Wannacry ransomware támadás: 3 alapvető tudnivaló

A kiberbiztonsági szakértők pénteken számoltak be a Ransomware támadásokról, amelyek WannaCry néven szerepelnek, és több figyelmeztetést bocsátottak ki az internethez csatlakoztatott eszközök fokozott biztonsági intézkedéseire, mivel ezen a héten második támadási hullám várható.

A ransomware támadások - egy évtizedes hacker-trükk - elsősorban Oroszországot, Ukrajnát, Spanyolországot, Egyesült Királyságot és Indiát sújtják.

Más országok, köztük USA, Brazília, Kína, többek között Észak-Amerikából, Latin-Amerikából, Európából és Ázsiából sújtottak a ransomware támadás.

A ransomware az eszközön lévő fájlokat a '.wcry' kiterjesztéssel titkosítja, és egy SMBv2 (Server Message Block Version 2) távoli kódfuttatással indítja el.

Olvassa el még: Mi a Ransomware és hogyan lehet védeni ellene? és az okostelefon sebezhető-e a WannaCry Ransomware Attack által?

A Kaspersky Lab globális kutató- és elemző csapata rámutatott, hogy „az SMB szolgáltatásaikat feltáró nem telepített Windows számítógépek távolról támadhatók meg” és „ez a sebezhetőség tűnik a legjelentősebb tényezőnek, amely a kitörést okozta”.

Úgy tűnik, hogy a Shacking Brokerek csoportját a támadást kiváltó rosszindulatú szoftverek április 14-én az interneten elérhetővé tették.

Mennyire elterjedt a támadás?

A támadás teljes hatása még nem ismert, mivel a kiberbiztonsági szakértők további támadási hullámokat várnak el, hogy több rendszert érjenek el.

A New York Times jelentése szerint a támadás több mint 200 000 számítógépet irányított több mint 150 országban.

Az érintett vállalatok és kormányzati ügynökségek, beleértve az orosz minisztériumokat, a FedEx-et, a Deutsche Bahn-t (Németország), a Telefonica-t (Spanyolország), a Renault-t (francia), a Qihoo-t (Kína) és az Egyesült Királyság Nemzeti Egészségügyi Szolgálatát.

A spanyol számítógépes vészhelyzet-elhárítási csoport (CCN-CERT) szintén magas figyelmeztetést hívott fel az országban, mivel azt állítja, hogy a szervezeteket valószínűleg érintette a váltságdíjszoftver.

„A rosszindulatú WannaCrypt szoftver gyorsan elterjedt az egész világon, és az Egyesült Államokban az NSA-tól ellopott kizsákmányolásokból származik. A Microsoft kiadott egy biztonsági frissítést a biztonsági rés javításához, de sok számítógép globálisan változatlan maradt ”- jelentette ki a Microsoft.

A következő szoftvereket eddig érintette:

• Windows Server 2008 32 bites rendszerekhez
• Windows Server 2008 32 bites rendszerekhez, 2. szervizcsomag
• Windows Server 2008 Itanium-alapú rendszerekhez
• Windows Server 2008 Itanium-alapú rendszerekhez, 2. szervizcsomag
• Windows Server 2008 x64 alapú rendszerekhez
• Windows Server 2008 x64 alapú rendszerekhez, 2. szervizcsomag
• Windows Vista
• Windows Vista 1. szervizcsomag
• Windows Vista 2. szervizcsomag
• Windows Vista x64 Edition
• Windows Vista x64 Edition 1. szervizcsomag
• Windows Vista x64 Edition 2. szervizcsomag
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 és R2
• Windows 10
• Windows Server 2016

Hogyan befolyásolja ez a rendszereket?

A rosszindulatú program titkosítja az irodai kiterjesztéseket, archívumokat, médiafájlokat, e-mail adatbázisokat és e-maileket, fejlesztői forráskód- és projektfájlokat, grafikus és képfájlokat és még sok más fájlokat.

A dekódoló eszközt a rosszindulatú programmal együtt is telepítik, amely elősegíti a Bitcoinban megkövetelt 300 dolláros értékű váltságdíj megszerzését, valamint a fájlok visszafejtését a fizetés befejezése után.

A dekódoló eszköz két visszaszámlálási időzítőt futtat - egy 3 napos időzítőt, amely után jelzi, hogy a váltságdíj növekszik, és egy 7 napos időzítőt, amely jelzi, hogy mennyi idő maradt a fájlok örök elvesztése előtt.

Mivel a szoftver eszköz képes lefordítani a szöveget több nyelvre, nyilvánvaló, hogy a támadás globálisan zajlik.

Annak biztosítása érdekében, hogy a dekódoló eszközt a felhasználó megtalálja, a rosszindulatú program megváltoztatja az érintett számítógép háttérképét is.

Hogyan lehet biztonságban maradni?

• Győződjön meg arról, hogy a víruskereső szoftver adatbázisa frissítve van, és valós időben védi a rendszert, és végezzen egy ellenőrzést.
• Ha a: Trojan.Win64.EquationDrug.gen rosszindulatú programot észlel, ellenőrizze, hogy karanténba kerül és törölte-e, és indítsa újra a rendszert.
• Ha még nem tette meg, akkor javasoljuk, hogy telepítse a Microsoft hivatalos javítását - MS17-010 -, amely enyhíti a támadás során kihasznált SMB-sérülékenységet.
• A Microsoft ezen útmutatójának segítségével letilthatja az SMB-t a számítógépén is.
• A szervezetek elkülöníthetik a 137 és 138 UDP kommunikációs portokat, valamint a 139 és 445 TCP portokat.

Az amerikai székhelyű rendszerek véletlenül biztonságosak voltak

Egy 22 éves brit biztonsági kutató véletlenül leállította a rosszindulatú programok elterjedését az USA-beli hálózatokba, amikor megvásárolta a még nem regisztrált malware kill kapcsoló domainjét.

Amint a helyszín élő volt, a támadást leállították. Itt olvashatja teljes jelentését arról, hogy miként mutatta be a rosszindulatú programok kill kapcsolóját, és végül leállította.

Olvassa el még: Ez a kritikus Android biztonsági hiba továbbra sem oldódott meg a Google által.

„A ransomware-nek már volt egy másik változata, amely nem rendelkezik ölj kapcsolóval, megnehezítve a tartalom tárolását. Már elkezdte fertőzni az európai országokat ”- mondta Sharda Tickoo, a Trend Micro India műszaki vezetője.

Még nem tisztázott, ki felelős a támadásért, és a spekulációk rámutattak a Shadow Brokerekre - akik szintén felelősek a rosszindulatú szoftverek online kibocsátásáért -, vagy több hackerekkel foglalkozó szervezet felé.

Nézze meg a GT Hindi videóját a Wannacry / Wannacrypt Ransomware alábbiakban.