Po piątkowym ataku - czym jest i jak działa ransomware WannaCry?

17 maja 2017, 10:23
Hacking
Fot. Pixabay

Cyberatak, do którego doszło w piątek 12 maja, według szefa Europolu dotknął 200 tys. podmiotów w co najmniej 150 krajach. Z kolei eksperci firmy Kaspersky Lab mówią o ponad 45 tysiącach ataków na sieci informatyczne w 74 krajach, głównie w Rosji.

Dane i liczby podawane przez różne źródła z różnych krajów mogą się różnić. Wszyscy są natomiast zgodni co do tego, że cyberatak przeprowadzony został za pomocą złośliwego oprogramowania typu ransomware, które po zainfekowaniu komputera szyfruje jego dyski i domaga się zapłacenia okupu za przywrócenie dostępu.

W tym konkretnym piątkowym przypadku z 12 maja br. cyberatak przeprowadzono za pomocą złośliwego oprogramowania ransomware o nazwie WannaCry, znanego także jako WCry, WannaCrypt0r oraz WannaCrypt. Czym jest i jakie ma cechy charakterystyczne to hakerskie oprogramowanie?

Oprogramowanie ransomware WannaCry atakuje głównie komputery z systemem operacyjnym Windows i jest niestety bardzo skuteczne. Jak z nim walczyć? Przede wszystkim zaleca się możliwie najszybszą aktualizację komputerów pracujących z użyciem systemów operacyjnych, które są starsze od Windows 10, z  poprawką z biuletynu Microsoft MS17-010. Jeśli aktualizacja jest z jakichś powodów niemożliwa do przeprowadzenia, należy wyłączyć obsługę protokołu SMBv1. 

Czytaj też: Ostatnie ataki hakerskie ominęły Polskę?

WannaCry infekuje komputer ofiary w ten sposób, że EternalBlue wykorzystuje lukę w obsłudze protokołu Microsoft Server Message Block 1.0 (SMBv1), która pozwala zdalnie zainstalować kod na danym, infekowanym komputerze. Wówczas, takimi metodami zainstalowana zostaje tylna furtka Double Pulsar, z pakietu NSA. Gdy przy pomocy EternalBlue ransomware uda się dostać na komputer ofiary, pyta on o domeny, które po zarejestrowaniu zostaną tzw. wyłącznikiem infekcji.

Przed procesem szyfrowania ransomware WannaCry uruchamia jako usługę kod, który powoduje zainfekowanie, zaś usługa ta nazwana jest Microsoft Security Center (2.0) Service. Następnie dochodzi do wypakowania archiwum zawierającego plik konfiguracyjny z zaszyfrowaną biblioteką DLL, które umieszczone było w dropperze.

Piątkowy cyberatak WannaCry prawdopodobnie dlatego okazał się tak skuteczny, że Microsoft w połowie marca br. umożliwił dostęp do poprawek, które łatają podatności wykorzystywane w udostępnionym wycieku. Hakerzy, którzy stoją za tym cyberatakiem zapewne wykorzystali fakt, że instalacja poprawek jest dla wielu użytkowników komputerów skomplikowana oraz fakt, że wielu internautów uważa, że aktualizacje nic nie dają więc ich nie robią, a w ten sposób ich komputery są bardziej narażone na infekcję.

KomentarzeLiczba komentarzy: 1
Krzysztof Surgowt ,Prezes Zarządu CRYPTOMIND SA
czwartek, 18 maja 2017, 11:01

Praktyczna porada dla wszystkich - jak sie bronic przed tym robalem .. WannaCry, to złośliwe oprogrogramowanie typu ransomware, szyfrujące zawartość dysków twardych na zainfekowanych komputerach oraz wyświetlające żądanie zapłaty okupu w celu odzyskania danych. Inne jego nazwy spotykane w Internecie, to WanaCrypt0r, Wana Decrypt0r, WannaCryptor czy Wana Decrypt0r 2.0. WannaCry to robak internetowy, a więc oprogramowanie rozprzestrzeniające się automatycznie bez udziału człowieka. W tym celu wykorzystuje ujawnioną kilka miesięcy temu lukę w protokole SMB używanym m.in. do współdzielenia plików w sieciach Microsoft Windows. Na zagrożenie podatne są wszystkie systemy Microsoft Windows, które nie były aktualizowane od marca br., kiedy to Microsoft opublikował odpowiednią poprawkę. W przypadku systemu Windows XP, tj. systemu już dawno niewspieranego przez Microsoft, poprawka pojawiła się dopiero kilka dni temu po tym, jak robak zaczął się rozprzestrzeniać w ogromnym tempie na całym świecie Zabezpieczenie się przed tym groźnym robakiem jest możliwe , ale trzeba działać szybko , bo nowy atak może nastąpić w każdej chwili. W celu skutecznej ochrony przed działaniem WannaCry niezbędna jest jego natychmiastowa aktualizacja w zakresie poprawek bezpieczeństwa. W tym celu należy przejść do ustawień Windows Update , uruchomić aktualizację systemu i cie4rpliwie poczekać na zakończenie tego procesu , który może potrwać kilkanaście minut a nawet dłużej Jeśli z jakichś powodów nie jest możliwa aktualizacja systemu, należy wyłączyć wybrać opcję "Włącz lub Wyłącz funkcje systemu Windows" a następnie wyłączyć funkcję "Obsługa udostępniania plików SMB 1.0/CIFS". Pod tym linkiem znajdą Państwo obszerny opis zagrożenia wraz z odwołaniami do innych stron, pod którymi można uzyskać więcej informacji na temat opisanego zagrożenia oraz niezbędne poprawki, na wypadek, gdyby mechanizm aktualizacji automatycznych nie działał poprawnie. Tutaj znajdą Państwo kompletną informację na temat poprawek Microsoft dostępnych dla wszystkich wersji Windows. Po adresem http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 można pobrać bezpośrednio poprawkę na daną wersje systemu operacyjnego. Na zakończenie warto dodać , ze najskuteczniejsza metoda ochrony danych na naszych komputerach jest ich szyfrowanie. Jest to szczególnie ważne dla firm oraz instytucji w świetle nadchodzących już wkrótce regulacji RODO , NIS oraz e-privacy , aczkolwiek użytkownicy indywidualni tez będą mogli z tej technologii już wkrótce korzystać. Rekomendujemy Państwu polska technologie HVKM , certyfikowana przez Urząd Unii Europejskiej do spraw Wlasnosci Intelektualnej i posuadajaca pozytywne opinie Wojskowej Akademii Technicznej oraz państwowego Instytutu Liczności