Napad koji je potresao svet: Sve što treba da znate o ransomwareu Wana
Decryp0r
Vesti: 14.05.2017.
Do sada ste verovatno već čuli ta Wana Decrypt0r, ransomware kojim su
napadnuti računari u oko 100 država. Procenjuje se da je Wana Decrypt0r,
poznat i po nazivima WCry, WannaCry, WannaCrypt i WanaCryp0r, do sada
inficirao više od 141000 računara.
WanaCryp0r su prvi primetili istraživači MalwareHunterTeama pre nekoliko
nedelja. Distribucija ransomwarea je bila malog intenziteta u to vreme, da
bi iznenada, u petak, WanaCryp0r eksplodirao i počeo da se širi kao požar.
Ransomware se širio pomoću exploita ETERNALBLUE, hakerskog alata američke
Nacionalne bezbednosne agencije (NSA) koji je prošlog meseca objavila
hakerska grupa Shadow Brokers. Ovaj exploit funkcioniše tako što obezbeđuje
pristup računaru preko SMBv1 protokola.
Kada se računar inficira ransomwareom Wana Decrypt0r, žrtvi se prikazuje
obaveštenje o otkupnini na jednom od podržanih jezika, u zavisnosti od toga
gde se nalazi korisnik. Trenutno dostupni jezici su bugarski, kineski,
hrvatski, češki, danski, holandski, engleski, filipinski, japanski,
korejski, letonski, norveški, poljski, portugalski, rumunski, ruski,
slovački, španski, švedski, turski i vijetnamski.
WanaCryp0r preuzima TOR klijent sa
https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip i
ekstrahuje ga u TaskData folder. Tor klijent se koristi za komunikaciju sa
komandno-kontrolnim serverima ransomwarea.
Šifrovanim fajlovima ransomware dodaje .WNCRY ekstenziju i tako ih
obeležava.
U svakom folderu u kome se nalaze šifrovani fajlovi nalazi se i obaveštenje
sa nazivom @Please_Read_Me@.txt i kopija @WanaDecryptor@.exe dekriptera.
WanaCryp0r briše Shadow Volume kopije, isključuje Windows startup recovery
i briše Windows Server Backup istoriju.
S obzirom da komande za ove aktivnosti zahtevaju sistemske privilegije,
žrtve će videti UAC (User Account Control) zahtev.
Na kraju se prikazuje Wana Decryptor 2.0 sa informacijama kako platiti
otkupninu. Žrtva može da odabere jezik koji želi. U ransomwareu se nalaze
tri hardokovane bitcoin adrese. Ako žrtva plati, ransomware obećava da će
automatski dešifrovati fajlove. Ako plaćanje otkupnine koja iznosi oko 300
dolara u bitcoinima nije uspelo, žrtvi se kaže da ponovo pokuša. Ransomware
ima i formu preko koje je moguće kontaktirati hakere.
WanaCryp0r zamenjuje wallpaper na desktopu obaveštenjem o infekciji, a
pored toga, ostavlja i @Please_Read_Me@.txt na desktopu sa često
postavljanim pitanjima.
Nažalost, fajlovi koje je šifrovao ransomware ne mogu biti dešifrovani
besplatno. Preporuka za žrtve, kao i inače u ovakvim slučajevima, je da
naprave kopiju šifrovanih fajlova.
Zbog načina širenja ransomwarea Microsoft je juče bio primoran da objavi
vanredno ažuriranje za starije operativne sisteme (Windows XP, Windows 8, i
Windows Server 2003) da bi ih zaštitio od mehanizma kojim se Wana Decrypt0r
širi. Ovo su stari operativni sistemi koje Microsoft godinama ne podržava i
koji nisu dobili ispravku za SMBv1 exploit koji je ransomware iskoristio
kao mehanizam za širenje. Ovaj mehanizam je modifikovana verzija
ETERNALBLUE exploita.
Microsoft je objavio ažuriranje (MS17-010) za ovaj exploit pre mesec dana
ali je ono sadržalo samo ispravke za Windows Vista, Windows 7, Windows 8.1,
Windows 10, Windows Server 2008, Windows Server 2012, i Windows Server
2016. Zbog toga su računari koji prošlog meseca nisu dobili MS17-010 ostali
ranjivi i podložni napadima Wana Decrypt0ra.
S obzirom na mogući uticaj na korisnike, Microsoft je odlučio da obezbedi
ažuriranje za Windows XP, Windows 8 i Windows Server 2003. "Ova odluka
doneta je na osnovu procene situacije", kažu iz Microsofta ističući da su
imali na umu princip zaštite celokupnog korisničkog ekosistema.
Iako nije potvrđeno, veruje se da najveći deo inficiranih računara ima
starije verzije Windows XP i Windows Server, jer nije bilo načina da se oni
zaštite.
Ažururanja možete preuzeti odavde, a iz Microsofta saveruju kompanije i
korisnike da isključe SMBv1 protokol, koji je zastareo.
Talas infekcija ransomwareom Wana Decrypt0r trenutno je zaustavljen
zahvaljujući istraživaču koji koristi online nadimak MalwareTech.
Neimenovani istraživač je rekao da je otkrio načun za zaustavljanje
ransomwarea, ali treba imati na umu da je to samo privremeno jer hakeri
mogu objaviti novu verziju ransomwarea, tako da je zakrpa za SMBv1 exploit
mnogo bolje rešenje.
MalwareTech je spasio bezbroj račaunara od infekcije ransomwarea Wana
Decrypt0r tako što je praktično slučajno pronašao prekidač za zaustavljanje
ransomwarea. On je za desetak funti registrovao domen koji je pronašao u
izvornom kodu ransomwarea jer je prethodno primetio da ovaj veoma
virulentan ransomware pre infekcije proverava domen na
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Ako bi domen bio neregistrovan ransomware bi počeo da šifruje fajlove, ali
ako je registrovan, ransomware bi zaustavio proces infekcije.
Registrovanjem domena, MalwareTech je praktično slučajno isključio
mehanizam za širenje ransomwarea.
To ne znači da je problem trajno rešen, ali ova verzija ransomwarea više
neće raditi. Ipak, možda ćemo vrlo brzo videti novu verziju malvera sa
drugim domenom, ili drugim mehanizmom isključivanja. Sve što oni koji šire
ransomware treba da urade je da promene deo njegovog koda.
Pre nego što su napadi zaustavljeni, ransomware je uspeo da inficira
računare koji su u sistemu Britanske zdravstvene službe, tačnije 16
zdravstvenih ustanova iz tog sistema. To je blokiralo rad računara i
telefona u bolnicama. Neke bolnice su bile prinuđene da primaju samo hitne
slučajeve, i da otkažu sve osim hitnih operacija. Nema informacija da su
hakeri uspeli da pristupe podacima pacijenata.
I rusko Ministarstvo unutrašnjih poslova je potvrdilo da su njihovi
računari napadnuti, ali da je zahvaljujući primenjenim merama zaštite,
ransomware zaustavljen. Ipak, izgleda da je malver uspeo da blokira oko
1000 računara u ministarstvu, što je manje od jedan posto računara
ministarstva.
Ransomware nije bio izbrirljiv, pa su među žrtvama i male i srednje firme,
ali i veliki sistemi. Napadi ransomwarea WanaCryp0r pogodili su Veliku
Britaniju, Rusiju, Ukrajinu, Indiju, Kinu, Italiju, Egipat, Španiji, SAD i
Južnu Ameriku. Najgore su prošli Evropa i Rusija.
U Srbiji do sada nije bilo prijavljenih slučajeva, a Ministarstvo
unutrašnjih poslova i Posebno tužilaštvo za visokotehnološki kriminal
pozvali su građane i privredne subjekte da, ukoliko su bili napadnuti
između petka i subote, o tome obaveste policiju i tužilaštvo koji prate
situaciju i razmenjuju podatke sa Interpolom, Europolom i drugim
međunarodnim organizacijama.
I Odeljenje za informacionu bezbednost koje vrši funkciju nacionalnog
CERT-a (Computer Emergency Response Team) Republike Srpske izdalo je
upozorenje o globalnom širenju ransomwarea WanaCryp0r, sa preporukom javnim
ustanovama, organima uprave, fizičkim i pravnim licima da ne plaćaju
otkupninu jer nema garancije da će podaci biti vraćeni.
S obzirom da je ransomware samo privremeno zaustavljen, više nego ikad
neophodno je pridržavati se uobičajenih mera zaštite koje podrazumevaju da
se ne otvaraju emailovi i prilozi nepoznatih pošiljaoca, kao i neočekivani
i sumnjivi emailovi i prilozi. Oprez je potreban i prilikom otvaranja
linkova na internetu, u emailovima i porukama. Redovan backup važnih
podataka na računaru jedini je siguran način da u slučaju infekcije vratite
svoje podatke i izbegnete ucene.
__________
Podaci o listi:
1. Web strana: http://www.slikom.info/ml/sl.html
2. Adresa za prijavu: slikom-request@xxxxxxxxxxxxx u subjektu upisati: subscribe
3. Adresa za odjavu: slikom-request@xxxxxxxxxxxxx u subjektu upisati:
unsubscribe
4. Facebook: http://www.facebook.com/web.portal.slikom
5. Twitter: https://www.twitter.com/slikom
6. Adresa moderatora: SliKom-Moderators@xxxxxxxxxxxxx
__________