Ofiarą była przede wszystkim hiszpańska firma telekomunikacyjna Telefonica, podobnie jak szpitale w całej Wielkiej Brytanii. Według Guardianaataki w Wielkiej Brytanii dotknęły co najmniej 16 placówek krajowego systemu opieki zdrowotnej (NHS) i bezpośrednio naruszyły systemy informatyczne (IT) wykorzystywane do zapewnienia bezpieczeństwa pacjentów.
Polecane filmy
Avasta
Oprogramowanie ransomware WanaCryptOR lub WCry opiera się na luce w zabezpieczeniach zidentyfikowanej w protokole Message Block systemu Windows Server i załatanej w Wtorkowa aktualizacja Microsoftu z marca 2017 r aktualizacje zabezpieczeń,
raportuje Kaspersky Lab. Pierwsza wersja WCry została zidentyfikowana w lutym i od tego czasu została przetłumaczona na 28 różnych języków.Microsoft zareagował na atak za pomocą własnego wpisu na blogu Windows Security, w którym wzmocnił komunikat, że obecnie obsługiwane komputery PC z systemem Windows, na których zainstalowano najnowsze poprawki zabezpieczeń, są bezpieczne przed złośliwym oprogramowaniem. Ponadto program Windows Defenders został już zaktualizowany, aby zapewnić ochronę w czasie rzeczywistym.
„12 maja 2017 r. wykryliśmy nowe oprogramowanie ransomware, które rozprzestrzenia się jak robak, wykorzystując luki, które zostały wcześniej naprawione” – rozpoczyna się podsumowanie ataku Microsoftu. „Chociaż aktualizacje zabezpieczeń są instalowane automatycznie na większości komputerów, niektórzy użytkownicy i przedsiębiorstwa mogą opóźniać wdrażanie poprawek. Niestety, wydaje się, że szkodliwe oprogramowanie znane jako WannaCrypt zaatakowało komputery, które nie zastosowały łatki usuwającej te luki. W trakcie ataku przypominamy użytkownikom, aby zainstalowali MS17-010, jeśli jeszcze tego nie zrobili”.
W oświadczeniu kontynuowano: „Telemetria firmy Microsoft dotycząca ochrony przed złośliwym oprogramowaniem natychmiast wykryła oznaki tej kampanii. Nasze systemy eksperckie zapewniły nam wgląd i kontekst w przebieg tego nowego ataku, umożliwiając programowi antywirusowemu Windows Defender zapewnienie ochrony w czasie rzeczywistym. Dzięki zautomatyzowanej analizie, uczeniu maszynowemu i modelowaniu predykcyjnemu byliśmy w stanie szybko zabezpieczyć się przed tym złośliwym oprogramowaniem”.
Avast spekulował dalej, że podstawowy exploit został skradziony grupie Equation Group, podejrzanej o powiązania z NSA, przez grupę hakerów nazywającą się ShadowBrokers. Exploit jest znany jako ETERNALBLUE i nazwany przez firmę Microsoft MS17-010.
Kiedy szkodliwe oprogramowanie atakuje, zmienia nazwę plików, których dotyczy problem, dodając rozszerzenie „.WNCRY” i dodaje „WANACRY!” znacznik na początku każdego pliku. Umieszcza również notatkę z żądaniem okupu w pliku tekstowym na komputerze ofiary:
Avasta
Następnie ransomware wyświetla wiadomość z żądaniem okupu, żądającą od 300 do 600 dolarów w walucie Bitcoin i zawiera instrukcje dotyczące sposobu zapłaty, a następnie odzyskania zaszyfrowanych plików. Język instrukcji dotyczących okupu jest dziwnie swobodny i wydaje się podobny do tego, który można przeczytać w ofercie zakupu produktu online. W rzeczywistości użytkownicy mają trzy dni na zapłacenie, zanim okup zostanie podwojony, i siedem dni na zapłacenie, zanim plików nie będzie już można odzyskać.
Avasta
Co ciekawe, atak został spowolniony lub potencjalnie zatrzymany przez „przypadkowego bohatera”, który po prostu zarejestrował domenę internetową zakodowaną na stałe w kodzie ransomware. Gdyby ta domena odpowiedziała na żądanie szkodliwego oprogramowania, przestałaby infekować nowe systemy, działając jako swego rodzaju „wyłącznik awaryjny”, którego cyberprzestępca mógłby użyć do powstrzymania ataku.
Jak – podkreśla „Guardian”., badacz znany tylko jako MalwareTech, zarejestrował domenę za 10,69 USD, nie był tego świadomy w momencie wyłączenia, mówiąc: „Nie było mnie jadłem lunch z przyjacielem i wróciłem około 15:00. i zaobserwowałem napływ artykułów prasowych na temat NHS i różnych organizacji w Wielkiej Brytanii uderzyć. Przyjrzałem się temu trochę, a potem znalazłem próbkę szkodliwego oprogramowania i zobaczyłem, że łączyło się ono z określoną domeną, która nie była zarejestrowana. Więc podniosłem go, nie wiedząc wtedy, co zrobił.
MalwareTech zarejestrował domenę w imieniu swojej firmy zajmującej się śledzeniem botnetów i początkowo to oni zostali oskarżeni o zainicjowanie ataku. „Początkowo ktoś błędnie zgłosił, że spowodowaliśmy infekcję rejestrując domenę, więc tak się stało małe szaleństwo, dopóki nie zdałem sobie sprawy, że jest odwrotnie i powstrzymaliśmy to” – MalwareTech powiedział The Opiekun.
Prawdopodobnie nie będzie to jednak koniec ataku, ponieważ atakujący mogą być w stanie zmienić kod, aby pominąć wyłącznik awaryjny. Jedynym prawdziwym rozwiązaniem jest upewnienie się, że komputery są w pełni załatane i działają na nich odpowiednie oprogramowanie chroniące przed złośliwym oprogramowaniem. Chociaż celem tego konkretnego ataku są maszyny z systemem Windows, MacOS wykazał własną lukę dlatego też użytkownicy systemu operacyjnego Apple również powinni podjąć odpowiednie kroki.
W znacznie lepszych wiadomościach wydaje się, że pojawiło się nowe narzędzie, które może określić klucz szyfrowania używany przez oprogramowanie ransomware na niektórych komputerach i umożliwić użytkownikom odzyskanie danych. Nowe narzędzie o nazwie Wanakiwi jest podobne do innego narzędzia, Chcę, ale oferuje prostszy interfejs i może potencjalnie naprawić komputery z większą liczbą wersji systemu Windows. Jak Raport Ars Technica, Wanakiwi stosuje pewne sztuczki, aby odzyskać liczby pierwsze użyte do utworzenia klucza szyfrowania, zasadniczo poprzez wyciągnięcie tych liczb z Baran jeśli zainfekowana maszyna pozostanie włączona, a dane nie zostały jeszcze nadpisane. Wanawiki wykorzystuje pewne „niedociągnięcia” w interfejsie programowania aplikacji Microsoft Cryptographic, który był używany przez WannaCry i różne inne aplikacje do tworzenia kluczy szyfrowania.
Według Benjamina Delpy'ego, który pomógł opracować Wanakiwi, narzędzie zostało przetestowane na wielu komputerach z zaszyfrowanymi dyskami twardymi i kilka z nich pomyślnie odszyfrowało. Wśród testowanych wersji znalazły się Windows Server 2003 i Windows 7, a Delpy zakłada, że Wanakiwi będzie działać także z innymi wersjami. Jak to ujął Delpy, użytkownicy mogą „po prostu pobrać Wanakiwi i jeśli uda się ponownie skonstruować klucz, wyodrębni go, zrekonstruuje (dobrze) i rozpocznie deszyfrowanie wszystkich plików na dysku. Co więcej, uzyskany przeze mnie klucz może zostać użyty w deszyfratorze złośliwego oprogramowania, dzięki czemu odszyfruje pliki tak, jakbyś zapłacił.”
Wadą jest to, że ani Wanakiwi, ani Wannakey nie działają, jeśli zainfekowany komputer został uruchomiony ponownie lub jeśli miejsce w pamięci zawierające liczby pierwsze zostało już nadpisane. Jest to zatem zdecydowanie narzędzie, które należy pobrać i mieć pod ręką. Dla większego spokoju ducha należy zauważyć, że firma Comae Technologies zajmująca się bezpieczeństwem pomagała w opracowywaniu i testowaniu Wanakiwi oraz może zweryfikować jego skuteczność.
Możesz pobierz Wanakiwi tutaj. Po prostu rozpakuj aplikację i uruchom ją. Pamiętaj, że system Windows 10 wyświetli skargę, że aplikacja jest nieznanym programem i będziesz musiał kliknąć „Więcej informacji”, aby zezwolić na jej uruchomienie.
Mark Coppock/Trendy cyfrowe
Ransomware to jeden z najgorszych rodzajów złośliwego oprogramowania, ponieważ atakuje nasze informacje i blokuje je za pomocą silnego szyfrowania, chyba że zapłacimy atakującemu pieniądze w zamian za klucz umożliwiający ich odblokowanie. Jest coś osobistego w oprogramowaniu ransomware, co odróżnia je od przypadkowych ataków złośliwego oprogramowania, które zamieniają nasze komputery w boty bez twarzy.
Najlepszym sposobem ochrony przed WCry jest upewnienie się, że komputer z systemem Windows jest w pełni wyposażony w najnowsze aktualizacje. Jeśli postępujesz zgodnie z harmonogramem wtorkowej łatki Microsoftu i korzystasz przynajmniej z programu Windows Defender, Twoje komputery powinny już to zrobić chronione — chociaż posiadanie kopii zapasowej offline najważniejszych plików, których nie może dotknąć taki atak, jest ważnym krokiem do Brać. W przyszłości tysiące maszyn, które nie zostały jeszcze załatane, będą w dalszym ciągu cierpieć z powodu tego szczególnego, powszechnego ataku.
Zaktualizowano 19.05.2017 przez Marka Coppocka: Dodano informacje o narzędziu Wanakiwi.
Zalecenia redaktorów
- Liczba ataków ransomware wzrosła masowo. Oto, jak zachować bezpieczeństwo
- Hakerzy zdobywają punkty dzięki oprogramowaniu ransomware, które atakuje swoje poprzednie ofiary
