WannaCry – było groźnie, ale mogło być gorzej – PC World – Testy i Ceny sprzętu PC, RTV, Foto, Porady IT, Descarga, Aktualności hotel palme monterosso al mare sp

Oprogramowanie wymuszające okup o nazwie WanaCrypt0r, znane też pod nazwą WannaCry, feralnego dnia zaatakowało m.in. komputery pracowników firm telekomunikacyjnych w Portugalii, Rosji i Hiszpanii – dla zatrudnionych w tamtejszej Telefonice weekend zaczął się wcześniei: recargo a la luz de las partes de las partes de la vista de los animales y de las partes de las partes de los animales y de las partes de la empresa.

Oberukło v.luc, n. Ez te., N., V. N., V. N., V.,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, El Najgorzej sytuacja przedstawiała się wielkiej Brytanii, gdzie ransomware sparaliżował pracę kilkudziesięciu szpitali skupionych w sieci NHS. W niektórych krajach padły bankomaty, parkometry i automatyczne stacje paliw.

Narzędzie wykorzystane w ataku nosi nazwę Azul eterno i, jak się wydaje, pochodzi z arsenału amerykańskiej Agencji Bezpieczeństwa Narodowego (za wyciekiem narzędzi hakerskich z NSA i publikacją informacji na icich temat w kwietniu br. stała grupa embutido). Azul eterno Haga clic aquí para obtener información sobre el bloque de mensajes del servidor. W pierwszej kolejności w systemie instalowany był rootkit pobierający oprogramowanie ransomware. To z kolei szyfrowało pliki o 179 różnych rozszerzeniach, dodając do nich rozszerzenie .wncry lub .wnry.

Po zakończeniu szyfrowania szkodnik zmieniał tapetę pulpitu i wyświetlał komunikat o konieczności zapłaty równowartości 300 dolarów w walucie Bitcoin za odszyfrowanie danych. W razie trzydniowego opóźnienia w zapłacie okupu jego wartość rosła do 600 dolarów w bitcoinach, un po tygodniu ofiara miała stracić dostęp do plików. Napastnicy w swej łaskawości zapewniali jednak, że użytkownicy „zbyt biedni, aby zapłacić”, mogą liczyć na odblokowanie dokumentów po sześciu miesiącach. Infekuj Infc dany system, szkodnik próbował salej się rozprzestrzeniać, zarówno w sieci lokalnej, jak i przez internet, skanując je w poszukiwaniu kolejnych komputerów z ziejącą w nich dziz.

Co ciekawe, robaka WanaCrypt0r wykryto już na początku roku – eksperci Avasta zidentyfikowali go w lutym, jednak z uwagi na niemrawą propagację nie zwracał en większej uwagi. Jeszcze ciekawsze, że luka w usłudze SMB, którą wykorzystuje narzędzie Azul eterno, została załatana przez Microsoft w marcu: w połowie miesiąca firma opublikowała biuletyn bezpieczeństwa MS17-010. Łatka była jednak przeznaczona dla wybranych wersji OS-a Microsoftu: Vista, 7, 8.1 i 10. Anterior Siguiente Descripción del artículo: systemów pracowała większość zainfekowanych maszyn.

Przypadki infekcji odnotowano w ponad 150 krajach, a liczbę zaatakowanych komputerów szacuje się na ok. 200 tys. (według danych F-Secure najbardziej dotknięte atakiem kraje a: Rosja, Chiny, Francja, Tajwan, Stany Zjednoczone, Ukraina oraz Korea Południowa). Trzy dni po wybuchu infekcji, 15 maja, eksperci zespołu CERT Polska podali, że w Polsce wykryto 1235 takad adresów IP.

Pod adresem https://intel.malwaretech.com/WannaCrypt.html destępna jest interaktywna Mapa incydentów związanych z ransomwarem WannaCry. Mapa działa w oparciu o zarejestrowane domeny, do których odwołuje się ransomware. W początkowej fazie ataku mapa precyzyjnie przedstawiała kolejne incydenty, jednak obecnie ta precyzja spadła, ponieważ narzędzie zlicza wszystkie interakcje z domenami, również te, gdy użytkownicy po prostu otwierpiery aduáyas en el centro de la ciudad. Liczba takich interakcji 19 maja br. wynosiła bien. 417 tys., Ale nie jest to równoznaczne z faktyczną liczbą zainfekowanych systemów.

Przedstawiciele firm dostarczających rozwiązania ochronne komentowali na gorąco, że hasta największy atak ransomware w historii. Z perspektywy czasu można jednak ocenić, że z dużej chmury spadł mały deszcz. Jak podaje CERT Polska, w początkowej fazie ataku okup zdecydowało się zapłacić około 200 osób, całkowita suma wpłat to równowartość około 50 tysięcy dolarów.

Kto wie, czy skala epidemii nie porłaby znacznie większa, gdyby nie reakcja 22-letniego informatyka Marcusa Hutchinsa, który już w dniu ataku odkrył, jak unieszkodliwić WannaCry. W wyniku analizy szkodnika odkrył on, że oprogramowanie próbuje się połączyć z pewną domeną – w tym konkretnym przypadku było to iuqerfsodp9ifjaposdfjhgosurijfaewwwwww.

Hutchins ustalił, że w wypadku posiadanej przez niego próbki wspomniana domena nie była zarejestrowana, wobec czego zarejestrował ją z zamiarem śledzenia skali i dalszego przebiegu ataku. Tymczasem uruchomił tzw. interruptor de apagado, coś w rodzaju bezpiecznika, którego aktywacja wygasza atak. Eksperci brytyjskiego Narodowego Centrum Cyberbezpieczeństwa szacują, że zapobiegło to kolejnym 100 tysiącom infekcji.

Teoretycznie plików zaszyfrowanych ransomware’m samodzielnie odblokować się nie dało. Francuscy informatycy opracowali jednak narzędzie o nazwie wanakiwi, które rekonstruowało klucz szyfrujący użyty do zablokowania plików. Wanawiki nie deszyfrowało plików, ale tworzyło ich niezablokowane duplikaty. Warunek był jeden: komputera z WannaCry nie można było restartować przed uruchomieniem wanakiwi.

Historia szkodnika WanaCrypt0r / WannaCry dobitnie pokazuje, jak ważna jest systematyczna aktualizacja oprogramowania oraz stosowanie najnowszych wersji aplikacji wspieranych przez dostawców. Zatrzymanie epidemii WannaCry nie oznacza całkowitej eliminacji zagrożenia. Firma Stormshield ostrzega już przez nowym złośliwym oprogramowaniem wykorzystującym tę samą podatność w usłudze SMB. Szkodnik o nazwie Adylkuzz po zainfekowaniu komputera ofiary jest wykorzystywany do pozyskiwania krypotowaluty Monero, podobnej do Bitcoina i również używanej do anonimowych transakcji w sieci. W przeciwieństwie do WannaCry, Adylkuzz pozostaje w ukryciu, aby jak najdłużej móc prowadzić swoje operacje.

Firma Eset przygotowała bezpłatne narzędzie EternalBlue Vulnerability Checker pozwalające sprawdzić, czy system Windows posiada stosowne poprawki, czyniące go odpornym na ataki z wykorzystaniem ransomware’u WannaCry. Po jego uruchomieniu użytkownik otrzymuje informację, czy system Windows został odpowiednio zaktualizowany. Jeżeli nie, należy bezzwłocznie pobrać i zainstalować en MS17-010 dla posiadanej wersji Windows.

banner