Sírni akar
A fertőzött országok becsült térképe.
Az első verzió | 2017. május 12 |
---|---|
típus | Számítógépes támadás |
A WannaCry , más néven WannaCrypt , WanaCrypt0r 2.0 vagy hasonló, önmagát replikáló ransomware típusú kártevő .
Ban ben 2017. májusEz során egy hatalmas globális számítógépes támadás, érintő több mint 300.000 számítógépet, több mint 150 országban, főként Indiában , az Egyesült Államok és Oroszország , valamint az elavult rendszer Windows XP és általában véve az összes korábbi verziók a Windows 10 nem miután elvégezte a biztonsági frissítéseket, különösen a 2017. március 14 (MS17-010. számú biztonsági közlemény).
Ezt a kibertámadást az internetes történelem legnagyobb hamisító váltságdíjának tekintik, az Europol betűkészlet-irodája "soha nem látott szintnek" nevezte és hozzátette, hogy "mindenképpen váltságdíjat kell".
A támadás által érintett legfontosabb szervezetek között különösen a Vodafone , a FedEx , a Renault , a Telefónica , a Nemzeti Egészségügyi Szolgálat , a Liège-i Egyetemi Kórház , az orosz Belügyminisztérium és a Deutsche Bahn társaságokat találjuk .
Ez a rosszindulatú program az NSA által kihasznált és az Shadow Brokers , egy hackerek csoportja által ellopott EternalBlue biztonsági lyukat használja . Hónap óta kijavították ezt a hibát2017. márciusa Microsoft az MS17-010-en keresztül a Patch Kedd részeként .
Erről a vírusról ismét beszéltek a 2017. június 23a Honda autóipari csoport egyik gyárában , Japánban , Sayamában , és ez öt nappal egy másik nagy globális kiber támadás, a NotPetya kezdete előtt következik be .
Az első fertőzések Spanyolországban vagy az Egyesült Királyságban voltak, majd órákon belül a világ többi részére terjedtek. Az első este a feltételezett szennyezések száma 100 000 Windows rendszer volt . Úgy tűnik, hogy a vírus első nyomai az előző februárra nyúlnak vissza. Néhány vállalat úgy döntött, hogy leállítja a szennyezett gyártósorokat, hogy megpróbálja megállítani a terjedést.
Az Egyesült Királyság Nemzeti Egészségügyi Rendszere (NHS) a ransomware egyik fő áldozata. Ötven NHS-kórház, vagyis 20% -uk aggódik. Több tízezer számítógépük van, amely még mindig használja a Windows XP rendszert .
Késleltetni lehetett a vírus terjedését egy meghatározott domain név , egy killswitch regisztrálásával , amit egy brit kutató meg is tett . Ez lenne a biztonság, amelyet maguk a szoftver fejlesztői terveztek. A vírus addig terjed, amíg a fent definiált domain nevet nem regisztrálják, de ebben az esetben a szaporítási lépést gátolják. Arról volt szó iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Ez a haladék rövid ideig tartott, mivel a vírus ettől kezdve alkalmazkodott. Legalább két másik változat hamarosan elterjedt, amelyek közül az egyik nem tartalmazta a domain név biztonságát. A második változat egyikéből eredő domain név ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.comugyanazzal az utótaggal rendelkezik. Számos más "megszakítót" fokozatosan azonosítottak. Tartalmaz egy automatikus újraindítást is a végrehajtás megszakadása esetén. Hasonlóképpen, a felhasználó munkafájljainak titkosítása mellett a szoftver módosítja a rendszer köteteit annak érdekében, hogy beavatkozhasson az időben nem aktiválódó vírusokba.
A BBC szerint ez a vírus az elégedetlenség kifejeződése Donald Trump politikájával . Néhány újságíró kapcsolatban áll azzal, hogy az Apple 2015-ben az egyik terrorizmusellenes nyomozás során megtagadta az érzékeny technikák megosztását az NSA-val.
A legtöbb számítógépes vírushoz hasonlóan ez a vírus a helyi hálózaton és az interneten keresztül terjed, szennyezett mellékleteken keresztül, amelyeket nagyszámú e-mail küld bot boton keresztül . Ez a tézis ellentmondásos, mert nem találtak nyomot ezeknek az e-maileknek: „Mindenki keresi azt a híres kezdeti e-mailt, és négy nap alatt egyetlen csapatnak sem sikerült a kezébe adnia. » Vincent Nguyen, a Wavestone vezetője, a CERT-Wavestone felelőse.
A kutatók egy második tézist állítottak, amelyek szerint az egyszerűen az internethez kapcsolódó mézes edényeik nagyon gyorsan szennyeződtek. Ezért önmagát replikálja.
Az összes ransomware közös, a szennyeződés bekövetkeztével a vírus titkosítja az érintett számítógép összes fájlját, és váltságdíjat mutat be a felhasználó számára.
Ezután úgy terjed, hogy más veszélyeztetett számítógépekhez csatlakozik, teljesen autonóm módon. Úgy tűnik, hogy a Linux operációs rendszer, amely részben magában foglalja a Samba protokollt , nem célzott.
Ezt a ransomware- t a támadásának sebessége jellemzi, és világszerte több százezer gépet érint egy hétvégén. A támadási gyakoriság másodpercenként legalább egy kísérlet volt, és 226 800 IP-cím volt hozzárendelve az erősségéhez . Hasonlóképpen, úgy tűnik, hogy nem tesztelési fázisokról volt szó, hanem inkább előzetes vizsgálati időszakról. Így sem a bűnszervezet , sem az állami (vagy államilag támogatott) támadás nyomai nem kizártak. Az Europol szerint egyetlen ország sem célzott különösebben.
A kért váltságdíj itt is bitcoin- összeg, viszonylag alacsony, 300 és 600 dollár közötti érték . Eleinte 300, majd három nap után 600-ra emelkedik, ha a felhasználó még mindig nem fizetett, az adatokat hét nap múlva törlik. Az elkövetők a fertőzések nagy számára támaszkodnak. Normál esetben, miután a váltságdíjat kifizették, a hackerek által birtokolt titkosítási kulcs feloldja a számítógépet, de nincs garancia. Valójában az elemzett kód azt mutatja, hogy a fájlok visszafejtése kézi beavatkozást igényel a bűnözők részéről.
A szakértők ezért azt állítják, hogy még ha a váltságdíjat is fizetik, a felhasználóknak nem sok esélyük van arra, hogy fájljaikat visszafejtsék és helyreállítsák. Hasonlóképpen, eddig nem észleltek sikeres fájl-helyreállítást. Mivel a bitcoin tranzakciók nyilvánosak, a bűnözők a támadás idején 51,92 bitcoinot, vagyis több mint 95 000 dollárt kaptak volna . Twitter- robotot hoztak létre annak érdekében, hogy bemutassák ennek az összegnek a növekedését.
Tekintettel az ügyfelekre és üzleti vállalkozásokra gyakorolt potenciális hatás nagyságára, a Microsoft kivételesen elérhetővé tette a biztonsági frissítéseket a már nem fenntartott platformok, azaz a Windows XP , a Windows 8 és a Windows Server 2003 számára . A cég azt állítja, hogy a Windows 10 nem érintett. Brad Smith (en) , a cég vezetője az ilyen típusú esetekben a hírszerző ügynökségek felelősségére mutat, és reméli, hogy ez tudatosítja őket felelősségükben: "Ez a támadás új példát mutat be a probléma szemléltetésére. kormányzati kiskapu tárolása ” .
Franciaországban a párizsi ügyészség kirívó nyomozást bízott meg az információs és kommunikációs technológiákkal kapcsolatos bűnözés elleni küzdelem központi irodájával "csalárd hozzáférés és karbantartás automatizált adatfeldolgozó rendszerekben", "e rendszerek működésének akadályozása" és „Zsarolás és zsarolási kísérlet. Az Európai Rendőrségi Hivatal, az Europol is dolgozik ezen az ügyön. Ez a támadás állítólag több tízmillió dolláros kárt okozott.
Azoknak az internethasználóknak, akik látták, hogy a számítógépük fertőzött, megtartják a titkosított fájlok másolatát. Valójában lehetséges, hogy a kutató később megtalálja a módját annak megfejtésére.
Svájcban az Információbiztonsági Központi Nyilvántartási és Elemző Központ szerint az internetes támadás csaknem 200 gépet fertőzött meg országszerte.
Néhány nappal később egy második nagyszabású kibertámadás, az Adylkuzz , több százezer számítógépet ütött meg; ugyanazokat a biztonsági lyukakat használja ki, mint a WannaCry. Aztán a2017. június 27, egy másik nagyszabású kibertámadás, a NotPetya több százezer számítógépet érintett, kihasználva ezeket a sebezhetőségeket is.
A kutatás a " beteg nulla " -ot, az első fertőzött számítógépet vizsgálja .
Bár meglehetősen nehéz meghatározni a támadás eredetét, a számítógépes biztonsággal foglalkozó kutatók kommunikáltak az Észak-Koreával való valószínű kapcsolatról . Neel Nehta mérnök, informatikus, a Google vállalat munkatársa olyan forráskódrészeket töltött fel , amelyek bizonyítják bizonyos hasonlóságokat az új vírus és az ázsiai országnak tulajdonított újabb hack-sorozatok között. Az észak-koreaiak hackerei a gyanú szerint a (z) Lazarus csoportba tartoznak , miután 2007-ben megjegyezték, amint azt Kaspersky elmondta.
Más kutatók is kapcsolatba léptek a kínai hackerekkel. A Flashpoint szakértői 28 különböző nyelven elemezték a WannaCry váltságdíjas üzeneteket. Eredményeik azt mutatják, hogy a hackerek folyékonyan beszélnek kínaiul, akiknek az üzenete nyelvtanilag jobban felépített és több információt tartalmaz. A többi fordítást az angol (súlyos nyelvtani hibát tartalmazó) üzenetből és a Google Fordítóból szerezték be . A kollektív Lazarus Csoportra (en) utaló programdarabokat csak a hackerek nyomainak elfedése érdekében lehetett volna beültetni a rosszindulatú programba .
2017 augusztusában Malwaretech brit kutatót, aki segített a vírus leállításában, letartóztatták Las Vegasban, ahol a Def Con-nál volt. A letartóztatás azonban nem kapcsolódik a WannaCry-hez, hanem más banki tranzakciós információ-lopási szoftverre vonatkozik. Ez a letartóztatás ellentmondásos az interneten a jogvédők közösségében: az Elektronikus Határ Alapítvány ügyvédeket mozgósított a hacker jogainak érvényesítésére és letartóztatásának valódi okának kiderítésére.
Három francia, számítógépes biztonsági szakértőből álló csoport kifejlesztette a Wanakiwi nevű szoftvert , amely egy eszköz a zárolt adatokhoz való hozzáférés helyreállításához. Ez a szoftver Windows XP , Windows Vista és Windows 7 rendszereken működik , és az Európai Rendőrségi Hivatal Europol jóváhagyta .
Mint sok ransomware, a WannaCry két kulcsot generál az adatok titkosításához. Az egyik nyilvános , a másik privát . A rosszindulatú program telepítése után maga a titkos kulcs is titkosítva van. A vírus a Windows kriptográfiai funkcióit használja e kulcsok előállításához, de ezek a funkciók rövid ideig beírják a titkosítatlan titkos kulcsot a számítógép RAM - ba . Így sikerült létrehozni ezt a szoftvert, amely képes megszerezni ennek a magánkulcsnak a nyomait a fájlokhoz való hozzáférés feloldása érdekében.
A csoport reagálásra szólít fel, mert „ez a memória hét nap után automatikusan kiürül”. Ezenkívül a megoldás működése érdekében az érintett számítógépeket nem szabad újraindítani a fertőzés után, mivel a RAM ingatag. A Wanakiwi az esetek 60% -ában működik Windows XP rendszert futtató gépeknél. Windows 7 rendszeren a sikerarány jelenleg stagnál, 10%.
Számos segédprogramot építettek, amelyek lehetővé teszik a védelmet a biztonsági megsértésekkel szemben, köztük a WannaSmile, amely letiltja a sebezhetőség által használt Windows rendszerek egyes funkcióit, és a WannaPatch, a francia SysStreamingből, amely felismeri, hogy egy rendszer sérülékeny-e, és ha igen. ez az eset, amely lehetővé teszi a megfelelő javítás azonnali letöltését.