WANNACRY – robak spowodował olbrzymie straty na świecie

WANNACRY spowodował, że na całym świecie stanęły szpitale, sklepy, przedsiębiorstwa i stacje benzynowe. Wirus spowodował, iż ogromna ilość osób utknęła w windzie, a także nie można było wydostać się z podziemnych parkingów. Komputery odmówiły posłuszeństwa, bankomaty nie wypłacały pieniędzy, a rządy krajów nie radziły sobie z problemem, dlatego zapanował totalny chaos. Co więcej na bilbordach miast pojawił się napis, który informował, iż jeśli nie zapłacimy 300 dolarów nie odzyskamy kontroli nad danymi i sprzętem.

Oczywiście takie skutki nastąpiłyby, jeżeli każdy człowiek na świecie korzystałby z systemu Windows a także nie aktualizował go raz na trzy miesiące. Jednakże nie wszystkie przedsiębiorstwa, biura i szpitale korzystają z tego systemu, a także większość regularnie aktualizuje oprogramowanie. Są jednak tacy którzy nabawili się dużych kłopotów, dokładni w 150 krajach na świecie WANNACRY utrudnił życie ponad 200 tysięcy osobom.

W wyniku ataku robaka ucierpiały brytyjskie szpitale, firmy telekomunikacyjne, producenci samochodów, kurierzy, czy też chińskie i rosyjskie ministerstwa. Na terenie Polski również mamy do czynienia z ofiarami robaka, jednak, pomimo że punkty są widoczne na mapie, nikt nie zgłosił tejże sprawy.

Rzecznik prasowy Ministra Koordynatora Służb wydał na ten temat oświadczenie, iż instytucje Polski, które odpowiedzialne są za cyberprzestępstwo analizują i monitorują próby ataków hakerskich i nie odnotowują zdarzeń, które mogłyby być niebezpieczne dla Polski.

Cert.gov.pl należące do ABW i NASK także nie odnotowały żadnych poważnych problemów. Tym samym można powiedzieć, że ów atak przeprowadzony na skalę światową, nie dotyczy naszego kraju.

Atak na Rosję i Wielką Brytanie

Analizy prowadzone przez ABW pokazują, iż działania hakerów objęły przede wszystkim teren Rosji i Wielkiej Brytanii. Robak wykorzystał luki w oprogramowaniu i był kierowany na osoby prywatne. Próba związana była z wyłudzeniem pieniędzy, dlatego mamy do czynienia z atakiem o charakterze kryminalnym.

Rzecznik Prasowy Ministra Koordynatora Służb, twierdzi, że Polska cudem uniknęła kłopotów, ponieważ w innych państwach są zainfekowane chińskie bankomaty, koleje rosyjskie, wieżowiec w Tajlandii, parkomaty, zaś szpitale nie mogą prawidłowo funkcjonować.

Internetowy robak WANNACRY

Wszystkie problemy wywołał w piątek o godzinie 7 rano wirus internetowy WANNACRY. Obecny był już od dawna, jednakże w piątek zaczął się bardzo szybko rozprzestrzeniać. Wirus rozprzestrzenia się przez błąd w protokole SMB (TCP:445 i TCP:139).

WANNACRY działa przez komendy usunięcia shadow copies danych z infekowanych maszyn. W momencie publikacji tychże narzędzi dostępna była łatka MS17-010, która zdołałaby ochronić dany sprzęt przed robakiem.

W chwilo zainfekowania komputera, co dzieje się przez połączenie przez luką w protokole SMB robak posiadający 179 rozszerzeń szyfruje pliki. Rozszerzenie WNCRY sprawia, że wyświetla się komunikat zapłacenia okupu. Potencjalna ofiara, aby móc korzystać ze sprzętu ma, wedle komunikatu, zapłacić 300 dolarów w bitcoinach. W ciągu trzech dni kwota wzrasta do 600 dolarów, zaś po 7 dniach niemożliwe staje się odzyskanie danych. Jedną ze sprzeczności hakerów, jest fakt, iż poinformowali, że jeśli ktoś naprawdę nie może zapłacić pieniędzy, wówczas po 6 miesiącach ma szansę za darmo odzyskać dane.

Nie spełniaj żądania hakerów!

Okazuje się, że cyberprzestępcy dysponują jedynie 3 adresami portfeli Bitcoin. Tym samym nie potrafią zweryfikować która osoba dokonała wpłaty okupu. Niemożliwe jest więc odzyskanie danych nawet po uiszczeniu wpłaty. Dotychczas nie zanotowano żadnego takiego przypadku.

Duży atak, niewielki okup

WANNACRY pomimo, że jest atakiem o ogromnym zasięgu to jednak dotychczas wpłynęło na konta hakerów zaledwie 129 wpłat w kwocie 125 000 PLN. Hipotez, dlaczego tak się stało jest wiele.

WANNACRY pod względem technicznym

Wirus WANNACRY uznać można za profesjonalne działania hakerów, ponieważ jest wstanie komunikować się w wielu językach świata. Minusem dla cyberprzestępców jest to iż istnieje obsługa wpłat jedynie na 3 adresy BTC, co sprawia, że można zastanowić się czy plan ataku nie jest jedynie laboratoryjnym prototypem, jaki zdołał wymknąć się spod kontroli. Wirus cechuje się również bardzo prostym wyłącznikiem w kodzie. Badacz, który zauważył kill switcha zarejestrował ową domenę, co sprawiło, że wirus nie mógł się już dalej rozprzestrzeniać. To zatrzymanie nie przyniosło jednak efektu na dłuższy czas, bo kilkanaście godzin później w sieci pojawiła się druga wersja robaka, tym razem bez kill switcha. Najgorszy jest fakt, że powstały również inne warianty wirusa.

Jak uchronić się przed wirusem?

Najważniejsze, aby zaktualizować obecne oprogramowanie, a jeśli nie możesz tego dokonać wówczas wyłącz obsługę protokołu SMB. Dobrym rozwiązaniem jest również użycie hiszpańskiego narzędzia CERT-u bądź też mutex o nazwie MsWinZonesCacheCounterMutexA.

Niestety jeśli jesteśmy użytkownikami Windows XP, musimy wiedzieć, że Microsoft nie wydaje już dla niego poprawek. Jest tutaj luka, z której robak może w prosty sposób skorzystać. Jak donoszą dane największa ilość ofiar cyberprzestępców dotyczyła właśnie Windowsa XP. Microsoft zlitował się więc nad posiadaczami tego systemu i wydał dla niego poprawkę. Zaletą urządzeń z tego typu systemem jest tom że można je w łatwy sposób przeinstalować i nic nie płacić, aby odzyskać dane.

Kto jest ofiarą robaka?

Szpitale, producenci, firmy, przedsiębiorstwa, osoby prywatne, to tylko namiastka osób które zostały poszkodowane poprzez działalność robaka. Jak się jednak okazuje jest to nauczka, poprzez którą powinniśmy zastanowić się czy jesteśmy bezpieczni w sieci. Bezpieczeństwo można uzyskać, jeśli regularnie aktualizujemy oprogramowanie, zmieniamy systemy na nowsze, zaś w podsieciach należy izolować kolejne stacje, aby nie powstał efekt domina.

Ransomware to najbardziej widoczny objaw złośliwego oprogramowania. Na ekranie widnieje komunikat zapłaty okupu, zaś sprzęt jest całkowicie nieprzydatny. Błędy w oprogramowaniu dotyczą każdego systemu, dlatego każdy użytkownik powinien regularnie korzystać z aktualizacji bezpieczeństwa.