Mest bemerkelsesverdig var det spanske telekommunikasjonsselskapet Telefonica et offer, det samme var sykehus over hele Storbritannia. Ifølge The Guardian, angrep de britiske angrepene minst 16 nasjonale helsesystem (NHS) fasiliteter og kompromitterte direkte informasjonsteknologien (IT) systemene som brukes for å sikre pasientsikkerhet.
Anbefalte videoer
Avast
WanaCryptOR, eller WCry, løsepengevare er basert på en sårbarhet som ble identifisert i Windows Server Message Block-protokollen og ble lappet i Microsofts mars 2017 patch tirsdag sikkerhetsoppdateringer, melder Kaspersky Labs. Den første versjonen av WCry ble identifisert i februar og har siden blitt oversatt til 28 forskjellige språk.
Microsoft har svart til angrepet med sitt eget Windows Security-blogginnlegg, der det forsterket meldingen om at Windows-PC-er som for øyeblikket støtter de nyeste sikkerhetsoppdateringene er sikre mot skadelig programvare. I tillegg hadde Windows Defenders allerede blitt oppdatert for å gi sanntidsbeskyttelse.
"Den 12. mai 2017 oppdaget vi en ny løsepengevare som sprer seg som en orm ved å utnytte sårbarheter som tidligere har blitt fikset," startet Microsofts oppsummering av angrepet. "Selv om sikkerhetsoppdateringer brukes automatisk på de fleste datamaskiner, kan enkelte brukere og bedrifter forsinke distribusjonen av oppdateringer. Dessverre ser det ut til at skadelig programvare, kjent som WannaCrypt, har påvirket datamaskiner som ikke har tatt i bruk oppdateringen for disse sårbarhetene. Mens angrepet utfolder seg, minner vi brukere om å installere MS17-010 hvis de ikke allerede har gjort det."
Uttalelsen fortsatte: "Microsoft antimalware-telemetri fanget umiddelbart opp tegn på denne kampanjen. Ekspertsystemene våre ga oss synlighet og kontekst inn i dette nye angrepet mens det skjedde, slik at Windows Defender Antivirus kunne levere forsvar i sanntid. Gjennom automatisert analyse, maskinlæring og prediktiv modellering var vi i stand til raskt å beskytte mot denne skadelige programvaren.»
Avast spekulerte videre i at den underliggende utnyttelsen ble stjålet fra Equation Group, som har blitt mistenkt for å være knyttet til NSA, av en hackergruppe som kaller seg ShadowBrokers. Utnyttelsen er kjent som ETERNALBLUE og heter MS17-010 av Microsoft.
Når skadelig programvare slår til, endrer den navnet på de berørte filene til å inkludere en ".WNCRY"-utvidelse og legger til en "WANACRY!" markør i begynnelsen av hver fil. Den plasserer også løsepengene i en tekstfil på offerets maskin:
Avast
Deretter viser løsepengevaren sin løsepengemelding som krever mellom $300 og $600 i bitcoin-valuta og gir instruksjoner om hvordan du betaler og deretter gjenoppretter de krypterte filene. Språket i løsepengeinstruksjonene er merkelig tilfeldig og ligner på det man kan lese i et tilbud om å kjøpe et produkt på nettet. Faktisk har brukere tre dager på seg til å betale før løsepengene dobles og syv dager på å betale før filene ikke lenger kan gjenvinnes.
Avast
Interessant nok ble angrepet bremset eller potensielt stoppet av en "tilfeldig helt" ganske enkelt ved å registrere et nettdomene som var hardkodet inn i løsepengekoden. Hvis det domenet svarte på en forespørsel fra skadelig programvare, ville det slutte å infisere nye systemer – fungere som en slags «kill switch» som de nettkriminelle kunne bruke for å slå av angrepet.
Som The Guardian påpeker, forsker, bare kjent som MalwareTech, registrerte domenet for $10,69 var uvitende på tidspunktet for kill-bryteren, og sa: "Jeg var ute spiste lunsj med en venn og kom tilbake ca kl. 15.00. og så en tilstrømning av nyhetsartikler om NHS og forskjellige britiske organisasjoner truffet. Jeg kikket litt på det, og så fant jeg et utvalg av malware bak, og så at den koblet seg til et spesifikt domene, som ikke var registrert. Så jeg tok den opp uten å vite hva den gjorde den gangen."
MalwareTech registrerte domenet på vegne av selskapet hans, som sporer botnett, og først ble de anklaget for å ha startet angrepet. «Til å begynne med hadde noen rapportert feil om at vi hadde forårsaket infeksjonen ved å registrere domenet, så jeg hadde en mini freakout til jeg skjønte at det faktisk var omvendt og vi hadde stoppet det, sa MalwareTech til The Verge.
Det vil sannsynligvis ikke være slutten på angrepet, ettersom angriperne kan være i stand til å endre koden for å utelate kill-bryteren. Den eneste virkelige løsningen er å sørge for at maskinene er fullstendig oppdatering og kjører riktig programvare for beskyttelse mot skadelig programvare. Mens Windows-maskiner er målene for dette spesielle angrepet, MacOS har vist sin egen sårbarhet og derfor bør brukere av Apples OS sørge for å ta de nødvendige trinnene også.
I mye lysere nyheter ser det nå ut til at det er et nytt verktøy som kan bestemme krypteringsnøkkelen som brukes av løsepengevare på enkelte maskiner, slik at brukere kan gjenopprette dataene sine. Det nye verktøyet, kalt Wanakiwi, ligner på et annet verktøy, Wannakey, men det tilbyr et enklere grensesnitt og kan potensielt fikse maskiner som kjører flere versjoner av Windows. Som Det melder Ars Technica, bruker Wanakiwi noen triks for å gjenopprette primtallene som ble brukt til å lage krypteringsnøkkelen, hovedsakelig ved å hente disse tallene fra RAM hvis den infiserte maskinen forblir slått på og dataene ikke allerede er overskrevet. Wanawiki utnytter noen "mangler" i Microsofts kryptografiske applikasjonsprogrammeringsgrensesnitt som ble brukt av WannaCry og forskjellige andre applikasjoner for å lage krypteringsnøkler.
Ifølge Benjamin Delpy, som var med på å utvikle Wanakiwi, ble verktøyet testet mot en rekke maskiner med krypterte harddisker, og det var vellykket i dekryptering av flere av dem. Windows Server 2003 og Windows 7 var blant versjonene som ble testet, og Delpy antar at Wanakiwi også vil fungere med andre versjoner. Som Delpy uttrykker det, kan brukere "bare laste ned Wanakiwi, og hvis nøkkelen kan konstrueres igjen, trekker den ut den, rekonstruerer den (en god en), og starter dekryptering av alle filene på disken. Som bonus kan nøkkelen jeg får, brukes med malware-dekryptering for å få den til å dekryptere filer som hvis du betalte."
Ulempen er at verken Wanakiwi eller Wannakey fungerer hvis den infiserte PC-en har blitt startet på nytt eller hvis minneplassen som inneholder primtallene allerede er overskrevet. Så det er definitivt et verktøy som bør lastes ned og holdes klart. For litt ekstra trygghet bør det bemerkes at sikkerhetsfirmaet Comae Technologies hjalp til med å utvikle og teste Wanakiwi og kan verifisere effektiviteten.
Du kan last ned Wanakiwi her. Bare dekomprimer applikasjonen og kjør den, og merk at Windows 10 vil klage over at applikasjonen er et ukjent program, og du må trykke "Mer info" for å la den kjøre.
Mark Coppock/Digital Trends
Ransomware er en av de verste typene skadelig programvare, ved at den angriper informasjonen vår og låser den bort bak sterk kryptering med mindre vi betaler penger til angriperen i retur for en nøkkel for å låse den opp. Det er noe personlig med løsepengevare som gjør det forskjellig fra tilfeldige malware-angrep som gjør PC-ene våre til ansiktsløse roboter.
Den beste måten å beskytte mot WCry på er å sørge for at Windows-PCen din er fullstendig oppdatering med de siste oppdateringene. Hvis du har fulgt Microsofts Patch Tuesday-plan og kjørt minst Windows Defender, bør maskinene dine allerede være beskyttet – selv om det er et viktig skritt å ha en offline sikkerhetskopi av de viktigste filene dine som ikke kan berøres av et slikt angrep. ta. Fremover er det tusenvis av maskiner som ennå ikke er lappet som vil fortsette å lide under dette utbredte angrepet.
Oppdatert 19.5.2017 av Mark Coppock: Lagt til informasjon om Wanakiwi-verktøyet.
Redaktørenes anbefalinger
- Ransomware-angrep har økt kraftig. Slik holder du deg trygg
- Hackere scorer med løsepengevare som angriper de tidligere ofrene
