Пре свега, жртва је била шпанска телекомуникациона компанија Телефоница, као и болнице широм Уједињеног Краљевства. Према Тхе Гуардиан-у, напади у Уједињеном Краљевству погодили су најмање 16 установа Националног здравственог система (НХС) и директно компромитовали системе информационих технологија (ИТ) који се користе за осигурање безбедности пацијената.
Препоручени видео снимци
Аваст
ВанаЦриптОР, или ВЦри, рансомвер је заснован на рањивости која је идентификована у протоколу Виндовс Сервер Мессаге Блоцк и закрпљена је у Мицрософт-ова закрпа за март 2017. у уторак безбедносне исправке, извештава Касперски Лабс. Прва верзија ВЦри-а идентификована је у фебруару и од тада је преведена на 28 различитих језика.
Мицрософт је одговорио на напад сопственим Виндовс Сецурити блог постом, где је појачао поруку да су тренутно подржани Виндовс рачунари са најновијим безбедносним закрпама безбедни од малвера. Поред тога, Виндовс Дефендерс је већ био ажуриран како би пружио заштиту у реалном времену.
„12. маја 2017. открили смо нови рансомвер који се шири попут црва користећи рањивости које су претходно поправљене“, започео је Мицрософтов резиме напада. „Док се безбедносне исправке аутоматски примењују на већину рачунара, неки корисници и предузећа могу одложити примену закрпа. Нажалост, изгледа да је малвер, познат као ВаннаЦрипт, утицао на рачунаре који нису применили закрпу за ове рањивости. Док се напад одвија, подсећамо кориснике да инсталирају МС17-010 ако то већ нису урадили.
У изјави се наставља: „Мицрософтова телеметрија против малвера одмах је открила знаке ове кампање. Наши експертски системи су нам дали видљивост и контекст у овом новом нападу док се десио, омогућавајући Виндовс Дефендер Антивирусу да пружи одбрану у реалном времену. Путем аутоматизоване анализе, машинског учења и предиктивног моделирања, успели смо да се брзо заштитимо од овог малвера.“
Аваст је даље спекулисао да је основни експлоат украла група Екуатион, за коју се сумња да је повезана са НСА, од стране хакерске групе која себе назива СхадовБрокерс. Експлоатација је позната као ЕТЕРНАЛБЛУЕ и названа је од стране Мицрософта МС17-010.
Када злонамерни софтвер удари, мења назив захваћених датотека тако да укључује екстензију „.ВНЦРИ“ и додаје „ВАНАЦРИ!“ маркер на почетку сваке датотеке. Такође ставља своју поруку о откупнини у текстуалну датотеку на машини жртве:
Аваст
Затим, рансомваре приказује своју поруку о откупнини која захтева између 300 и 600 долара у биткоин валути и даје упутства о томе како да платите, а затим повратите шифроване датотеке. Језик у упутствима за откуп је необично необичан и изгледа сличан ономе што се може прочитати у понуди за куповину производа на мрежи. У ствари, корисници имају три дана да плате пре него што се откупнина удвостручи и седам дана да плате пре него што се датотеке више неће моћи вратити.
Аваст
Занимљиво је да је напад успорио или потенцијално зауставио „случајни херој“ једноставно регистрацијом веб домена који је био тврдо кодиран у коду за рансомваре. Ако би тај домен одговорио на захтев злонамерног софтвера, онда би престао да инфицира нове системе – делујући као нека врста „прекидача“ који би сајбер криминалци могли да користе да искључе напад.
Као Гардијан истиче, истраживач, познат само као МалвареТецх, регистровао је домен за 10,69 долара, није био свестан у тренутку прекидања, рекавши: „Био сам напољу ручао са пријатељем и вратио се око 15 часова. и видео прилив новинских чланака о НХС-у и разним британским организацијама хит. Мало сам погледао у то и онда сам пронашао узорак малвера иза тога и видео да се повезује са одређеним доменом, који није регистрован. Тако да сам га подигао не знајући шта је урадио у то време.”
МалвареТецх је регистровао домен у име своје компаније, која прати ботнете, и у почетку су били оптужени да су покренули напад. „У почетку је неко погрешно пријавио да смо изазвали инфекцију регистрацијом домена, тако да сам мала лудница док нисам схватио да је заправо обрнуто и зауставили смо то“, рекао је МалвареТецх за Тхе Старатељ.
Међутим, то вероватно неће бити крај напада, јер би нападачи могли да промене код како би изоставили прекидач за убијање. Једино право решење је да се уверите да су машине у потпуности закрпљене и да користе одговарајући софтвер за заштиту од малвера. Док су Виндовс машине мета овог напада, МацОС је показао сопствену рањивост тако да би корисници Аппле-овог ОС-а такође требало да предузму одговарајуће кораке.
У много светлијим вестима, сада се чини да постоји нова алатка која може да одреди кључ за шифровање који користи рансомваре на неким машинама омогућава корисницима да опораве своје податке. Нови алат, назван Ванакиви, сличан је другом алату, Ваннакеи, али нуди једноставнији интерфејс и потенцијално може да поправи машине са више верзија Виндовс-а. Као Арс Тецхница извештава, Ванакиви користи неке трикове да поврати просте бројеве који се користе у креирању кључа за шифровање, у основи повлачећи те бројеве из РАМ ако заражена машина остане укључена и подаци већ нису преписани. Ванавики користи неке „недостатке“ у програмском интерфејсу Мицрософт Цриптограпхиц апликације који је користио ВаннаЦри и разне друге апликације за креирање кључева за шифровање.
Према речима Бенџамина Делпија, који је помогао у развоју Ванакиви-ја, алат је тестиран на бројним машинама са шифрованим чврстим дисковима и био је успешан у дешифровању неколико њих. Виндовс Сервер 2003 и Виндовс 7 били су међу тестираним верзијама, а Делпи претпоставља да ће Ванакиви радити и са другим верзијама. Како Делпи каже, корисници могу „само да преузму Ванакиви, и ако се кључ може поново конструисати, он га издваја, реконструише (добар) и започиње дешифровање свих датотека на диску. Као бонус, кључ који добијем може да се користи са дешифровачем злонамерног софтвера да би дешифровао датотеке као да сте платили."
Лоша страна је што ни Ванакиви ни Ваннакеи не раде ако је заражени рачунар поново покренут или ако је меморијски простор који садржи просте бројеве већ преписан. Дакле, то је дефинитивно алат који би требало да се преузме и да буде спреман. За додатни мир, треба напоменути да је безбедносна фирма Цомае Тецхнологиес помогла у развоју и тестирању Ванакиви-ја и да може да провери његову ефикасност.
Можете преузмите Ванакиви овде. Само декомпримирајте апликацију и покрените је и имајте на уму да ће се Виндовс 10 жалити да је апликација непознати програм и да ћете морати да притиснете „Више информација“ да бисте јој дозволили да се покрене.
Марк Цоппоцк/Дигитал Трендс
Рансомваре је једна од најгорих врста злонамерног софтвера по томе што напада наше информације и закључава их иза јаког шифровања осим ако нападачу не платимо новац у замену за кључ да их откључа. Постоји нешто лично у вези са рансомвером што га чини другачијим од насумичних напада малвера који претварају наше рачунаре у безличне ботове.
Једини најбољи начин да се заштитите од ВЦри-а је да се уверите да је ваш Виндовс рачунар у потпуности закрпљен са најновијим ажурирањима. Ако сте пратили Мицрософтов распоред закрпа за уторак и користите барем Виндовс Дефендер, онда би ваше машине већ требало да буду заштићени — иако је ванмрежна резервна копија ваших најважнијих датотека које не може да дотакне такав напад важан корак за узети. Убудуће, хиљаде машина које још увек нису закрпљене ће и даље трпети од овог широко распрострањеног напада.
Ажурирано 19.5.2017. од Марка Копока: Додате информације о Ванакиви алату.
Препоруке уредника
- Напади рансомваре-а су масовно порасли. Ево како да останете безбедни
- Хакери забијају помоћу рансомваре-а који напада своје претходне жртве