WannaCry (również: WannaCrypt, WannaCryptor) - oprogramowanie typu ransomware. Doprowadziło do jednego z największych cyberataków w okresie 12-19 maja 2017, zarażając ponad 230000 komputerów.

Screenshot programu Wana Decrypt0r.

Zasada działania WannaCry

Program jest rozsyłany jako trojan w wiadomościach e-mail, zazwyczaj z wiadomością zachęcającą do kliknięcia mniej świadomego użytkownika sieci. Następnie jest ściągany na komputer i używając luki w zabezpieczeniach zwanej EternalBlue, która objawia się tym, że po infekcji jednego komputera wirus infekuje również pozostałe komputery w sieci lokalnej używając przestarzałego protokołu SMB (lokalny protokół umożliwiający udostępnianie zasobów komputerowych, m.in. drukarek, plików, skanerów etc.).

Sam exploit (tj. program szukający luk w oprogramowaniu) został odnaleziony i zaprojektowany przez amerykańskie NSA w celu możliwości wykorzystania tego do przejrzenia wszystkich komputerów w danej sieci lokalnej. 14 kwietnia 2017 r. doszło do wycieku za sprawą ataku grupy hakerskiej The Shadow Brokers na serwery NSA.

Po zainfekowaniu komputera wszystkie pliki są szyfrowane, a użytkownik tak zainfekowanego komputera jest zobowiązany do wpłacenia 300 dolarów w bitcoinach (ok. 0,135 bitcoina[! 1]).

WannaCry był o tyle zagrażający, że pliki były szyfrowane kluczem, który z kolei był zaszyfrowany metodą asymetryczną (który to ciężko złamać, nie znając klucza prywatnego). Autorzy WannaCry podawali użytkownikowi klucz prywatny po wpłacie okupu w wysokości trzystu dolarów. Użytkownik wówczas mógł użyć klucza prywatnego, by odszyfrować klucz, którym szyfrowane były pliki.

Ojej, i co teraz?!

Przede wszystkim nie ma powodu do zbędnej paniki, jeżeli nic jeszcze się nie stało z twoimi plikami.

14 marca 2017 r. Microsoft udostępnił łatkę bezpieczeństwa naprawiającą lukę EternalBlue, którą wykorzystuje WannaCry. Łatka była dostępna dla wszystkich wersji systemu Windows obecnie wspieranych przez Microsoft, tj. Windows Vista, 7, 8.1 i 10 oraz Windows Server 2008, 2012 i 2016. Wielu użytkowników jednak nie zainstalowało tej łatki, stąd też o wiele większa liczba zainfekowanych komputerów niż gdyby łatka byłaby zainstalowana.

13 maja 2017 r., dzień po głównym ataku, Microsoft niespodziewanie wydał łatkę naprawiającą lukę EternalBlue dla Windowsa XP, 8 i Windowsa Server 2003, dostępną przez Microsoft Update Catalog[1].

Dodatkowo Marcus Hutchins, autor bloga MalwareTech, odnalazł w kodzie wirusa mechanizm powodujący zatrzymanie uruchamiania ransomware. W najprostszych słowach, program sprawdzał, czy określona domena o specyficznym adresie jest zarejestrowana - jeżeli tak, wtedy program przestał się uruchamiać. Hutchins postanowił zarejestrować tą domenę za 11 dolarów, co ku jego zdziwieniu spowodowało zatrzymanie uruchamiania wirusa (jednakże nie wpłynęło to zbytnio na komputery już zainfekowane).

Kwestią czasu było, gdy pojawiły się wersję WannaCry nie posiadające tego mechanizmu.

Jak przestrzec się przed ransomware?

  • Nie klikaj w podejrzane załączniki ani linki w e-mailach.
  • Może to nie każdemu się spodobać, ale staraj się instalować łatki bezpieczeństwa dla systemu.
  • Zawsze rób backup swoich plików, aby w razie czego ich nie stracić w razie ataku ransomware.
  • Staraj się używać aktualnego oprogramowania antywirusowego.

Uwagi

  1. Dane na 22 maja 2017 r.

Przypisy