Masivní kyberútok, o kterém jsme psali v sobotu, již podle šéfa Europolu zasáhl přes 200 000 počítačů ve 150 zemích. Editoři na Wikipedii dávají dohromady seznam významných obětí, WannaCry ohrozil provoz systémů v bankách, zdravotnických zaříezních, logistických firmách a potrápil i nejedno ministerstvo. Podle mapy MalwareTechu již WannaCry řádí i v Česku. Podle Esetu ale jinak výrazně.
„České republiky se tato aktuální kampaň dotkla poměrně okrajově. Za celý víkend evidujeme méně než dvě stovky zasažených zařízení. Nezaznamenali jsme zatím ani žádnou významnou instituci, kterou by tento malware alespoň částečně ochromil. Důvody, proč se WannaCry v tuzemsku nešířil více, jsou v tuto chvíli známé dva. Tím prvním je velmi brzká detekce této hrozby, která zamezila větším škodám. Tím druhým je, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku,“ říká Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti Eset.
WannaCry (WCry, WanaCrypt0r 2.0) využívá chybu v protokolu SMB, který ve Windows slouží k síťovému sdílení disků a tiskáren. Ke zranitelnosti již existuje exploit, ve kterém má prsty NSA a který díky hackerské skupině ShadowBrokers unikl na internet. A právě on byl využit k rychlému šíření vyděračského viru, který zašifruje soubory na disku a požaduje výpalné v hodnotě 300 dolarů (v bitcoinech), jinak uživatel o data přijde.
V peněženkách, které je pro příjem určené, bylo v době psaní článku 196 příchozích transakcí o celkové hodnotě 29,637 BTC. Při současném kurzu to dělá přes 18 000 dolarů.
Útok náhodou zastaven. Částečně
Bezpečnostní expert ze zmíněného MalwareTechu již WannaCry analyzoval a zjistil, že virus se při napadení počítače dotazuje na neexistující internetovou doménu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Doménu proto ze zvědavosti zaregistroval, a tím překvapivě šíření (alespoň částečně) zastavil.
Pokusem oveřeil, že pokud doména neexistuje nebo je nedostupná (DDOS, blokace ISP nebo ochrana v hosts na počítači), virus se přestane šířit. Na zaregistrovanou adresu pak ještě nastavil tzv. sinkhole, který analyzuje provoz a snaží se vypátrat zdroj i cíle útoků.
https://twitter.com/msuiche/status/863730377642442752
Média jej již oslavují jako hrdinu, ale on sám tvrdí, že tato verze WannaCry šla zastavit, ale u příští to již nemusí platit. Matt Suiche z Comae na svém webu píše, že objevil druhou variantu viru, která se dotazuje na jinou adresu. Tu také zaregistroval a zapnul na ní sinkhole. Kaspersky již objevil variantu, která se umí šířit bez dotazování, ale část s ransomwarem je poškozená. Nákaza se tedy šíří, ale není nebezpečná.
https://twitter.com/msuiche/status/863760653307203584
Jak se bránit
Chyba postihuje pouze Windows XP (či Server 2003) a novější. Microsoft dokonce mimořádně vydal záplaty i pro již nepodporované systémy, ale zalepenou dírou v SMB zamezil šíření WannaCry. Windows 7, 8.1 a 10 by měly být bezpečné již po březnové aktualizaci. Aféra kolem WannyCry mimochodem ukazuje, proč Microsoft nechce domácím uživatelům umožnit vypnout Windows Update.
Kromě aktualizace systému je možné šíření zastavit i vypnutím SMP nebo zablokováním TCP portu 445 ve firewallu.
Jak poznamenává TheHackerNews, všechny tři ochrany zamezí pouze tomu, abyste se sami automaticky nakazili přes síť nebo aby váš počítač nenakazil ostatní počítače v lokální síti či internetu. WannaCry se ale dělí na dvě části. Ochrana zablokuje jen průnik skrz protokol SMB. Část s ransomwarem, která zašifruje soubory a žádá výkupné, je stále funkční. Uživatel se může nakazit jinými způsoby, typicky stažením závadného souboru z internetu nebo otevřením e-mailové přílohy.
Reakce Microsoftu
Firma na svém blogu vydala zprávu, že zaměstnává přes 3500 expertů, kteří se snaží produkty Microsoftu udržet bezpečné. Ti dokázali chybu včas opravit během března a ti také rychle vydali záplatu pro již nepodporované systémy.
Za nos by se však prý měli chytit uživatelé nebo firemní admini, kteří aktualizaci odkládají a nechávají počítače nezabezpečené.
Viníkem jsou podle Microsoftu také vlády, které financují hackery vyhledávající chyby a tvořící pro ně exploity, aniž by na zranitelnosti upozornili softwarové společnosti. Přímo zmiňuje práci hackerů v CIA, na které upozornily WikiLeaks. Nebo v tomto případě NSA, jejíž exploit unikl na internet a stal se klíčovou součástí WannaCry.
ČLÁNKY DO MAILU