Hoćete li da zaplačete?

Pošast zvana WannaCry ransomware koja je u petak pogodila hiljade računara, uključujući i 16 bolnica u UK od vas zahteva uplatu “tričavih” 300 dolara-a u bitcoin-ima kako biste povratili svoje podatke.

Da podsetimo ransomware dolazi do vašeg računara, enkriptuje sve podatke, izbacuje poruku da uplatite određenu sumu u određeno vreme, kako biste dobili ključ za dekripciju podataka. Nakon isteka vremena, cena se uglavnom duplira a novo vreme smanjuje. Uplate su u bitcoin virtuelnoj valuti i ako ste zaraženi pomoći uglavnom nema.

Kolaps koji je nastao na ovaj način onemogućio je funkcionisanje bolnica, jer niko nije mogao da pristupi podacima i kartonima bolesnika. Do danas registrovano je preko 200.000 zaraženih računara u preko 150 zemalja. Zemlje sa najviše zaraženih su Rusija, UK i Španija. Prema istraživačima, napadači koriste “rupu” nazvanu EternalBlue, za koju se sumnja da je napravljena od strane Američke bezbednosne agencije (NSA) kako bi, po potrebi probila Windows bezbednosne barijere. Problem je nastao kada je TheShadowBrokers grupa aprila meseca objavila hakerske alate i tehnike za hakovanje Windows OS-a i određene finansijske mreže koristeći upravo EternalBlue. Naravno, Microsoft je reagovao i objavio bezbednosnu zakrpu mesec dana pre nego što je ova grupa objavila alate i informacije vezane za propust, ali je problem nastao jer zakrpa nije stigla do svih računara, kao i to što je Windows XP ostao bez zaštite. Za slučaj da ste isključili ažuriranje na svom Windows OS-u, ne bi bilo loše da posetite oficijelni Microsoft blog i skinete potrebne zakrpe.

Pored zdravstvenog sistema u UK, veliki problem nastao je u Reno fabrikama, komunalnim servisima u Španiji i Ministarstvo unutrašnjih poslova u Rusiji.

Zanimljiv obrt je nastao kada je mlađani haker – MalwareTech, sada poznat svetu zahvaljujući senzacionalističkim naslovima žute štampe i dnevnih novina, uspeo da slučajno u kodu otkrije uslov provere, kojim se efektivno “ubija” WannaCry. Naime, sistem funkcionisanja trojanaca i ransomware vrlo često zarad provere autora u test okruženjima (sandbox) koriste mehanizam URL provere neregistrovanih domena, koji se virtuelno registruju u test okruženju, kako bi znali da se nalaze unutar samog okruženja (sandbox-a).

Sistem uglavnom proverava nekoliko nasumično odabranih domena, i ukoliko upit vrati isti URL malware/ransomware ne napada računar, jer se nalazi unutar virtuelnog okruženja. Sličnu proveru koristio je i WannaCry, a MalwareTech je uspeo da “ulovi” jedan server koji je korišćen kao provera, da registruje killswitch URL (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) i spreči dalje širenje ovog ransomware, sa procenom da je “spasao” hiljade računara.

U međuvremenu, od petka popodne, kada je ransomware zaustavljen do danas predviđeno je da je ovo samo početak, a po rečima direktora Europol-a, Rob Wainwright-a, ovo je jedan od najvećih napada u istoriji računara, koji se sigurno neće zaustaviti ovde. Dve nove varijacije su se već pojavile, ali se radi na njihovom suzbijanje. Jedna je već suzbijena, jer je po istoj metodi pronađen killswitch (ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com) čijom registracijom se opet sprečeno dalje širenje, a drugi ne funkcioniše potpuno dobro zbog loše arhive, pa kriptovanje ne radi, ali se i dalje širi.

Napravljena je i interaktivna mapa širenja ransomware i njihovo aktiviranje i suzbijanje koju možete videti OVDE. Sinhronizacija, međusobna saradnja kompanija koje se bave bezbednošću je i ovoga puta bila na najvišem nivou, a kolaboracija na globalnom nivou treba da nas raduje, pre svega zbog pristupa u kojem se svi ujedine protiv zajedničkog neprijatelja!

Domaći specijalisti za bezbednost IT Klinika izdala je uputstvo za sprečavanje ransomware da zarazi vaš računar. Upitstvo možete preuzeti u PDF formatu – ovde.