Mest anmärkningsvärt var att det spanska telekommunikationsföretaget Telefonica var ett offer, liksom sjukhus över hela Storbritannien. Enligt The Guardian, attackerna i Storbritannien drabbade minst 16 anläggningar för National Health System (NHS) och äventyrade direkt de informationstekniksystem (IT) som används för att säkerställa patientsäkerhet.
Rekommenderade videor
Avast
WanaCryptOR, eller WCry, ransomware är baserad på en sårbarhet som identifierades i Windows Server Message Block-protokollet och patchades i Microsofts patch tisdag för mars 2017 säkerhetsuppdateringar, rapporterar Kaspersky Labs. Den första versionen av WCry identifierades i februari och har sedan dess översatts till 28 olika språk.
Microsoft har svarat till attacken med sitt eget Windows Security-blogginlägg, där det förstärkte budskapet att för närvarande stödde Windows-datorer som kör de senaste säkerhetskorrigeringarna är säkra från skadlig programvara. Dessutom hade Windows Defenders redan uppdaterats för att ge realtidsskydd.
"Den 12 maj 2017 upptäckte vi en ny ransomware som sprider sig som en mask genom att utnyttja sårbarheter som tidigare har åtgärdats," började Microsofts sammanfattning av attacken. "Medan säkerhetsuppdateringar tillämpas automatiskt på de flesta datorer kan vissa användare och företag försena distributionen av patchar. Tyvärr verkar skadlig programvara, känd som WannaCrypt, ha påverkat datorer som inte har använt patchen för dessa sårbarheter. Medan attacken utspelar sig påminner vi användare att installera MS17-010 om de inte redan har gjort det."
Uttalandet fortsatte: "Microsoft antimalware-telemetri tog omedelbart upp tecken på denna kampanj. Våra expertsystem gav oss insyn och sammanhang i denna nya attack när den hände, vilket gjorde att Windows Defender Antivirus kunde leverera försvar i realtid. Genom automatiserad analys, maskininlärning och prediktiv modellering kunde vi snabbt skydda oss mot denna skadliga programvara.”
Avast spekulerade vidare att den underliggande exploateringen stals från Equation Group, som har misstänkts vara knuten till NSA, av en hackergrupp som kallar sig ShadowBrokers. Exploateringen är känd som ETERNALBLUE och heter MS17-010 av Microsoft.
När den skadliga programvaran slår till ändrar den namnet på de drabbade filerna till att inkludera ett ".WNCRY"-tillägg och lägger till ett "WANACRY!" markör i början av varje fil. Den placerar också sin lösennota i en textfil på offrets dator:
Avast
Sedan visar ransomware sitt lösenmeddelande som kräver mellan $300 och $600 i bitcoinvaluta och ger instruktioner om hur man betalar och sedan återställer de krypterade filerna. Språket i löseninstruktionerna är konstigt slentrianmässigt och liknar det man kan läsa i ett erbjudande om att köpa en produkt online. Faktum är att användarna har tre dagar på sig att betala innan lösensumman fördubblas och sju dagar på sig att betala innan filerna inte längre kan återställas.
Avast
Intressant nog bromsades attacken eller kunde stoppas av en "oavsiktlig hjälte" helt enkelt genom att registrera en webbdomän som var hårdkodad i ransomware-koden. Om den domänen svarade på en begäran från skadlig programvara, skulle den sluta infektera nya system – fungera som en sorts "kill switch" som de cyberbrottslingar kunde använda för att stänga av attacken.
Som The Guardian påpekar, forskare, endast känd som MalwareTech, registrerade domänen för $10,69 var omedveten vid tidpunkten för kill-switchen och sa: "Jag var ute åt lunch med en vän och kom tillbaka vid 15-tiden. och såg ett flöde av nyhetsartiklar om NHS och olika brittiska organisationer träffa. Jag tittade lite på det och sedan hittade jag ett prov av skadlig programvara bakom, och såg att den kopplade upp sig till en specifik domän, som inte var registrerad. Så jag tog upp det utan att veta vad det gjorde vid den tiden."
MalwareTech registrerade domänen på uppdrag av sitt företag, som spårar botnät, och till en början anklagades de för att ha initierat attacken. "Initialt hade någon rapporterat på fel sätt att vi hade orsakat infektionen genom att registrera domänen, så jag hade ett minifreakout tills jag insåg att det faktiskt var tvärtom och vi hade stoppat det, säger MalwareTech till The Väktare.
Det kommer sannolikt inte att vara slutet på attacken, eftersom angriparna kanske kan ändra koden för att utelämna kill-switchen. Den enda riktiga korrigeringen är att se till att maskiner är helt patchade och kör rätt programvara för skydd mot skadlig programvara. Medan Windows-maskiner är målen för just denna attack, MacOS har visat sin egen sårbarhet och därför bör användare av Apples OS se till att också vidta lämpliga åtgärder.
I mycket ljusare nyheter verkar det nu som att det finns ett nytt verktyg som kan bestämma krypteringsnyckeln som används av ransomware på vissa maskiner som tillåter användare att återställa sina data. Det nya verktyget, kallat Wanakiwi, liknar ett annat verktyg, Wannakey, men det erbjuder ett enklare gränssnitt och kan eventuellt fixa maskiner som kör fler versioner av Windows. Som Det rapporterar Ars Technica, använder Wanakiwi några knep för att återställa de primtal som användes för att skapa krypteringsnyckeln, i princip genom att dra dessa siffror från Bagge om den infekterade maskinen förblir påslagen och data inte redan har skrivits över. Wanawiki utnyttjar vissa "brister" i Microsofts kryptografiska applikationsprogrammeringsgränssnitt som användes av WannaCry och olika andra applikationer för att skapa krypteringsnycklar.
Enligt Benjamin Delpy, som hjälpte till att utveckla Wanakiwi, testades verktyget mot ett antal maskiner med krypterade hårddiskar och det lyckades dekryptera flera av dem. Windows Server 2003 och Windows 7 var bland de testade versionerna och Delpy antar att Wanakiwi också kommer att fungera med andra versioner. Som Delpy uttrycker det kan användare "bara ladda ner Wanakiwi, och om nyckeln kan konstrueras igen, extraherar den den, rekonstruerar den (bra) och startar dekryptering av alla filer på disken. Som bonus kan nyckeln jag erhåller användas med skadlig kod dekrypterar för att få den att dekryptera filer som om du betalade."
Nackdelen är att varken Wanakiwi eller Wannakey fungerar om den infekterade datorn har startats om eller om minnesutrymmet som innehåller primtalen redan har skrivits över. Så det är definitivt ett verktyg som bör laddas ner och hållas redo. För lite extra sinnesro bör det noteras att säkerhetsföretaget Comae Technologies hjälpte till med att utveckla och testa Wanakiwi och kan verifiera dess effektivitet.
Du kan ladda ner Wanakiwi här. Dekomprimera bara applikationen och kör den, och notera att Windows 10 kommer att klaga på att applikationen är ett okänt program och du måste trycka på "Mer info" för att tillåta den att köras.
Mark Coppock/Digital Trends
Ransomware är en av de värsta typerna av skadlig programvara, eftersom den attackerar vår information och låser in den bakom stark kryptering om vi inte betalar pengar till angriparen i utbyte mot en nyckel för att låsa upp den. Det är något personligt med ransomware som skiljer det från slumpmässiga malwareattacker som gör våra datorer till ansiktslösa bots.
Det enskilt bästa sättet att skydda sig mot WCry är att se till att din Windows-dator är helt patchad med de senaste uppdateringarna. Om du har följt Microsofts Patch Tuesday-schema och kört åtminstone Windows Defender, bör dina maskiner redan vara skyddad – även om att ha en offline-säkerhetskopia av dina viktigaste filer som inte kan vidröras av en sådan attack är ett viktigt steg för att ta. Framöver är det de tusentals maskiner som ännu inte har lappats som kommer att fortsätta att drabbas av just denna utbredda attack.
Uppdaterad 2017-05-19 av Mark Coppock: Lade till information om Wanakiwi-verktyget.
Redaktörens rekommendationer
- Ransomware-attacker har ökat kraftigt. Så här håller du dig säker
- Hackare gör poäng med ransomware som attackerar dess tidigare offer
