Wannacry napad za ransomware: 3 ključne stvari koje treba znati

Stručnjaci za cyber sigurnost u petak su širom svijeta izvijestili o napadima Ransomwarea, koji će ići po imenu WannaCry, i objavljeno je više upozorenja kako se podrazumijevaju povećane mjere sigurnosti na uređajima povezanim s mrežom, jer se drugi tjedan napada očekuje ovaj tjedan.

Napadi ransomwarea - desetljetni hakerski trik - uglavnom su pogodili Rusiju, Ukrajinu, Španjolsku, Veliku Britaniju i Indiju.

Ostale zemlje, uključujući SAD, Brazil, Kinu, među ostalim iz Sjeverne Amerike, Latinske Amerike, Europe i Azije, pogođene su napadom ransomwarea.

Ransomware šifrira datoteke na uređaju pomoću proširenja '.wcry' i pokreće se putem udaljenog izvođenja koda SMBv2 (blok poruka poslužitelja verzija 2).

Pročitajte i: Što je Ransomware i kako se zaštititi od njega? i jesu li pametni telefoni ranjivi na WannaCry Ransomware Attack?

Tim za istraživanje i analizu laboratorija Kaspersky Lab istaknuo je da se "nepakirana Windows računala koja izlažu svoje SMB usluge mogu daljinski napasti", a "čini se da je ta ranjivost najznačajniji faktor koji je izazvao epidemiju".

Izvještava se kako je hakerska grupa Shadow Brokers odgovorna za stavljanje zlonamjernog softvera za izvođenje ovog napada na internetu 14. travnja.

Kolika je raširenost napad?

Još uvijek nije poznat puni utjecaj napada jer stručnjaci za cyber sigurnost očekuju da će dodatni valovi napada pogoditi više sustava.

Prema izvješću New York Timesa, napad je preuzeo kontrolu nad 200.000 računala u preko 150 zemalja.

Tvrtke i vladine agencije, uključujući ruska ministarstva, FedEx, Deutsche Bahn (Njemačka), Telefonica (Španjolska), Renault (francuski), Qihoo (Kina) i britanska nacionalna zdravstvena služba.

Španjolski tim za hitne slučajeve računala (CCN-CERT) također je pozvao na veliku uzbunu u zemlji jer navodi da su na organizacije mogle utjecati ransomware.

"Zlonamjerni softver WannaCrypt brzo se proširio globalno i izvlači se iz podviga ukradenih od NSA u SAD-u. Microsoft je objavio sigurnosno ažuriranje kako bi zakrpio ovu ranjivost, ali mnoga su računala ostala netaknuta širom svijeta “, izjavio je Microsoft.

Do sada je pogođen sljedeći softver:

• Windows Server 2008 za 32-bitne sustave
• Windows Server 2008 za 32-bitni sistemski servisni paket 2
• Windows Server 2008 za sustave temeljene na Itanium
• Windows Server 2008 za Itanium servisni paket 2 temeljen na sustavu Itanium
• Windows Server 2008 za sustave sa sustavom x64
• Servisni paket 2 sa sustavima utemeljenim na sustavu Windows Server 2008 za x64
• Windows Vista
• Servisni paket Windows Vista 1
• Servisni paket Windows Vista 2
• Izdanje Windows Vista x64
• Servisni paket 1 za sustav Windows Vista x64 Edition
• Servisni paket 2 za sustav Windows Vista x64 Edition
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 i R2
• Windows 10
• Windows Server 2016

Kako to utječe na sustave?

Zlonamjerni softver kriptira datoteke koje sadrže proširenja ureda, arhive, medijske datoteke, baze podataka e-pošte i e-poruke, izvorni kôd za razvojne programere i datoteke projekta, grafičke datoteke i slike i još mnogo toga.

Alat za dešifriranje također se instalira zajedno sa zlonamjernim softverom koji pomaže u pravljenju otkupnine vrijedne 300 dolara u Bitcoinsu, kao i dešifriranju datoteka nakon uplate.

Alat za dešifriranje pokreće dva odbrojavanja vremena - trodnevni tajmer, nakon čega je naznačeno da će otkupnina porasti i 7-dnevni tajmer koji pokazuje koliko je vremena preostalo prije nego što se datoteke zauvijek izgube.

S obzirom na to da softverski alat ima mogućnost prevoda svog teksta na više jezika, vidljivo je da je napad usmjeren globalno.

Kako bi se osiguralo da korisnik nađe alat za dešifriranje, zlonamjerni softver također mijenja pozadinu pogođenog računala.

Kako ostati siguran?

• Provjerite je li baza podataka vašeg antivirusnog softvera ažurirana i štiti vaš sustav u stvarnom vremenu i pokrenite skeniranje.
• Ako je otkriven zlonamjerni softver: Trojan.Win64.EquationDrug.gen, osigurajte da se on postavi u karanteni i izbriše te ponovno pokrenite sustav.
• Ako već niste, preporučuje se instaliranje Microsoftove službene zakrpe - MS17-010 - koja ublažava ranjivost SMB-a koja se iskorištava u napadu.
• Također možete onemogućiti SMB na vašem računalu pomoću Microsoftovog vodiča.
• Organizacije mogu izolirati komunikacijske priključke 137 i 138 UDP i portove 139 i 445 TCP.

Sustavi sa sjedištem u SAD-u slučajno su osigurani

Dvadesetpetogodišnji britanski istraživač sigurnosti slučajno je isključio zlonamjerni softver od širenja na mreže u SAD-u kada je kupio domenu prekidača zlonamjernog softvera koji još nije registriran.

Čim je stranica zaživjela, napad je ugašen. Ovdje možete pročitati njegovo cjelovito izvješće o tome kako je otkrio prekidač kill za zlonamjerni softver i na kraju ga zatvorio.

Također pročitajte: Ovaj kritični nedostatak sigurnosti za Android ostaje nepotvrđen od strane Googlea.

"Već je postojala druga varijanta ransomwarea koja nema prekidač kill, što ga otežava. Već je započeo zaraziti zemlje u Europi ", rekla je Sharda Tickoo, tehnička voditeljica, Trend Micro India.

Još uvijek nije jasno tko je odgovoran za napad, a nagađanja su ukazala na Shadow Brokers - koji su također odgovorni za objavljivanje zlonamjernog softvera na mreži - ili više organizacija za hakiranje.

Pogledajte video GT Hindi za Wannacry / Wannacrypt Ransomware u nastavku.