Výběr redakce

Wannacry virus - jak se chránit a obnovit data [bez ztráty]

Pokud váš počítač nebo více zařízení ve vaší domácnosti resp pracovní síť zasažen virem Wannacry – přečtěte si náš článek.

Zde se dozvíte, jak se chránit a předcházet infekci, a také jak správně dešifrovat zašifrovaná data.

Důležitost těchto znalostí potvrzují informace o více než 150 000 infikovaných počítačích v roce 2017, v jejichž operačním systému škodlivý kód WC.

A přestože bylo globální šíření hrozby zastaveno, je možné, že další verze ransomwaru bude ještě účinnější a stojí za to se na její výskyt předem připravit.

Obsah:

Důsledky

První známky ransomwarové infekce v počítačích byly objeveny 12. května 2017, kdy neznámý program zasáhl do práce tisíců uživatelů a stovek různých organizací po celém světě.

Škodlivý kód se začal šířit v 8:00 a během prvního dne infikoval více než 50 000 počítačů .

Většina infekcí byla in – ačkoli první údaje pocházely z Velké Británie a mezi postiženými organizacemi byly španělské a portugalské telekomunikační společnosti a dokonce automobilka "renault".

V Rusku napadl operátory mobilní komunikace "Megafon", "Beeline" A "Jota", Ministerstvo pro mimořádné situace, Ministerstvo vnitra a Správa železniční dopravní cesty.

Kvůli tomu byly v některých regionech země zrušeny zkoušky na řidičský průkaz a řada organizací dočasně pozastavila jejich práci.

Registrace názvu domény zapsaného v kódu viru, povoleno zastavit jeho distribuci. Poté již program nemohl přistupovat ke konkrétní doméně a nefungoval. Pravda, těsně před vydáním nová verze, kde již nebylo předepsáno adresování na konkrétní adresu.

Požadavky vývojářů malwaru

Výsledkem počítačové infekce bylo zablokování většiny počítačů na nich umístěných. pevné disky soubory.

Kvůli nemožnosti použít informace si uživatelé dokonce přeložili název aplikace WannaCry jako "Chci plakat", ale ne "Chci šifrovat"(Wanna Cryptor), jak to skutečně bylo.

Ale vzhledem k tomu, že nedešifrované soubory nebylo možné s vysokou pravděpodobností obnovit, zdála se vhodnější vlastní možnost.

Na ploše infikovaného počítače se objevila Windows, která požadovala zaplatit podvodníkům za odemknutí informací.

Nejprve útočníci požadovali jen 300 dolarů, po chvíli se částka zvýšila na 500 dolarů – a po zaplacení neexistovaly žádné záruky, že se útok nebude opakovat – počítač byl ostatně stále infikován.

Pokud však odmítnete zaplatit, zašifrovaná data zmizela 12 hodin po zobrazení varování.

Způsoby šíření hrozby

Vývojáři malwaru použili zranitelnost v tomto operačním systému, která byla opravena aktualizací MS17-010, k infikování počítačů se systémem Windows.

Obětí byli především ti uživatelé, kteří si tuto opravu v březnu 2017 nenainstalovali.

Po instalaci (ruční nebo automatické) aktualizace byl vzdálený přístup k počítači uzavřen.

Březnový patch přitom operační systém plně neochránil. Zvláště pokud si jej otevře sám uživatel – virus se tímto způsobem také šíří.

A po infikování jednoho počítače se virus dále šířil při hledání zranitelnosti – z tohoto důvodu se jako nejzranitelnější ukázali nikoli jednotliví uživatelé, ale velké společnosti.

Prevence infekce

Navzdory vážnému nebezpečí, že se virus (a jeho nové verze) dostane na téměř jakýkoli počítač, existuje několik způsobů, jak se vyhnout infekci systému.

K tomu je třeba přijmout následující opatření:

• ujistěte se, že jsou nainstalovány nejnovější bezpečnostní záplaty, a pokud chybí, přidejte je ručně. Poté nezapomeňte povolit automatická aktualizace- s největší pravděpodobností byla tato možnost zakázána;

• neotevírejte e-maily s přílohami od neznámých uživatelů;
• nesledujte podezřelé odkazy - zvláště pokud antivirus varuje před jejich nebezpečím;
• nainstalujte si kvalitní antivirový program - např. nebo procento detekce Bath Edge, které je maximální. Většina těch méně známých a především aplikace zdarma hůře chránit platformu;

• po infekci okamžitě odpojte počítač od internetu a zejména od lokální síť, chránící ostatní zařízení před šířením ransomwaru.

Kromě toho by měl uživatel pravidelně ukládat důležitá data vytvářením záložních kopií.

Pokud je to možné, vyplatí se kopírovat informace na USB flash disky, paměťové karty a ne (externí nebo vyměnitelné interní).

Pokud je možné obnovit informace, budou škody způsobené virem minimální - pokud je počítač infikován, stačí jeho paměťové zařízení jednoduše naformátovat.

Léčba infikovaného PC

Pokud je počítač již infikován, měl by se jej uživatel pokusit vyléčit tím, že se zbaví následků akce WannaCry.

Po vstupu virového programu do systému se to stane se změnou jejich rozšíření.

Při pokusu o spuštění aplikací nebo otevření dokumentů uživatel selže, což ho nutí přemýšlet o vyřešení problému zaplacením požadovaných 500 $.

Hlavní kroky řešení problému:

1 Spouštění služeb zabudovaných do operačního systému Windows.Šance na pozitivní výsledek je v tomto případě malá, proto s největší pravděpodobností budete muset použít jiné možnosti;

2 Přeinstalace systému. V tomto případě by mělo být vše naformátováno - je možné, že v tomto případě budou všechny informace ztraceny;

3 Přechod na dešifrování dat– tato možnost se používá, pokud jsou na disku důležitá data.

4 Proces obnovy souboru začíná stažením příslušných aktualizací a odpojením od internetu. Poté musí uživatel spustit příkazový řádek (přes "Start" a oddíl "Standard" nebo přes menu "Běh" a ) a zablokujte port 445, čímž zablokujete cestu viru. To lze provést zadáním příkazu netsh advfirewall firewall přidat pravidlo dir=v akci=blokovat protokol=tcp localport=445 name="Block_TCP-445.

5 Nyní následuje běžet Chcete-li to provést, při načítání podržte klávesu F8 přejděte do nabídky Start počítače a vyberte příslušnou položku. V tomto režimu se otevře složka se škodlivým kódem, která se nachází pomocí zástupce viru, který se objevil na ploše. Po smazání všech souborů v adresáři musíte restartovat systém a znovu zapnout internet.

Dešifrování souborů

Po zastavení práce WannaCry je uživatel povinen obnovit všechny zašifrované soubory.

Stojí za zmínku, že nyní je na to mnohem více času než 12 hodin - pokud tedy nemůžete data vrátit sami, můžete za několik dní nebo měsíců kontaktovat specialisty.

Nejlepší možnost- obnova dat ze záloh. Pokud uživatel nepředvídal možnost infekce a nezkopíroval důležitá data, měl by si dešifrovač stáhnout:

• Shadow Explorer, jehož činnost je založena na obnově „stínových“ kopií souborů (především dokumentů);

Rýže. 6. Spuštění programu

Obr.7. Pracovní zóna

Rýže. 8. Spuštění procesu obnovy

Virus Wanna Cry je nový typ hackerského, ransomwarového malwaru, kvůli kterému se uživatelé počítačů a internetu po celém světě otřásli. Jak virus Wanna Cry funguje, je možné se proti němu chránit, a pokud ano, jak?

Popis viru Wanna Cry– typ malwaru patřícího do kategorie ransomware, ransomware. Při zasažení HDD obětí, Wanna Cry jedná podle scénáře svých "kolegů", jako je kupř TrojanRansom.Win32.zip, šifrování všech osobních údajů všech známá rozšíření. Při pokusu o zobrazení souboru uživatel vidí na obrazovce požadavek na zaplacení n-té částky peněz, poté údajně útočník pošle pokyny k odemknutí.

Často se vymáhání peněz provádí pomocí SMS doplňování speciálně vytvořeného účtu, ale v poslední době se k tomu používá anonymní platební služba. bitcoin.

Wanna Cry virus - jak to funguje. Wanna Cry je program s názvem WanaCrypt0r 2.0, která útočí výhradně na PC na OC Windows. Program používá "díru" v systému k proniknutí - Bulletin zabezpečení společnosti Microsoft MS17-010 jehož existence byla dříve neznámá. Na tento moment není jisté, jak hackeři objevili zranitelnost MS17-010. Existuje verze o sabotáži výrobců antivirového softwaru pro udržení poptávky, ale samozřejmě nikdo neodepisuje inteligenci samotných hackerů.

Je smutné, že šíření viru Wanna Cry se provádí tím nejjednodušším způsobem - skrz e-mailem. Když otevřete spamový e-mail, spustí se kodér a poté je téměř nemožné obnovit zašifrované soubory.

Wanna Cry virus - jak se chránit, léčba. WanaCrypt0r 2.0 využívá při útoku zranitelná místa v síťových službách Windows. Je známo, že Microsoft již vydal "záplatu" - stačí spustit aktualizaci aktualizace systému Windows před Nejnovější verze. Za zmínku stojí, že svůj počítač a data mohou chránit pouze uživatelé, kteří si zakoupili licenci. Verze Windows- když se pokusíte aktualizovat "piráta", systém jednoduše neprojde testem. Musíte si také pamatovat, že systém Windows XP již není aktualizován, stejně jako samozřejmě dřívější verze.

Před Wanna Cry se můžete chránit dodržováním několika jednoduchých pravidel:

• aktualizujte systém včas – všechny infikované počítače nebyly aktualizovány
• používat licencovaný OS
• neotevírejte podezřelé e-maily
• neklikejte na podezřelé odkazy zanechané nedůvěryhodnými uživateli

Podle zpráv z médií budou výrobci antivirového softwaru vydávat aktualizace pro boj s Wanna Cry, takže ani aktualizace antiviru by se neměla odkládat.

WannaCry- speciální program, který zablokuje všechna data v systému a uživateli zbydou pouze dva soubory: návod, co dál, a samotný program Wanna Decryptor – nástroj pro odemykání dat.

Většina společností zabývajících se zabezpečením počítačů má nástroje na dešifrování ransomwaru, které lze obejít software. Pro běžné smrtelníky je způsob „léčby“ zatím neznámý.

WannaCry Decryptor ( nebo WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), již nazýván „virem roku 2017“. A není to vůbec nerozumné. Jen za prvních 24 hodin od začátku své distribuce zasáhl tento ransomware více než 45 000 počítačů. Někteří vědci se domnívají, že v tuto chvíli (15. května) je již infikováno více než milion počítačů a serverů. Připomeňme, že se virus začal šířit 12. května. Jako první utrpěli uživatelé z Ruska, Ukrajiny, Indie a Tchaj-wanu. Virus se přitom šíří vysokou rychlostí v Evropě, USA a Číně.

Informace o počítačích a serverech byly šifrovány veřejné instituce(zejména Ministerstvo vnitra Ruska), nemocnice, nadnárodní korporace, univerzity a školy.

Wana Decryptor (Wanna Cry nebo Wana Decrypt0r) paralyzoval práci stovek společností a vládních agentur po celém světě

WinCry (WannaCry) je v podstatě exploit z rodiny EternalBlue, který využívá poměrně starou zranitelnost v operačním systému Windows (Windows XP, Windows Vista, Windows 7, Windows 8 a Windows 10) a tiše se sám nabootuje do systému. Poté pomocí algoritmů odolných proti dešifrování zašifruje uživatelská data (dokumenty, fotografie, videa, tabulky, databáze) a požaduje výkupné za dešifrování dat. Schéma není nové, neustále píšeme o nových variantách šifrování souborů – ale zde je nová distribuční metoda. A to vedlo k epidemii.

Jak virus funguje

Malware prohledává hostitele na internetu a hledá počítače s otevřeným TCP portem 445, který je zodpovědný za servis SMB protokol v1. Po nalezení takového počítače se program několikrát pokusí zneužít zranitelnost EternalBlue na něm a v případě úspěchu nainstaluje backdoor DoublePulsar, přes který se načte a spustí spustitelný kód programu WannaCry. Při každém pokusu o zneužití malware zkontroluje přítomnost DoublePulsar na cílovém počítači a pokud je detekován, je načten přímo přes tato zadní vrátka.

Mimochodem, tyto cesty nejsou sledovány moderními antivirové programy, díky čemuž byla infekce tak masivní. A to je obrovský kámen v zahradě vývojářů antivirového softwaru. Jak by to mohlo být dovoleno? Za co bereš peníze?

Po spuštění se malware chová jako klasický ransomware: pro každý infikovaný počítač generuje jedinečný pár asymetrických klíčů RSA-2048. Poté WannaCry začne skenovat systém a hledá uživatelské soubory určitých typů, přičemž ty kritické pro jeho další fungování ponechá nedotčené. Každý vybraný soubor je zašifrován pomocí algoritmu AES-128-CBC s jedinečným (náhodným) klíčem pro každý z nich, který je zase zašifrován veřejným klíčem RSA infikovaného systému a uložen v záhlaví zašifrovaného souboru. Zároveň se ke každému zašifrovanému souboru přidá přípona. .wcry. Dvojice RSA klíčů infikovaného systému je zašifrována veřejným klíčem útočníků a odeslána na jejich řídicí servery umístěné v síti Tor, poté jsou všechny klíče vymazány z paměti infikovaného počítače. Po dokončení procesu šifrování program zobrazí okno s požadavkem na převod určité částky v bitcoinech (odpovídající 300 USD) do zadané peněženky do tří dnů. Pokud nebude výkupné přijato včas, bude jeho částka automaticky zdvojnásobena. Sedmý den, pokud WannaCry není odstraněn z infikovaného systému, jsou šifrované soubory zničeny. Zpráva se zobrazí v jazyce, který odpovídá jazyku nainstalovanému v počítači. Celkem program podporuje 28 jazyků. Spolu se šifrováním program kontroluje libovolné internetové a lokální síťové adresy pro následnou infekci nových počítačů.

Podle studie společnosti Symantec je algoritmus útočníka pro sledování individuálních výplat každé oběti a zasílání dešifrovacího klíče implementován s chybou rasy. Platby výkupného tak postrádají smysl, protože jednotlivé klíče stejně nebudou odeslány a soubory zůstanou zašifrované. Existuje však spolehlivá metoda, jak dešifrovat uživatelské soubory menší než 200 MB, stejně jako určité šance na obnovení větších souborů. Navíc na zastaralém Systémy Windows XP a Windows Server 2003, vzhledem ke zvláštnostem implementace algoritmu výpočtu pseudonáhodných čísel v systému, je dokonce možné obnovit soukromé klíče RSA a dešifrovat všechny postižené soubory, pokud počítač nebyl od okamžiku infekce restartován. Později skupina francouzských odborníků na kybernetickou bezpečnost z Comae Technologies rozšířila tuto funkci na Windows 7 a uvedla ji do praxe zveřejněním nástroje ve veřejné doméně. WanaKiwi, který umožňuje dešifrovat soubory bez výkupného.

V kódu dřívějších verzí programu byl poskytnut samodestrukční mechanismus, tzv. Kill Switch - program zkontroloval dostupnost dvou konkrétních internetových domén a pokud nějaké byly, byl z počítače zcela odstraněn. Poprvé to objevil 12. května 2017 Marcus Hutchins (Angličtina) ruština , 22letý virový analytik britské společnosti Kryptos Logic, tweetoval pod klikou @MalwareTechBlog a zaregistroval jednu z domén na své jméno. Dokázal tak dočasně částečně zablokovat distribuci této modifikace škodlivého programu. 14. května byla zaregistrována i druhá doména. V následujících verzích viru byl tento samodeaktivační mechanismus odstraněn, ale v původní verzi to nebylo provedeno. programový kód a úpravou spustitelný soubor, což naznačuje, že původ této opravy nepochází od autorů původního WannaCry, ale od útočníků třetích stran. V důsledku toho byl poškozen šifrovací mechanismus a tato verze červa se může šířit pouze sama, najde zranitelné počítače, ale není schopna je přímo poškodit.

Vysoká rychlost šíření WannaCry, jedinečná pro ransomware, je způsobena zranitelností zveřejněnou v únoru 2017 síťový protokol operační systém SMB Microsoft Windows popsané v bulletinu MS17-010. Pokud se v klasickém schématu ransomware dostal do počítače v důsledku akcí samotného uživatele prostřednictvím e-mailu nebo webového odkazu, pak je v případě WannaCry účast uživatele zcela vyloučena. Doba mezi objevením zranitelného počítače a jeho úplnou infekcí je asi 3 minuty.

Vývojářská společnost potvrdila přítomnost zranitelnosti v absolutně všech uživatelských a serverových produktech, které implementují protokol SMBv1 – počínaje Windows XP/Windows Server 2003 a konče Windows 10/Windows Server 2016. 14. března 2017 vydala společnost Microsoft řadu aktualizací navržených tak, aby neutralizovaly zranitelnost ve všech podporovaných operačních systémech. Po distribuci WannaCry podnikla společnost 13. května bezprecedentní krok a také vydala aktualizace pro produkty s ukončenou podporou (Windows XP, Windows Server 2003 a Windows 8).

Šíření viru WannaCry

Virus se může šířit různými způsoby:

• Prostřednictvím jediné počítačové sítě;
• Prostřednictvím pošty;
• Prostřednictvím prohlížeče.

Osobně moc nechápu proč. internetové připojení není skenován antivirem. Stejný způsob infekce, jako je návštěva webu nebo prohlížeče, dokazuje bezradnost vývojářů a skutečnost, že požadované prostředky na licencovaný software na ochranu PC nejsou nijak opodstatněné.

Příznaky infekce a léčba viru

Po úspěšné instalaci na PC uživatele se WannaCry pokusí šířit po lokální síti na další PC jako červ. Zašifrované soubory obdrží systémovou příponu .WCRY a stanou se zcela nečitelnými a není možné je sami dešifrovat. Po úplném zašifrování Wcry změní tapetu plochy a ve složkách se zašifrovanými daty zanechá „návod“ na dešifrování souborů.

Nejprve si hackeři vymohli 300 dolarů za dešifrovací klíče, ale poté tuto částku zvýšili na 600 dolarů.

Jak zabránit tomu, aby WannaCry Decryptor infikoval váš počítač?

Stáhněte si aktualizaci operačního systému z webu společnosti Microsoft.

Co dělat Je váš počítač napaden?

Pomocí níže uvedených pokynů se pokuste obnovit alespoň některé informace na infikovaném počítači. Aktualizujte svůj antivirus a nainstalujte opravu operačního systému. Dekodér pro tento virus zatím v přírodě neexistuje. Důrazně nedoporučujeme platit útočníkům výkupné – neexistuje ani nejmenší záruka, že po obdržení výkupného dešifrují vaše data.

Odstraňte ransomware WannaCry pomocí automatického čističe

Výhradně účinná metoda zabývající se malwarem obecně a ransomwarem konkrétně. Použití osvědčeného bezpečnostního komplexu zaručuje důkladnost detekce jakýchkoli virových komponent, jejich úplné odstranění jedním kliknutím. Upozorňujeme, že mluvíme o dvou různých procesech: odinstalování infekce a obnovení souborů na vašem PC. Hrozbu je však určitě potřeba odstranit, protože existují informace o zavedení dalších počítačových trojských koní s její pomocí.

1. Stáhněte si software WannaCry Virus Removal Software. Po spuštění softwaru klikněte na tlačítko Spusťte kontrolu počítače(Začni skenovat). Stáhněte si software pro odstranění ransomwaru WannaCry .
2. Nainstalovaný software poskytne zprávu o hrozbách zjištěných během kontroly. Chcete-li odstranit všechny nalezené hrozby, vyberte možnost Opravit nedostatky(Odstranit hrozby). Dotyčný malware bude zcela odstraněn.

Obnovte přístup k zašifrovaným souborům

Jak bylo uvedeno, ransomware no_more_ransom zamyká soubory pomocí silného šifrovacího algoritmu, takže šifrovaná data nelze mávnutím kouzelného proutku obnovit – pokud nepočítáte s platbou neslýchaného výkupného. Některé metody se ale skutečně mohou stát záchranou, která vám pomůže obnovit důležitá data. Níže se s nimi můžete seznámit.

Program automatické obnovení soubory (dekodér)

Je známa velmi neobvyklá okolnost. Tato infekce vymaže původní soubory v nezašifrované podobě. Vyděračský proces šifrování se tak zaměřuje na jejich kopie. To k tomu poskytuje příležitost softwarové nástroje jak Data Recovery Pro obnovit smazané objekty, i když je zaručena spolehlivost jejich odstranění. Důrazně se doporučuje uchýlit se k postupu obnovy souborů, jeho účinnost je nepochybná.

Stínové kopie svazku

Tento přístup je založen na postupu Windows Rezervovat kopii souborů, což se opakuje v každém bodu obnovení. Důležitá podmínka pro fungování této metody: před infekcí musí být aktivována funkce "Obnovení systému". Jakékoli změny provedené v souboru po bodu obnovení se však v obnovené verzi souboru neprojeví.

Záloha

Toto je nejlepší ze všech nevýkupních metod. Pokud byl postup pro zálohování dat na externí server použit předtím, než ransomware zaútočil na váš počítač, k obnově zašifrovaných souborů stačí vstoupit do příslušného rozhraní, vybrat potřebné soubory a spustit mechanismus obnovy dat ze zálohy. Před provedením operace se musíte ujistit, že ransomware je zcela odstraněn.

Zkontrolujte možné zbytkové komponenty ransomwaru WannaCry

Ruční čištění je plné rizika chybějících částí ransomwaru, které se mohou vyhnout odstranění ve formě skrytých objektů operačního systému nebo položek registru. Chcete-li eliminovat riziko částečného zachování jednotlivých škodlivých prvků, prohledejte počítač pomocí spolehlivého bezpečnostního softwarového balíku, který se specializuje na malware.

Dešifrování

Neexistují ale žádné informace od těch, kteří za dešifrování zaplatili, stejně jako nejsou žádné informace o úmyslu hackerů uklidnit duši lidí a po zaplacení informace dešifrovat ((((

Ale na Habrého byly informace o principu fungování tlačítka Decrypt, stejně jako o tom, že útočníci nemají jak identifikovat uživatele, kteří poslali bílé koule, což znamená, že obětem nikdo nic neobnoví:

„Šifrovač vytváří dva typy souborů: za prvé, některá část je zašifrována pomocí 128bitového AES, zatímco vygenerovaný dešifrovací klíč je připojen přímo k zašifrovanému souboru. U souborů zašifrovaných tímto způsobem dává šifrovač příponu .wncyr a poté je dešifruje, když kliknete na Dešifrovat. Většina zašifrovaných získá rozšíření .wcry a není tam žádný klíč.
V tomto případě neprobíhá šifrování v souboru samotném, ale nejprve se na disku vytvoří soubor, kam se umístí zašifrovaný obsah, a poté se původní soubor smaže. V souladu s tím existuje po nějakou dobu možnost obnovit část dat pomocí různých nástrojů pro obnovení.
V boji proti takovým utilitám kryptor neustále zapisuje na disk všechny zbytky, které zbyly, takže místo na disku dostatečně rychle zanikne.
A proto stále chybí informace o platbě a mechanismech jejího ověřování, to je opravdu překvapivé. Možná ovlivňuje poměrně slušná částka (300 $), která je pro takový šek požadována.

Tvůrci viru WannaCry obešli dočasnou ochranu v podobě nesmyslné domény

Tvůrci ransomwarového viru WannaCry, který zasáhl počítače ve více než 70 zemích, vydali jeho novou verzi. Chybí mu kód pro přístup k nesmyslné doméně, která zabránila šíření původního viru, píše Motherboard. Publikace získala potvrzení o vzniku nové verze viru od dvou odborníků, kteří studovali nové případy počítačové infekce. Jedním z nich je Costin Raiu, vedoucí mezinárodního výzkumného týmu v Kaspersky Lab.

Zda se ve WannaCry objevily nějaké další změny, specialisté neupřesnili.

Tento kybernetický útok byl již označen za největší v historii. Více než 70 zemí, desítky tisíc infikovaných počítačů. Virus ransomwaru s názvem Wanna Cry („Chci plakat“) nikoho nešetří. Pod útokem – nemocnice, železnice, vládní agentury.

V Rusku byl útok nejmasivnější. Zprávy, které nyní přicházejí, připomínají zprávy z počítačových front. Z posledního: Ruské dráhy uvedly, že se virus pokusil proniknout do jejich IT systému, již byl lokalizován a snaží se ho zničit. Pokusy o hackerské útoky byly rovněž diskutovány v centrální bance, ministerstvu vnitra, ministerstvu pro mimořádné situace a komunikačních společnostech.

Tak vypadá virus, který ochromil desítky tisíc počítačů po celém světě. Jasné rozhraní a text přeložený do desítek jazyků - "máte jen tři dny na zaplacení." Škodlivý program, který šifruje soubory, vyžaduje podle různých zdrojů 300 až 600 dolarů na jejich odemknutí. Pouze v kyberměně. Vydírání je doslova na hranici života a smrti.

„Byl jsem na operaci zcela připraven, dokonce i kapačka už byla zavedena, a pak přijde chirurg a řekne, že mají problémy s vybavením kvůli kybernetickému útoku,“ říká Patrick Ward.

Vakcíny od počítačový virus nebyl nalezen ani ve čtyřiceti britských klinikách, které byly napadeny jako první, ani v největší španělské telekomunikační společnosti Telefonika. Stopy, jak říkají odborníci, po jednom z největších hackerských útoků ve světové historii, dokonce i na výsledkových tabulích vlakových nádraží v Německu. V jednom ze sedmi řídicích středisek německého železničního dopravce Deutsche Bahn selhal řídicí systém. Následky by mohly být katastrofální.

Celkem se již 74 zemí stalo obětí kybernetických útoků. Nedotčené kromě Afriky a několika států v Asii a Latinské Americe. Je to jen prozatím?

„To vše se dělá proto, abychom získali peníze z organizovaného zločinu. Není tam žádné politické pozadí ani postranní úmysly. Čiré vydírání,“ říká expert na antivirové programy IT firem Ben Rapp.

Britská média však okamžitě našla politické pozadí. A ze všeho obvinili ruské hackery, nicméně bez jakýchkoli důkazů, spojující kybernetický útok s americkým náletem v Sýrii. Virus ransomware se údajně stal pomstou Moskvy. Přitom podle stejných britských médií při tomto útoku nejvíce utrpělo Rusko. A s tím je těžké polemizovat, jistě. Jen na ministerstvu vnitra bylo napadeno více než tisíc počítačů. Nicméně bez úspěchu.

Odrazili jsme útoky na ministerstvu pro mimořádné situace a ministerstvu zdravotnictví, ve Sberbank a v Megafonu. Mobilní operátor dokonce na čas pozastavila práci call centra.

„Prezidentský dekret o vytvoření ruského segmentu Sítě je uzavřeným internetem kolem vládních úředníků. Obrana je dávno za tímto štítem. S největší pravděpodobností si myslím, že trpěl jednoduché počítače kmenových zaměstnanců. Je nepravděpodobné, že by přístup k databázím utrpěl - jsou zpravidla na jiných operační systémy a jsou zpravidla u poskytovatelů,“ řekl German Klimenko, poradce prezidenta Ruska pro rozvoj internetu.

Program podle vývojářů antiviru infikuje počítač, pokud uživatel otevřel podezřelý dopis, a dokonce ani neaktualizoval Windows. To je jasně vidět na příkladu vážně postižené Číny - obyvatelé Nebeské říše, jak víte, mají zvláštní lásku k pirátským operačním systémům. Ale stojí za to platit, bezmyšlenkovitě klikat myší, diví se světu

„Pokud společnost ne záloha, mohou ztratit přístup k datům. To znamená, že pokud je například databáze nemocničních pacientů uložena spolu s historií případů v jediné kopii na tomto serveru, kam se virus dostal, pak už nemocnice tato data žádným způsobem neobnoví,“ říká odborník na kybernetickou bezpečnost Ilya Skachkov.

Jak zjistili blogeři, v elektronické peněžence podvodníků zatím nejsou více než čtyři tisíce dolarů. Drobnost, vzhledem k seznamu obětí – náklady na hacknutí jejich pevných disků zjevně nejsou srovnatelné. Britské vydání Financial Times navrhlo, že virus ransomware není nic jiného než škodlivý program americké Národní bezpečnostní agentury upravený kyberzločinci. Jednou byl vytvořen za účelem proniknout do uzavřených amerických systémů. To potvrdil i jeho bývalý zaměstnanec Edward Snowden.

Ze Snowdenova Twitteru: "Páni, rozhodnutí NSA vytvořit nástroje k útoku na americký software nyní ohrožuje životy pacientů v nemocnicích."

WikiLeaks však také opakovaně varovaly, že kvůli maniakální touze monitorovat celý svět šíří americké zpravodajské služby malware. Ale i kdyby tomu tak nebylo, vyvstává otázka, jak se programy NSA dostanou do nesprávných rukou. Zajímavé a ještě něco. Zachránit svět před virem nabízí další americká zpravodajská agentura - Ministerstvo pro vnitřní bezpečnost.

Ať je to jak chce, skutečný rozsah tohoto útoku je třeba teprve posoudit. Infekce počítačů po celém světě pokračuje. Je jen jedna „vakcína“ – opatrnost a předvídavost. Je důležité neotvírat podezřelé přílohy. Odborníci zároveň varují, že přibudou další. Četnost a rozsah kybernetických útoků se bude jen zvyšovat.

(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) je malware, síťový červ a ransomware. Program zašifruje téměř všechny soubory uložené v počítači a za jejich dešifrování vyžaduje výkupné. Malware v posledních letech bylo registrováno obrovské množství tohoto typu, ale WannaCry vyčnívá na jejich pozadí v rozsahu distribuce a používaných technik.

Tento ransomware virus se začal šířit asi v 10 hodin a 12. května večer začala média hlásit četné infekce. Různé publikace píší, že byl proveden hackerský útok na největší holdingy, včetně Sberbank.

Otázka uživatele. „Můj současný osobní notebook se systémem Windows 7 Home Premium automaticky nainstaluje všechny druhy záplat, když jej vypnu...

Můj tablet W10 také automaticky instaluje nové záplaty, když je zapnutý... Neaktualizují firemní stolní počítače automaticky své operační systémy, když jsou zapnuty nebo vypnuty? Opravdu - proč?

Přesčas plný set Tyto exploity byly zveřejněny spolu s tréninkovými videi. Může ho použít kdokoli. Co se stalo. Exploit kit obsahuje nástroj DoublePulsar. S otevřeným portem 445 a ne nainstalovaná aktualizace MS 17-010, pomocí zranitelnosti třídy vzdáleného spouštění kódu (možnost vzdálené infekce počítače (exploit NSA EternalBlue)), je možné zachytit systémová volání a vložit škodlivý kód do paměti. Žádné přijímat nemusíte e-mailem- pokud máte počítač s přístupem na internet, se spuštěnou službou SMBv1 a bez nainstalovaného patche MS17-010, pak si vás útočník najde sám (například prohledáváním adres).

Analýza WannaCry

Trojan WannaCry (aka WannaCrypt) šifruje soubory s určitými příponami v počítači a požaduje výkupné ve výši 300 $ v bitcoinech. Na zaplacení jsou dány tři dny, pak se částka zdvojnásobí.

Pro šifrování je použit americký algoritmus AES se 128bitovým klíčem.

V testovacím režimu se šifrování provádí pomocí druhého klíče RSA pevně připojeného k trojskému koni. V tomto ohledu je možné dešifrování testovacích souborů.

Během procesu šifrování je náhodně vybráno několik souborů. Trojan nabízí, že je zdarma dešifruje, aby se oběť přesvědčila, že zbytek lze dešifrovat po zaplacení výkupného.

Ale tyto selektivní soubory a zbytek jsou zašifrovány různými klíči. Proto neexistuje žádná záruka dešifrování!

Známky infekce WannaCry

Jakmile je trojský kůň na počítači, běží jako systém servis oken s názvem mssecsvc2.0 (viditelný název je služba Microsoft Security Center (2.0)).

Červ je schopen přijímat argumenty příkazový řádek. Pokud je zadán alespoň jeden argument, pokusí se otevřít službu mssecsvc2.0 a nastavit ji na restartování při chybě.

Po spuštění se pokusí přejmenovat soubor C:\WINDOWS\tasksche.exe na C:\WINDOWS\qeriuwjhrf, uloží jej z prostředků kodéru trojského koně do souboru C:\WINDOWS\tasksche.exe a spustí jej pomocí / i parametr. Trojan během spouštění získá IP adresu infikovaného počítače a pokusí se připojit k TCP portu 445 každé IP adresy v podsíti – vyhledá stroje ve vnitřní síti a pokusí se je infikovat.

24 hodin po spuštění jako systémové služby se červ automaticky ukončí.

Pro svou vlastní distribuci malware inicializuje Windows Sockets, CryptoAPI a spouští několik vláken. Jeden z nich uvádí vše síťová rozhraní na infikovaném PC a dotazuje se na dostupné hostitele v místní síti, ostatní generují náhodné IP adresy. Červ se pokouší připojit k těmto vzdáleným hostitelům pomocí portu 445. Pokud je k dispozici, samostatné vlákno infikuje hostitele sítě pomocí chyby zabezpečení v protokolu SMB.

Červ se ihned po spuštění pokusí odeslat požadavek na vzdálený server, jehož doména je uložena v trojském koni. Pokud obdrží odpověď na tento požadavek, ukončí svou práci.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Ochrana proti WannaCrypt a dalšímu ransomwaru

Chcete-li se chránit před ransomwarem WannaCry a jeho budoucími úpravami, musíte:

1. Zakažte nepoužívané služby, včetně SMB v1.

• SMBv1 je možné zakázat pomocí PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• Prostřednictvím registru:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, SMB1 hodnota DWORD = 0
• Můžete také odebrat samotnou službu, která je zodpovědná za SMBv1 (ano, je za ni osobně odpovědná samostatná služba od SMBv2):
  sc.exe konfigurace lanmanworkstation Depend=bowser/mrxsmb20/nsi
  Konfigurace sc.exe mrxsmb10 start=zakázáno

1. Uzavřete nepoužívané síťové porty pomocí brány firewall, včetně portů 135, 137, 138, 139, 445 (porty SMB).

Obrázek 2. Příklad blokování portu 445 pomocí firewalluOkna

Obrázek 3. Příklad blokování portu 445 pomocí firewalluOkna

1. Omezte přístup aplikací k internetu pomocí antiviru nebo firewallu.

Obrázek 4. Příklad omezení přístupu aplikace k Internetu pomocí brány Windows Firewall