Po piątkowym ataku - czym jest i jak działa ransomware WannaCry?

Środa, 17 Maja 2017, 8:23 Hacking

Cyberatak, do którego doszło w piątek 12 maja, według szefa Europolu dotknął 200 tys. podmiotów w co najmniej 150 krajach. Z kolei eksperci firmy Kaspersky Lab mówią o ponad 45 tysiącach ataków na sieci informatyczne w 74 krajach, głównie w Rosji.

Dane i liczby podawane przez różne źródła z różnych krajów mogą się różnić. Wszyscy są natomiast zgodni co do tego, że cyberatak przeprowadzony został za pomocą złośliwego oprogramowania typu ransomware, które po zainfekowaniu komputera szyfruje jego dyski i domaga się zapłacenia okupu za przywrócenie dostępu.

W tym konkretnym piątkowym przypadku z 12 maja br. cyberatak przeprowadzono za pomocą złośliwego oprogramowania ransomware o nazwie WannaCry, znanego także jako WCry, WannaCrypt0r oraz WannaCrypt. Czym jest i jakie ma cechy charakterystyczne to hakerskie oprogramowanie?

Oprogramowanie ransomware WannaCry atakuje głównie komputery z systemem operacyjnym Windows i jest niestety bardzo skuteczne. Jak z nim walczyć? Przede wszystkim zaleca się możliwie najszybszą aktualizację komputerów pracujących z użyciem systemów operacyjnych, które są starsze od Windows 10, z  poprawką z biuletynu Microsoft MS17-010. Jeśli aktualizacja jest z jakichś powodów niemożliwa do przeprowadzenia, należy wyłączyć obsługę protokołu SMBv1. 

Czytaj też: Ostatnie ataki hakerskie ominęły Polskę?

WannaCry infekuje komputer ofiary w ten sposób, że EternalBlue wykorzystuje lukę w obsłudze protokołu Microsoft Server Message Block 1.0 (SMBv1), która pozwala zdalnie zainstalować kod na danym, infekowanym komputerze. Wówczas, takimi metodami zainstalowana zostaje tylna furtka Double Pulsar, z pakietu NSA. Gdy przy pomocy EternalBlue ransomware uda się dostać na komputer ofiary, pyta on o domeny, które po zarejestrowaniu zostaną tzw. wyłącznikiem infekcji.

Przed procesem szyfrowania ransomware WannaCry uruchamia jako usługę kod, który powoduje zainfekowanie, zaś usługa ta nazwana jest Microsoft Security Center (2.0) Service. Następnie dochodzi do wypakowania archiwum zawierającego plik konfiguracyjny z zaszyfrowaną biblioteką DLL, które umieszczone było w dropperze.

Piątkowy cyberatak WannaCry prawdopodobnie dlatego okazał się tak skuteczny, że Microsoft w połowie marca br. umożliwił dostęp do poprawek, które łatają podatności wykorzystywane w udostępnionym wycieku. Hakerzy, którzy stoją za tym cyberatakiem zapewne wykorzystali fakt, że instalacja poprawek jest dla wielu użytkowników komputerów skomplikowana oraz fakt, że wielu internautów uważa, że aktualizacje nic nie dają więc ich nie robią, a w ten sposób ich komputery są bardziej narażone na infekcję.



Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz