Predvsem špansko telekomunikacijsko podjetje Telefonica je bilo žrtev, prav tako bolnišnice po Združenem kraljestvu. Po poročanju The Guardiana, so napadi v Združenem kraljestvu prizadeli najmanj 16 ustanov nacionalnega zdravstvenega sistema (NHS) in neposredno ogrozili sisteme informacijske tehnologije (IT), ki se uporabljajo za zagotavljanje varnosti bolnikov.
Priporočeni videoposnetki
Avast
Izsiljevalska programska oprema WanaCryptOR ali WCry temelji na ranljivosti, ki je bila prepoznana v protokolu Windows Server Message Block in je bila popravljena v Microsoftov popravek marca 2017 v torek varnostne posodobitve,
Microsoft se je odzval napadu z lastno objavo v spletnem dnevniku o varnosti sistema Windows, kjer je okrepil sporočilo, da so trenutno podprti osebni računalniki z operacijskim sistemom Windows z najnovejšimi varnostnimi popravki varni pred zlonamerno programsko opremo. Poleg tega so bili Windows Defenderji že posodobljeni, da zagotavljajo zaščito v realnem času.
»12. maja 2017 smo odkrili novo izsiljevalsko programsko opremo, ki se širi kot črv z izkoriščanjem ranljivosti, ki so bile predhodno odpravljene,« se je začel Microsoftov povzetek napada. »Medtem ko se varnostne posodobitve samodejno uporabljajo v večini računalnikov, lahko nekateri uporabniki in podjetja odložijo uvedbo popravkov. Na žalost se zdi, da je zlonamerna programska oprema, znana kot WannaCrypt, prizadela računalnike, ki niso uporabili popravka za te ranljivosti. Medtem ko se napad odvija, opozarjamo uporabnike, naj namestijo MS17-010, če tega še niso storili.«
Izjava se nadaljuje: »Microsoftova telemetrija proti zlonamerni programski opremi je takoj zaznala znake te kampanje. Naši strokovni sistemi so nam omogočili preglednost in kontekst tega novega napada, ko se je zgodil, kar je omogočilo protivirusnemu programu Windows Defender, da zagotavlja zaščito v realnem času. Z avtomatizirano analizo, strojnim učenjem in napovednim modeliranjem smo se lahko hitro zaščitili pred to zlonamerno programsko opremo.«
Avast je nadalje špekuliral, da je hekerska skupina, ki se imenuje ShadowBrokers, ukradla osnovni podvig skupini Equation Group, za katero se sumi, da je povezana z NSA. Izkoriščanje je znano kot ETERNALBLUE in ga je Microsoft poimenoval MS17-010.
Ko zlonamerna programska oprema napade, spremeni ime prizadetih datotek tako, da vključuje pripono ».WNCRY« in doda »WANACRY!« na začetku vsake datoteke. Prav tako postavi svojo opombo o odkupnini v besedilno datoteko na žrtvinem računalniku:
Avast
Nato izsiljevalska programska oprema prikaže svoje sporočilo o odkupnini, ki zahteva med 300 in 600 USD v valuti bitcoin, ter poda navodila, kako plačati in nato obnoviti šifrirane datoteke. Jezik v navodilih za odkupnino je nenavadno ležeren in se zdi podoben temu, kar bi lahko prebrali v spletni ponudbi za nakup izdelka. Pravzaprav imajo uporabniki tri dni časa za plačilo, preden se odkupnina podvoji, in sedem dni za plačilo, preden datotek ne bo več mogoče obnoviti.
Avast
Zanimivo je, da je napad upočasnil ali potencialno ustavil »naključni junak« preprosto z registracijo spletne domene, ki je bila trdo kodirana v kodo izsiljevalske programske opreme. Če bi se ta domena odzvala na zahtevo zlonamerne programske opreme, bi prenehala okuževati nove sisteme - delovala bi kot nekakšno "kill switch", ki bi ga kiberkriminalci lahko uporabili za zaustavitev napada.
Kot Guardian poudarja, raziskovalec, znan samo kot MalwareTech, registriral domeno za 10,69 USD, se v času preklopa ni zavedal in rekel: »Bil sem zunaj na kosilu s prijateljem in se vrnil okoli 15. ure. in opazil pritok novic o NHS in različnih organizacijah Združenega kraljestva udarec. To sem malo preučil, nato pa sem našel vzorec zlonamerne programske opreme za njim in videl, da se povezuje z določeno domeno, ki ni bila registrirana. Zato sem ga vzel v roke, ne da bi vedel, kaj je takrat naredil.«
MalwareTech je domeno registriral v imenu svojega podjetja, ki sledi botnetom, in sprva so jih obtožili, da so sprožili napad. »Na začetku je nekdo napačno prijavil, da smo okužbo povzročili z registracijo domene, tako da sem jo mala norost, dokler nisem ugotovil, da je pravzaprav obratno, in smo ga ustavili,« je za The MalwareTech povedal Varuh.
Vendar to verjetno ne bo konec napada, saj bodo napadalci morda lahko spremenili kodo in izpustili stikalo za uničenje. Edini pravi popravek je zagotoviti, da so stroji popolnoma zakrpani in izvajajo pravo programsko opremo za zaščito pred zlonamerno programsko opremo. Čeprav so stroji Windows tarče tega posebnega napada, MacOS je pokazal svojo ranljivost zato bi morali tudi uporabniki Applovega operacijskega sistema narediti ustrezne korake.
V veliko svetlejših novicah se zdaj zdi, da obstaja novo orodje, ki lahko določi šifrirni ključ, ki ga uporablja izsiljevalska programska oprema na nekaterih računalnikih in omogoča uporabnikom, da obnovijo svoje podatke. Novo orodje, imenovano Wanakiwi, je podobno drugemu orodju, Wannakey, vendar ponuja enostavnejši vmesnik in lahko potencialno popravi stroje, ki uporabljajo več različic sistema Windows. Kot Ars Technica poroča, Wanakiwi uporabi nekaj trikov za obnovitev praštevil, uporabljenih pri ustvarjanju šifrirnega ključa, v bistvu tako, da ta števila potegne iz Oven če okuženi stroj ostane vklopljen in podatki še niso bili prepisani. Wanawiki izkorišča nekatere "pomanjkljivosti" v programskem vmesniku Microsoft Cryptographic, ki so ga WannaCry in različne druge aplikacije uporabljale za ustvarjanje šifrirnih ključev.
Po besedah Benjamina Delpyja, ki je pomagal razviti Wanakiwi, je bilo orodje preizkušeno na številnih strojih s šifriranimi trdimi diski in je bilo uspešno pri dešifriranju več njih. Windows Server 2003 in Windows 7 sta bila med testiranimi različicami in Delpy predvideva, da bo Wanakiwi deloval tudi z drugimi različicami. Kot pravi Delpy, lahko uporabniki »preprosto prenesejo Wanakiwi in če je ključ mogoče znova sestaviti, ga izvleče, rekonstruira (dobrega) in začne dešifrirati vse datoteke na disku. Poleg tega lahko ključ, ki ga pridobim, uporabim z dešifratorjem zlonamerne programske opreme, da dešifrira datoteke, kot če bi plačal.«
Slaba stran je, da niti Wanakiwi niti Wannakey ne delujeta, če je bil okuženi računalnik znova zagnan ali če je bil pomnilniški prostor, v katerem so praštevila, že prepisan. Torej je vsekakor orodje, ki ga je treba prenesti in imeti pripravljeno. Za dodatno brezskrbnost je treba omeniti, da je varnostno podjetje Comae Technologies pomagalo pri razvoju in testiranju Wanakiwi in lahko preveri njegovo učinkovitost.
Ti lahko prenesite Wanakiwi tukaj. Preprosto razpakirajte aplikacijo in jo zaženite ter upoštevajte, da se bo Windows 10 pritožil, da je aplikacija neznan program in da boste morali pritisniti »Več informacij«, da ji omogočite zagon.
Mark Coppock/Digitalni trendi
Ransomware je ena najhujših vrst zlonamerne programske opreme, saj napade naše podatke in jih zaklene za močno šifriranje, razen če napadalcu plačamo denar v zameno za ključ za odklepanje. V izsiljevalski programski opremi je nekaj osebnega, zaradi česar se razlikuje od naključnih napadov zlonamerne programske opreme, ki naše osebne računalnike spremenijo v robote brez obraza.
Edini najboljši način za zaščito pred WCry je zagotoviti, da je vaš računalnik z operacijskim sistemom Windows v celoti popravljen z najnovejšimi posodobitvami. Če ste sledili Microsoftovemu torkovemu urniku popravkov in izvajali vsaj Windows Defender, bi morali vaši računalniki že biti zaščiten – čeprav je varnostna kopija vaših najpomembnejših datotek brez povezave, ki se jih tak napad ne more dotakniti, pomemben korak k vzemi. V prihodnje bo na tisoče strojev, ki še niso bili popravljeni, še naprej trpeli zaradi tega zelo razširjenega napada.
Posodobil 19. 5. 2017 Mark Coppock: dodane informacije o orodju Wanakiwi.
Priporočila urednikov
- Napadi izsiljevalske programske opreme so se močno povečali. Tukaj je opisano, kako ostati varen
- Hekerji dosegajo rezultate z izsiljevalsko programsko opremo, ki napada svoje prejšnje žrtve
