En önemlisi, İspanyol telekomünikasyon şirketi Telefonica ve Birleşik Krallık'taki hastaneler mağdur oldu. The Guardian'a göreBirleşik Krallık'taki saldırılar en az 16 Ulusal Sağlık Sistemi (NHS) tesisini vurdu ve hasta güvenliğini sağlamak için kullanılan bilgi teknolojisi (BT) sistemlerini doğrudan tehlikeye attı.
Önerilen Videolar
dur
WanaCryptOR veya WCry fidye yazılımı, Windows Server İleti Bloğu protokolünde tanımlanan ve yamalanan bir güvenlik açığına dayanmaktadır. Microsoft'un Mart 2017 Yaması Salı güvenlik güncellemeleri, Kaspersky Labs'ın raporu. WCry'nin ilk versiyonu Şubat ayında belirlendi ve o zamandan beri 28 farklı dile çevrildi.
Microsoft yanıt verdi
Saldırıya kendi Windows Güvenliği blog gönderisiyle yanıt verdi ve burada en son güvenlik yamalarını çalıştıran şu anda desteklenen Windows PC'lerin kötü amaçlı yazılımlara karşı güvenli olduğu mesajını güçlendirdi. Ayrıca Windows Defenders, gerçek zamanlı koruma sağlayacak şekilde güncellendi.Microsoft'un saldırı özeti şöyle başlıyordu: "12 Mayıs 2017'de, daha önce düzeltilen güvenlik açıklarından yararlanarak solucan gibi yayılan yeni bir fidye yazılımı tespit ettik." “Güvenlik güncellemeleri çoğu bilgisayarda otomatik olarak uygulanırken, bazı kullanıcılar ve kuruluşlar yamaların dağıtımını geciktirebilir. Ne yazık ki, WannaCrypt olarak bilinen kötü amaçlı yazılımın, bu güvenlik açıklarına yönelik yamayı uygulamayan bilgisayarları etkilediği görülüyor. Saldırı devam ederken kullanıcılara henüz yapmamışlarsa MS17-010'u yüklemelerini hatırlatıyoruz."
Açıklama şöyle devam etti: “Microsoft kötü amaçlı yazılımdan koruma telemetrisi bu kampanyanın işaretlerini hemen tespit etti. Uzman sistemlerimiz bu yeni saldırı gerçekleştiği anda bize görünürlük ve bağlam kazandırarak Windows Defender Antivirus'ün gerçek zamanlı savunma sunmasına olanak sağladı. Otomatik analiz, makine öğrenimi ve tahmine dayalı modelleme sayesinde bu kötü amaçlı yazılıma karşı hızla koruma sağlamayı başardık."
Avast ayrıca, altta yatan istismarın, kendilerine ShadowBrokers adını veren bir hacker grubu tarafından NSA'ya bağlı olduğundan şüphelenilen Equation Group'tan çalındığını öne sürdü. Bu istismar ETERNALBLUE olarak biliniyor ve Microsoft tarafından MS17-010 olarak adlandırılıyor.
Kötü amaçlı yazılım bulaştığında, etkilenen dosyaların adını bir ".WNCRY" uzantısı içerecek şekilde değiştirir ve bir "WANACRY!" Her dosyanın başındaki işaretleyici. Ayrıca fidye notunu kurbanın makinesindeki bir metin dosyasına da yerleştirir:
dur
Daha sonra fidye yazılımı, bitcoin para birimi cinsinden 300 ile 600 dolar arasında talep eden fidye mesajını görüntüler ve nasıl ödeme yapılacağına ve şifrelenmiş dosyaların nasıl kurtarılacağına ilişkin talimatlar sağlar. Fidye talimatlarındaki dil ilginç bir şekilde gündelik ve internetten bir ürün satın alma teklifinde okunabilecek dille benzer görünüyor. Aslında, kullanıcıların fidye iki katına çıkmadan önce ödeme yapmak için üç günü ve dosyaların artık kurtarılamaz hale gelmesinden önce ödeme yapmak için yedi günü var.
dur
İlginç bir şekilde, saldırı, bir "kazara kahraman" tarafından fidye yazılımı koduna sabit kodlanmış bir web alan adının kaydedilmesiyle yavaşlatıldı veya potansiyel olarak durduruldu. Bu etki alanı, kötü amaçlı yazılımdan gelen bir talebe yanıt verirse, yeni sistemlere bulaşmayı durduracak ve siber suçluların saldırıyı durdurmak için kullanabileceği bir tür "sonlandırma anahtarı" görevi görecektir.
Gibi The Guardian dikkat çekiyorYalnızca MalwareTech olarak bilinen araştırmacı, alan adını 10,69 dolara kaydettirdi, kapatma anahtarının anında farkında değildi ve şöyle dedi: "Ben dışarıdaydım bir arkadaşımla öğle yemeği yiyordum ve öğleden sonra 3 civarında geri döndüm. NHS ve Birleşik Krallık'taki çeşitli kuruluşlar hakkında çok sayıda haber makalesinin yayınlandığını gördük. vurmak. Bunu biraz araştırdım ve arkasında kötü amaçlı yazılımın bir örneğini buldum ve bunun kayıtlı olmayan belirli bir alana bağlandığını gördüm. O zaman ne yaptığını bilmeden onu aldım.”
MalwareTech, alanı botnet'leri takip eden şirketi adına kaydettirdi ve ilk başta saldırıyı başlatmakla suçlandı. "Başlangıçta birisi, etki alanını kaydettirerek enfeksiyona neden olduğumuzu yanlış bir şekilde bildirmişti, bu yüzden ben de MalwareTech, The'e şöyle konuştu: "Aslında tam tersi olduğunu ve bunu durdurduğumuzu anlayana kadar küçük bir çılgınlık yaşadım." Muhafız.
Ancak bu muhtemelen saldırının sonu olmayacak çünkü saldırganlar, öldürme anahtarını devre dışı bırakacak şekilde kodu değiştirebilecekler. Tek gerçek çözüm, makinelerin tamamen yamalandığından ve doğru kötü amaçlı yazılımdan koruma yazılımını çalıştırdığından emin olmaktır. Windows makineleri bu özel saldırının hedefi olsa da, MacOS kendi güvenlik açığını gösterdi bu nedenle Apple'ın işletim sistemi kullanıcılarının da uygun adımları attığından emin olmaları gerekir.
Çok daha parlak bir haber şu ki, bazı makinelerde fidye yazılımı tarafından kullanılan şifreleme anahtarını belirleyerek kullanıcıların verilerini kurtarmasına olanak tanıyan yeni bir araç var gibi görünüyor. Wanakiwi adı verilen yeni araç, başka bir araca benziyor. Wannakey, ancak daha basit bir arayüz sunar ve Windows'un daha fazla sürümünü çalıştıran makineleri potansiyel olarak düzeltebilir. Gibi Ars Technica'nın raporuWanakiwi, şifreleme anahtarını oluştururken kullanılan asal sayıları kurtarmak için bazı hileler kullanıyor; temel olarak bu sayıları Veri deposu virüslü makine açık kalırsa ve verilerin üzerine henüz yazılmamışsa. Wanawiki, WannaCry ve diğer çeşitli uygulamalar tarafından şifreleme anahtarları oluşturmak için kullanılan Microsoft Şifreleme uygulama programlama arayüzündeki bazı "eksikliklerden" yararlanıyor.
Wanakiwi'nin geliştirilmesine yardımcı olan Benjamin Delpy'ye göre araç, şifrelenmiş sabit disklere sahip bir dizi makinede test edildi ve birçoğunun şifresini çözmede başarılı oldu. Test edilen sürümler arasında Windows Server 2003 ve Windows 7 yer alıyor ve Delpy, Wanakiwi'nin diğer sürümlerle de çalışacağını varsayıyor. Delpy'nin belirttiği gibi, kullanıcılar "sadece Wanakiwi'yi indirebilir ve eğer anahtar yeniden oluşturulabiliyorsa, anahtar onu çıkarır, yeniden yapılandırır (iyi bir anahtar) ve diskteki tüm dosyaların şifresini çözmeye başlar. Bonus olarak, elde ettiğim anahtar, kötü amaçlı yazılım şifre çözücüyle birlikte kullanılarak, sanki para ödemişsin gibi dosyaların şifresini çözebilir."
Dezavantajı ise, virüslü bilgisayar yeniden başlatıldığında veya asal sayıların bulunduğu bellek alanının üzerine yazıldığında ne Wanakiwi ne de Wannakey'nin çalışmamasıdır. Bu yüzden kesinlikle indirilmesi ve hazır bulundurulması gereken bir araçtır. Biraz daha gönül rahatlığı sağlamak için, güvenlik firması Comae Technologies'in Wanakiwi'nin geliştirilmesine ve test edilmesine yardımcı olduğunu ve etkinliğini doğrulayabildiğini belirtmek gerekir.
Yapabilirsiniz Wanakiwi'yi buradan indirin. Sadece uygulamanın sıkıştırmasını açın ve çalıştırın; Windows 10'un, uygulamanın bilinmeyen bir program olduğundan şikayet edeceğini ve çalışmasına izin vermek için "Daha fazla bilgi"ye basmanız gerekeceğini unutmayın.
Mark Coppock/Dijital Trendler
Fidye yazılımı en kötü kötü amaçlı yazılım türlerinden biridir; çünkü saldırgana, kilidini açacak bir anahtar karşılığında para ödemediğimiz sürece bilgilerimize saldırır ve onları güçlü şifrelemenin arkasına kilitler. Fidye yazılımını, bilgisayarlarımızı meçhul robotlara dönüştüren rastgele kötü amaçlı yazılım saldırılarından farklı kılan kişisel bir şey vardır.
WCry'ye karşı korumanın en iyi yolu, Windows PC'nizin en son güncellemelerle tamamen yamalı olduğundan emin olmaktır. Microsoft'un Salı Yaması programını takip ediyorsanız ve en azından Windows Defender çalıştırıyorsanız, makineleriniz zaten çalışıyor olmalıdır. korumalı - ancak bu tür bir saldırının etkileyemeyeceği en önemli dosyalarınızın çevrimdışı bir yedeğini almak önemli bir adımdır almak. İleride, bu yaygın saldırıdan zarar görmeye devam edecek olanlar henüz yama uygulanmamış binlerce makine olacak.
19.05.2017 tarihinde Mark Coppock tarafından güncellendi: Wanakiwi aracı hakkında bilgi eklendi.
Editörlerin Önerileri
- Fidye yazılımı saldırıları büyük oranda arttı. İşte nasıl güvende kalacağınız
- Bilgisayar korsanları önceki kurbanlarına saldıran fidye yazılımlarıyla puan topluyor