Atak ransomware Wannacry: 3 najważniejsze rzeczy do poznania

Ataki ransomware, nazwane WannaCry, zostały zgłoszone na całym świecie przez ekspertów ds. Bezpieczeństwa cybernetycznego w piątek i wydano wiele ostrzeżeń, które sugerują zwiększenie środków bezpieczeństwa na urządzeniach podłączonych do sieci, ponieważ w tym tygodniu spodziewana jest druga fala ataków.

Ataki ransomware - dziesięcioletnia sztuczka hakerów - uderzyły głównie w Rosję, Ukrainę, Hiszpanię, Wielką Brytanię i Indie.

Inne kraje, w tym USA, Brazylia, Chiny, między innymi z Ameryki Północnej, Ameryki Łacińskiej, Europy i Azji zostały dotknięte atakiem ransomware.

Oprogramowanie ransomware szyfruje pliki na urządzeniu z rozszerzeniem „.wcry” i jest inicjowane przez zdalne wykonanie kodu SMBv2 (Server Message Block Version 2).

Przeczytaj także: Co to jest Ransomware i jak się przed nim chronić? i czy Smartphone jest podatny na atak WannaCry Ransomware?

Globalny zespół ds. Badań i analiz firmy Kaspersky Lab wskazał, że „niezałatane komputery z systemem Windows, które ujawniają swoje usługi SMB, mogą być atakowane zdalnie”, a „ta luka wydaje się być najważniejszym czynnikiem, który spowodował epidemię”.

Zgłoszono, że grupa hakerska Shadow Brokers jest odpowiedzialna za dokonanie tego szkodliwego oprogramowania w Internecie 14 kwietnia.

Jak powszechny jest atak?

Pełny wpływ tego ataku jest nadal nieznany, ponieważ eksperci od cyberbezpieczeństwa oczekują dodatkowych fal ataku, aby trafić więcej systemów.

Według raportu w New York Times, atak przejął kontrolę nad ponad 200 000 komputerów w ponad 150 krajach.

Dotknęły firmy i agencje rządowe, w tym rosyjskie ministerstwa, FedEx, Deutsche Bahn (Niemcy), Telefonica (Hiszpania), Renault (francuski), Qihoo (Chiny) i brytyjską National Health Service.

Hiszpański zespół ds. Reagowania na awarie komputerowe (CCN-CERT) wezwał również do wysokiej alertu w kraju, ponieważ mówi, że organizacje mogły zostać dotknięte przez oprogramowanie ransomware.

„Złośliwe oprogramowanie WannaCrypt szybko rozprzestrzeniło się na całym świecie i pochodzi z exploitów skradzionych NSA w USA. Firma Microsoft wydała aktualizację zabezpieczeń, aby naprawić tę lukę, ale wiele komputerów pozostało niezałatanych na całym świecie - oświadczył Microsoft.

Dotyczy to następujących programów:

• Windows Server 2008 dla systemów 32-bitowych
• Windows Server 2008 dla 32-bitowego dodatku Service Pack 2 dla systemów
• Windows Server 2008 dla systemów opartych na procesorach Itanium
• Windows Server 2008 dla dodatku Service Pack 2 dla systemów opartych na procesorach Itanium
• Windows Server 2008 dla systemów opartych na procesorze x64
• Windows Server 2008 dla dodatku Service Pack 2 dla systemów opartych na procesorze x64
• Windows Vista
• Dodatek Service Pack 1 dla systemu Windows Vista
• Dodatek Service Pack 2 dla systemu Windows Vista
• Windows Vista x64 Edition
• Dodatek Service Pack 1 dla systemu Windows Vista x64 Edition
• Dodatek Service Pack 2 dla systemu Windows Vista x64 Edition
• System Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 i R2
• Windows 10
• Windows Server 2016

Jak to wpływa na systemy?

Szkodnik szyfruje pliki zawierające rozszerzenia biurowe, arhives, pliki multimedialne, pocztowe bazy danych i wiadomości e-mail, kod źródłowy programisty i pliki projektu, pliki graficzne i graficzne i wiele więcej.

Wraz z złośliwym oprogramowaniem instalowane jest także narzędzie deszyfrujące, które pomaga w wykupieniu okupu wymaganego w Bitcoinach o wartości 300 USD, a także odszyfrowaniu plików po dokonaniu płatności.

Narzędzie deszyfrujące uruchamia dwa zegary odliczające - 3-dniowy zegar, po którym wskazano, że okup wzrośnie i 7-dniowy zegar, który wskazuje czas pozostały do ​​utraty plików na zawsze.

Biorąc pod uwagę, że narzędzie programowe ma możliwość tłumaczenia swojego tekstu na wiele języków, oczywiste jest, że atak jest wymierzony globalnie.

Aby zapewnić, że narzędzie deszyfrujące zostanie znalezione przez użytkownika, złośliwe oprogramowanie zmienia również tapetę danego komputera.

Jak zachować bezpieczeństwo?

• Upewnij się, że baza danych oprogramowania antywirusowego jest zaktualizowana i chroni system w czasie rzeczywistym i uruchamia skanowanie.
• Jeśli wykryte zostanie złośliwe oprogramowanie: Trojan.Win64.EquationDrug.gen, upewnij się, że zostanie ono poddane kwarantannie i usunięte, a następnie uruchom ponownie system.
• Jeśli jeszcze tego nie zrobiłeś, zaleca się zainstalowanie oficjalnej poprawki Microsoftu - MS17-010 - która łagodzi wykorzystywanie luki SMB w ataku.
• Możesz także wyłączyć SMB na komputerze, korzystając z tego przewodnika firmy Microsoft.
• Organizacje mogą izolować porty komunikacyjne UDP 137 i 138 oraz porty 139 i 445 TCP.

Systemy oparte na USA zostały zabezpieczone przypadkowo

22-letni brytyjski badacz bezpieczeństwa przypadkowo zamknął złośliwe oprogramowanie, by nie rozprzestrzenił się do sieci w USA, kiedy kupił domenę kill switch szkodliwego oprogramowania, która nie była jeszcze zarejestrowana.

Gdy tylko witryna została uruchomiona, atak został zamknięty. Możesz przeczytać jego pełny raport tutaj o tym, jak ujawnił przełącznik zabójstw dla złośliwego oprogramowania i ostatecznie go wyłączyć.

Przeczytaj także: Ta krytyczna luka w zabezpieczeniach systemu Android pozostaje niezmieniona przez Google.

„Był już inny wariant oprogramowania ransomware, które nie ma przełącznika zabijania, co utrudnia jego przechowywanie. Już zaczęło zarażać kraje w Europie ”, powiedział Sharda Tickoo, szef techniczny Trend Micro India.

Nadal nie jest jasne, kto jest odpowiedzialny za atak, a spekulacje wskazują na Shadow Brokers - którzy są również odpowiedzialni za uwalnianie szkodliwego oprogramowania w Internecie - lub za wiele organizacji hakerskich.

Obejrzyj film GT Hindi na temat Wannacry / Wannacrypt Ransomware poniżej.