WannaCry (inne nazwy WCry, WannaCrypt, WanaCrypt0r) to ransomware, o którym ostatnio jest głośno. Jest bardzo skutecznym w swoim działaniu, które 12 maja swoim zasięgiem objęło ponad 150 krajów i 300 tysięcy komputerów z systemem operacyjnym Windows.
Na liście ofiar jest już sporo firm i instytucji, m.in.: brytyjska służba zdrowia, Nissan, Telefonica, FedEx, rosyjskie banki i koleje państwowe, indyjskie linie lotnicze Shaheen Airlines oraz włoskie uniwersytety. NPodobno na razie za odblokowanie komputera zdecydowało się zapłacić zaledwie około 200 osób, a całkowita suma wpłat wynosi nieco ponad 33 tysięcy dolarów – czyli jak na wielki szum wokół tego wirusa – nie aż tak wiele.
Zalecamy jak najszybszą aktualizację maszyn działających pod kontrolą systemów operacyjnych starszych niż Windows 10 poprawką z biuletynu Microsoft MS17-010. W przypadku braku możliwości aktualizacji zachęcamy do wyłączenia obsługi protokołu SMBv1.
Exploit EternalBlue
Złośliwe oprogramowanie propaguje się za pomocą exploita o nazwie kodowej EternalBlue opracowanego przez amerykańską agencję bezpieczeństwa (NSA). EternalBlue wykorzystuje lukę w obsłudze protokołu Microsoft Server Message Block 1.0 (SMBv1) pozwalającą na zdalne wykonanie dostarczonego kodu na komputerze ofiary. W ten sposób instalowana jest tylna furtka Double Pulsar, również z pakietu NSA. 14 marca 2017 Microsoft udostępnił zestaw poprawek łatających podatności wykorzystywane w udostępnionym wycieku.
Przestępcy stojący za WannaCry skorzystali z faktu, że dla wielu osób instalacja poprawek jest uciążliwa lub w ich odczuciu nic nie zyskują na ich instalacji, czyniąc z niezaaktualizowanych systemów, ofiary oraz propagatory dalszych infekcji. Taki sposób rozprzestrzeniania się złośliwego oprogramowania nie jest nowy – wykorzystywany był już w 1988 roku przez pierwszego internetowego robaka o nazwie Morris Worm.
3 wersje
Aktualnie znane są trzy wersje WannaCry:
-
- Wersja pierwsza – wyłącznik: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (zarejestrowana przez @MalwareTechBlog)
- Wersja druga – wyłącznik: ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com (zarejestrowana przez @msuiche)
- Wersja trzecia – brak wyłącznika, próbka uszkodzona (nie następuje proces szyfrowania, jedynie propagacja)
Jak się chronić?
Co zrobić, aby zminimalizować ryzyko zainfekowania naszego komputera?
- Uaktualnić system, pobrać oficjalne łatki od Microsoftu
- Zrobić kopię zapasową danych – tutaj dobrze sprawdzi się EaseUS Todo Backup
- Włączyć automatyczne aktualizacje w Windowsie
- Ignorować emaile od nieznanych osób, nie otwierać załączników.
- Przeskanować cały system programem antywirusowym. Po wykryciu malware o nazwie MEM:Trojan.Win64.EquationDrug.gen zrestartować system. Upewnić się, że poprawki od Microsoftu zostały zainstalowane.
- Najlepiej wyłączyć protokół SMBv1 w Windowsie.
- Zrobić sobie back-up.
Co robić jak już jest się zaatakowanym?
Twórcy ransomware żądają 300 dolarów płatnych w bitcoinach. Oczywiście nie mamy żadnej pewności, że cokolwiek po uiszczeniu opłaty zostanie nam odszyfrowane. Groźbą ma być w przypadku braku wpłaty usunięcie danych 19 maja. Co więc zrobić?
- Nie płacić hakerom – to tylko ośmiela ich do dalszych kroków
- Najlepiej wymazać zawartość dysku twardego – wgrać świeżą instalację Windowsa
- Przywrócić wszystkie ustawienia do stanu poprzedniego
- Użyć programu do odzyskiwania danych, np. EaseUS Data Recovery Wizard
O programie EaseUS do odzyskiwania danych pisaliśmy już nieraz, potrafi uratować życie w trudnych sytuacjach, dlatego tym bardziej warto go mieć pod ręką w takich sytuacjach.
Oby ich było jak najmniej!
Dodaj komentarz