pieņem, ka Wanakiwi darbosies arī ar citām versijām. Kā norāda Delpy, lietotāji var “vienkārši lejupielādēt Wanakiwi un, ja atslēgu var izveidot vēlreiz, tas izņem to, rekonstruē (labi) un sāk visu diskā esošo failu atšifrēšanu. Kā bonusu, iegūto atslēgu var izmantot kopā ar ļaunprātīgas programmatūras atšifrētāju, lai tas atšifrētu failus, piemēram, ja jūs maksātu.
Negatīvā puse ir tāda, ka ne Wanakiwi, ne Wannakey nedarbojas, ja inficētais dators ir restartēts vai ja atmiņas vieta, kurā ir pirmskaitļi, jau ir pārrakstīta. Tāpēc tas noteikti ir rīks, kas ir jālejupielādē un jātur gatavībā. Lai iegūtu papildu mieru, jāatzīmē, ka drošības firma Comae Technologies palīdzēja Wanakiwi izstrādē un testēšanā un var pārbaudīt tā efektivitāti.
Jūs varat lejupielādējiet Wanakiwi šeit. Vienkārši atspiediet lietojumprogrammu un palaidiet to, un ņemiet vērā, ka Windows 10 sūdzēsies, ka lietojumprogramma ir nezināma programma, un jums būs jānoklikšķina uz “Papildinformācija”, lai ļautu tai palaist.
Mark Coppock/Digital Trends
Ransomware ir viens no sliktākajiem ļaunprātīgas programmatūras veidiem, jo tas uzbrūk mūsu informācijai un bloķē to aiz spēcīgas šifrēšanas, ja vien mēs nemaksājam naudu uzbrucējam apmaiņā pret atslēgu, lai to atbloķētu. Izspiedējprogrammatūrai ir kaut kas personisks, kas to atšķir no nejaušiem ļaunprātīgas programmatūras uzbrukumiem, kas mūsu datorus pārvērš bezsejas robotos.
Labākais veids, kā aizsargāties pret WCry, ir pārliecināties, vai jūsu Windows datorā ir pilnībā izlaboti jaunākie atjauninājumi. Ja esat ievērojis Microsoft ielāpu otrdienas grafiku un izmantojat vismaz Windows Defender, jūsu datoriem jau vajadzētu būt aizsargāts — lai gan svarīgāko failu bezsaistes dublēšana, ko šāds uzbrukums nevar skart, ir svarīgs solis, lai ņem. Turpinot, tūkstošiem mašīnu, kas vēl nav aizlāpītas, turpinās ciest no šī konkrētā plašā uzbrukuma.
19.5.2017. atjaunināja Marks Kopoks: pievienota informācija par Wanakiwi rīku.
Redaktoru ieteikumi
- Ransomware uzbrukumi ir ievērojami palielinājušies. Lūk, kā saglabāt drošību
- Hakeri gūst punktus ar izpirkuma programmatūru, kas uzbrūk tās iepriekšējiem upuriem
