Obeťou bola najmä španielska telekomunikačná spoločnosť Telefonica, ako aj nemocnice v Spojenom kráľovstve. Podľa denníka The GuardianÚtoky v Spojenom kráľovstve zasiahli najmenej 16 zariadení národného zdravotníckeho systému (NHS) a priamo ohrozili systémy informačných technológií (IT), ktoré sa používajú na zaistenie bezpečnosti pacientov.
Odporúčané videá
Avast
Ransomvér WanaCryptOR alebo WCry je založený na zraniteľnosti, ktorá bola identifikovaná v protokole Windows Server Message Block a bola opravená Opravný utorok od spoločnosti Microsoft z marca 2017 bezpečnostné aktualizácie, Informuje Kaspersky Labs. Prvá verzia WCry bola identifikovaná vo februári a odvtedy bola preložená do 28 rôznych jazykov.
Microsoft zareagoval k útoku s vlastným blogovým príspevkom Windows Security, kde posilnil správu, že momentálne podporované počítače so systémom Windows s najnovšími bezpečnostnými záplatami sú v bezpečí pred škodlivým softvérom. Okrem toho už bol program Windows Defender aktualizovaný, aby poskytoval ochranu v reálnom čase.
„Dňa 12. mája 2017 sme zistili nový ransomvér, ktorý sa šíri ako červ využívaním zraniteľností, ktoré boli predtým opravené,“ začalo zhrnutie útoku od spoločnosti Microsoft. „Zatiaľ čo aktualizácie zabezpečenia sa vo väčšine počítačov aplikujú automaticky, niektorí používatelia a podniky môžu nasadenie opráv oneskoriť. Bohužiaľ, malvér známy ako WannaCrypt zrejme zasiahol počítače, ktoré nepoužili opravu týchto zraniteľností. Kým sa útok vyvíja, používateľom pripomíname, aby si nainštalovali MS17-010, ak tak ešte neurobili.“
Vyhlásenie pokračovalo: „Antimalvérová telemetria spoločnosti Microsoft okamžite zachytila známky tejto kampane. Naše expertné systémy nám poskytli prehľad a kontext tohto nového útoku hneď, ako k nemu došlo, čo umožnilo programu Windows Defender Antivirus poskytovať obranu v reálnom čase. Prostredníctvom automatizovanej analýzy, strojového učenia a prediktívneho modelovania sme boli schopní rýchlo sa chrániť pred týmto malvérom.“
Avast ďalej špekuloval, že základný exploit bol ukradnutý zo skupiny Equation Group, ktorá bola podozrivá z prepojenia s NSA, hackerskou skupinou, ktorá si hovorí ShadowBrokers. Tento exploit je známy ako ETERNALBLUE a od spoločnosti Microsoft pomenovaný MS17-010.
Keď zasiahne malvér, zmení názov ovplyvnených súborov tak, aby obsahoval príponu „.WNCRY“ a pridal „WANACRY!“. značka na začiatku každého súboru. Tiež umiestni svoju poznámku o výkupnom do textového súboru na počítači obete:
Avast
Potom ransomvér zobrazí správu o výkupnom, ktorá požaduje 300 až 600 USD v bitcoinovej mene a poskytuje pokyny, ako zaplatiť a potom obnoviť zašifrované súbory. Jazyk v pokynoch na výkupné je nezvyčajne ležérny a zdá sa podobný tomu, čo by ste si mohli prečítať v ponuke na kúpu produktu online. V skutočnosti majú používatelia tri dni na zaplatenie, kým sa výkupné zdvojnásobí, a sedem dní na zaplatenie, kým sa súbory už nebudú dať obnoviť.
Avast
Zaujímavé je, že útok spomalil alebo potenciálne zastavil „náhodný hrdina“ jednoducho registráciou webovej domény, ktorá bola napevno zakódovaná do kódu ransomvéru. Ak by táto doména odpovedala na žiadosť malvéru, prestala by infikovať nové systémy – fungovala by ako akýsi „prepínač zabíjania“, ktorý by kyberzločinci mohli použiť na zastavenie útoku.
Ako Upozorňuje The Guardian, výskumník, známy iba ako MalwareTech, zaregistroval doménu za 10,69 USD, nevedel o tom v čase prepínača zabíjania a povedal: „Bol som mimo na obede s priateľom a vrátil som sa okolo 15:00. a videl prílev spravodajských článkov o NHS a rôznych britských organizáciách zasiahnuť. Trochu som sa na to pozrel a potom som našiel vzorku malvéru za tým a zistil som, že sa pripája ku konkrétnej doméne, ktorá nebola zaregistrovaná. Tak som to zdvihol nevediac, čo to v tom čase urobilo."
MalwareTech zaregistroval doménu v mene svojej spoločnosti, ktorá sleduje botnety, a najprv boli obvinení z iniciovania útoku. "Spočiatku niekto nahlásil nesprávnym spôsobom, že sme spôsobili infekciu registráciou domény, tak som to urobil." malé šialenstvo, kým som si neuvedomil, že je to vlastne naopak a zastavili sme to,“ povedal MalwareTech pre The Strážca.
To však pravdepodobne nebude koniec útoku, pretože útočníci môžu byť schopní zmeniť kód tak, aby vynechal prepínač zabíjania. Jedinou skutočnou opravou je uistiť sa, že počítače sú plne opravené a používajú správny softvér na ochranu pred škodlivým softvérom. Zatiaľ čo počítače so systémom Windows sú cieľom tohto konkrétneho útoku, MacOS preukázal svoju vlastnú zraniteľnosť a preto by používatelia operačného systému Apple mali tiež podniknúť príslušné kroky.
V oveľa jasnejších správach sa teraz zdá, že existuje nový nástroj, ktorý dokáže určiť šifrovací kľúč používaný ransomvérom na niektorých počítačoch a umožňuje používateľom obnoviť ich údaje. Nový nástroj s názvom Wanakiwi je podobný inému nástroju, Wannakey, ale ponúka jednoduchšie rozhranie a môže potenciálne opraviť počítače s viacerými verziami systému Windows. Ako Informuje o tom Ars Technica, Wanakiwi používa niektoré triky na obnovenie prvočísel použitých pri vytváraní šifrovacieho kľúča, v podstate vytiahnutím týchto čísel z RAM ak infikovaný počítač zostane zapnutý a údaje ešte neboli prepísané. Wanawiki využíva niektoré „nedostatky“ v rozhraní Microsoft Cryptographic na programovanie aplikácií, ktoré používa WannaCry a rôzne iné aplikácie na vytváranie šifrovacích kľúčov.
Podľa Benjamina Delpyho, ktorý pomáhal s vývojom Wanakiwi, bol tento nástroj testovaný na množstve strojov so šifrovanými pevnými diskami a niekoľko z nich bol úspešný pri dešifrovaní. Windows Server 2003 a Windows 7 boli medzi testovanými verziami a Delpy predpokladá, že Wanakiwi bude fungovať aj s inými verziami. Ako uvádza Delpy, používatelia si môžu „jednoducho stiahnuť Wanakiwi, a ak je možné kľúč znova skonštruovať, rozbalí ho, zrekonštruuje (dobré) a spustí dešifrovanie všetkých súborov na disku. Ako bonus možno kľúč, ktorý získam, použiť s dešifrovačom škodlivého softvéru na dešifrovanie súborov, ako keby ste zaplatili.“
Nevýhodou je, že ani Wanakiwi, ani Wannakey nefungujú, ak bol infikovaný počítač reštartovaný alebo ak už bol prepísaný pamäťový priestor obsahujúci prvočísla. Takže je to určite nástroj, ktorý by ste si mali stiahnuť a mať pripravený. Pre trochu väčšieho pokoja je potrebné poznamenať, že bezpečnostná firma Comae Technologies pomáhala s vývojom a testovaním Wanakiwi a môže overiť jeho účinnosť.
Môžeš stiahnite si Wanakiwi tu. Stačí dekomprimovať aplikáciu a spustiť ju a všimnite si, že Windows 10 sa bude sťažovať, že aplikácia je neznámy program a budete musieť kliknúť na „Viac informácií“, aby sa mohla spustiť.
Označte Coppock/Digitálne trendy
Ransomware je jedným z najhorších druhov malvéru, pretože útočí na naše informácie a zamyká ich silným šifrovaním, pokiaľ útočníkovi nezaplatíme peniaze výmenou za kľúč na jeho odomknutie. Ransomware má niečo osobné, čo ho odlišuje od náhodných malvérových útokov, ktoré menia naše počítače na robotov bez tváre.
Jediný najlepší spôsob, ako sa chrániť pred WCry, je uistiť sa, že váš počítač so systémom Windows je plne vybavený najnovšími aktualizáciami. Ak ste postupovali podľa plánu Microsoft Patch Tuesday a spustili ste aspoň Windows Defender, potom by vaše počítače už mali byť chránené – hoci offline záloha vašich najdôležitejších súborov, ktorých sa takýto útok nemôže dotknúť, je dôležitým krokom k vziať. V budúcnosti budú týmto rozšíreným útokom naďalej trpieť tisíce strojov, ktoré ešte neboli opravené.
Aktualizované 19.5.2017 Markom Coppockom: Pridané informácie o nástroji Wanakiwi.
Odporúčania redaktorov
- Útoky ransomvéru masívne vzrástli. Tu je návod, ako zostať v bezpečí
- Hackeri bodujú s ransomvérom, ktorý útočí na svoje predchádzajúce obete