RSS Kanál

 

WannaCry: ransomware globálního měřítka

Počítače po celém světě v pátek 12. května 2017 utrpěly útok ransomwarem WannaCry. Zasáhl na stovku zemí. Ochromil mobilní operátory, automobilky i nemocnice. Překvapil rychlostí útoku i útočným vektorem, který se nepodobal jiným ransomwarům, ale spíš zákeřným virům okamžitě infikujícím ostatní zařízení v lokální síti...

 

Záplavou dat internetu se šíří ransomware WannaCry (Zdroj: Pixabay.com)

V průběhu pátku 12. května napadl WannaCry (jinak také WanaCrypt0r 2.0 či WCry) na 200 000 počítačů. Obzvláště účinným se ukázal býti jeho útočný vektor v prostředí velkých firem a organizací, neboť po napadení jednoho počítače se dokázal stejně jako počítačové viry dále šířit bez jakékoliv interakce v místní síti. Takto byla napadena společnost Santander, španělská Telefónica, britská zdravotnická zařízení NHS, Renault, FedEx, Hitachi a mnohé další velké firmy i státní úřady v Rusku, Turecku, Indonésii, Vietnamu, Japonsku, Španělsku a Německu.

WannaCry poskytuje obětem demo dešifrování - jeho dešifrovací klíče ukládá lokálně na disku oběti (Zdroj: CheckPoint.com)

WannaCry zneužívá zranitelnosti v protokolu SMB (Server Message Block) ve specifických prostředích a u serverů s Windows 7, 7 SP1, Win Server 2008, 2008R2. Ta umožňuje útočníkům vzdáleně spustit kód, a právě proto se ransomware dokáže spustit bez jakékoliv lidské asistence nebo zásahu v místní síti. Jediné, co mu stačí, je napadení prvního zařízení. 

„WannaCry se v první fázi šíří tradiční cestou, a to jako infikovaná příloha poměrně běžného spamového emailu. Pokud tuto přílohu uživatel otevře a nemá spolehlivou antivirovou ochranu, nakazí se tímto ransomwarem. Ten se ale začne posléze sám šířit v lokální síti a to i bez aktivní účasti uživatele,“ upřesňuje Robert Šuman, šéf analytik ESET. „WannaCry zneužívá chyby v operačním systému Microsoft Windows a šíří se jako síťový červ. Až do doby, kdy se spustí a zašifruje data, jej tak běžný uživatel nemusí vůbec zaznamenat.“ Pokud snad není síť chráněná firewallem, pak může být napadena i zvenčí, a to přes všechna zařízení, které mají otevřené porty 139 či 445.

Ransomware je software na vymáhání výpalného - tedy zaplať a my obnovíme přístup k tvým datům

Napadení samo se rovná už běžným praktikám ransomware. To znamená, všechny podstatné soubory a dokumenty na počítači jsou zašifrovány. Dle útočníků jedinou cestou k jejich dešifrování je využití jejich dešifrovací služby. Ta je zpoplatněna výpalným ve výši 300 dolarů splatných v bitcoinech vždy na uvedenou bitcoinovou adresu - a to do 3 dnů. Po třech dnech se výše výpalného zdvojnásobuje na 600 dolarů. Po zaslání a ověření platby by soubory měly být dešifrovány. Časový rozměr celého vydírání pak připomínají odpočítavače času zvýšení výpalného a času kompletní ztráty souborů. To celé doprovázejí fórky typu slibu bezplatných akcí pro ty, co jsou tak chudí, že si nemohli dovolit zaplatit ani v průběhu 6 měsíců.

Wana Decryptor 2.0: zosobnění WannaCry v uživatelském systému

WannaCry ještě v první verzi WannaCrypt0r 1.0 dle Daniela Šafáře, českého šéfa CheckPoint, poprvé útočil již 10. února 2017 a v omezené míře byl použit v březnu. Tentýž měsíc Microsoft vydal bezpečnostní aktualizace pro všechny zranitelné verze Windows. Přesto však velké množství počítačů zůstalo neaktualizováno. A to je právě typické pro prostředí firem a velkých organizací, na což upozorňuje i Microsoft. Tato prostředí tendují k pozdržování aktualizací a povýšení, o čemž ostatně svědčí i aktualizační politika systémů Windows pro firmy a korporace.

Microsoft se na adresu vlád vyjadřuje kriticky nejen ohledně pomalého aktualizovaní používaných systémů, ale hlavně mu vadí modus operandi vládních agentur typu NSA, která nejenže o SMB zranitelnosti věděla, navíc sama vytvořila exploit zneužívající této zranitelnosti. Tento exploit byl posléze rozšířen hackerskou skupinou Shadow Brokers a právě teď je na vině masivního a rychlého šíření ransomwaru WannaCry.

MalwareTech varuje, že druhou verzi už nemusí zpomalit žádná šťastná náhoda...

Částečné zbrzdění šťastným zásahem

Naštěstí ne všechny zprávy jsou špatné. Bezpečnostní expert tweetující pod účtem MalwareTech si při analýze viru všiml, že ten se dotazuje na doménu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Zkusil si ji zaregistrovat a dalšími pokusy zjistil, že pokud je doména nedostupná či neexistující, virus se přestane šířit. Navíc na doméně implementoval tzv. sinkhole, která analyzuje provoz a pokouší se identifikovat zdroje a cíle útoků. Díky jeho zásahu došlo k rapidnímu poklesu infekcí. Obdobnou doménu (dp9ifjaposdfjhgosurijfaewrwergwea.com) objevil a stejně zaopatřil Matthieu Suiche. Totéž se podařilo i lidem z CheckPoint (doména ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com).

MalwareTech však sám říká, že omezení šíření viru tímto způsobem je jen nahodilé, a je otázkou času, kdy se objeví verze, jíž tyto okolnosti nebudou dělat problém. O tom se už přesvědčili odborníci v Kaspersky, kteří objevili variantu, která se šíří bez dotazování na doménu - naštěstí ovšem disponuje poškozenou verzí ransomwaru, která není schopna zašifrovat počítač.

Řádění WannaCry ve světě (Zdroj: CheckPoint.com)

Situace v Česku

„České republiky se tato aktuální kampaň dotkla poměrně okrajově. Za celý víkend evidujeme méně než dvě stovky zasažených zařízení. Nezaznamenali jsme zatím ani žádnou významnou instituci, kterou by tento malware alespoň částečně ochromil. Důvody, proč se WannaCry v tuzemsku nešířil více, jsou v tuto chvíli známé dva. Tím prvním je velmi brzká detekce této hrozby, která zamezila větším škodám. Tím druhým je, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku,“ konstatuje Šuman.

Vypnutí podpory protokolu SMB 1.0 najdete v Ovládacích panelech...

Jak se chránit před napadením?

  1. Zachovávat zdravý rozum při nakládání s podezřelými přílohami e-mailů;
  2. Mít plně aktualizovaný operační systém (systém vzhledem k této události vydal bezpečnostní záplaty i pro verze Windows, které jinak už vůbec nepodporuje - např. Windows XP);
  3. Deaktivujte protokol SMB 1.0 (v Ovládací panely - Všechny položky Ovládacích panelů - Programy a funkce - Zapnout nebo vypnout funkce systému Windows - Podpora pro protokol sdílení souborů SMB 1.0/CIFS); 
  4. Mějte vždy spuštěný firewall. Případně můžete zkontrolovat, zda nemáte otevřené TCP port 137, 139, 445 a UDP porty 137 a 138; 
  5. Používejte solidní antivirové řešení. Všechny renomované značky okamžitě aktualizovaly o schopnost zablokovat WannaCry. Bezpečná řešení skýtají ESET, Kaspersky, Avast, Symantec a další.
  6. Pravidelně zálohujte.

Síťová řešení (správné využití firewallu a blokování SMB protokolu) ochrání pouze vaši síť před infekcí ze strany vašeho zařízení, nikoliv zařízení samo před zašifrováním.

Zdroje: ESET, CheckPoint, Microsoft on the Issues, CheckPoint, TheHackerNews.com

 

Daniel Beránek, 16.05.2017 16:39

 

 

Avast koupil CCleaner

Producent bezpečnostních řešení Avast koupil CCleaner, respektive jeho výrobce firmu Piriform. Díky této akvizici získal nejen nejznámější optimalizátor počítačů CCleaner, ale také nástroj pro defragmentaci disků Defraggler a software pro obnovu...

V reálu nejlépe chrání Avast, AVG a Kaspersky

Bezpečnostní laboratoře AV-Comparatives uveřejnily svou půlroční zprávu hodnotící schopnost předních antivirových produktů utkat se s kyberhrozbami a čelit nejrůznějším druhům útoků reálného světa. V testu Real-World Protection si nejlépe vedly...

Nová verze prohlížeče Seznam?

Seznam trpí těžkostmi v oblasti označování. O tom svědčí nejen eponymní název prohlížeče, ale i absence schopnosti vypíchnout novinky a neopakovat stále funkce již uvedené. Jedinou jistou novinkou je implementace domovské stránky do kódu aplikace samé,...

USA už Kaspersky nevěří

Antivirové laboratoře Kaspersky patrně přišly o významného zákazníka. Trumpova administrativa je vyřadila ze seznamů dodavatelů, jejichž produkty mohou využívat vládní orgány. Důvodem tohoto kroku je obava z napojení Kaspersky na ústřední bezpečnostní...

 

 
© 2005-2017 PS Media s.r.o. - digital world