Vyděračský virus WannaCry se může dál šířit. Microsoft svaluje vinu na vládu

5

Masivní kyberútok, o kterém jsme psali v sobotu, již podle šéfa Europolu zasáhl přes 200 000 počítačů ve 150 zemích. Editoři na Wikipedii dávají dohromady seznam významných obětí, WannaCry ohrozil provoz systémů v bankách, zdravotnických zaříezních, logistických firmách a potrápil i nejedno ministerstvo. Podle mapy MalwareTechu již WannaCry řádí i v Česku. Podle Esetu ale jinak výrazně.

České republiky se tato aktuální kampaň dotkla poměrně okrajově. Za celý víkend evidujeme méně než dvě stovky zasažených zařízení. Nezaznamenali jsme zatím ani žádnou významnou instituci, kterou by tento malware alespoň částečně ochromil. Důvody, proč se WannaCry v tuzemsku nešířil více, jsou v tuto chvíli známé dva. Tím prvním je velmi brzká detekce této hrozby, která zamezila větším škodám. Tím druhým je, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku,“ říká Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti Eset.

WannaCry (WCry, WanaCrypt0r 2.0) využívá chybu v protokolu SMB, který ve Windows slouží k síťovému sdílení disků a tiskáren. Ke zranitelnosti již existuje exploit, ve kterém má prsty NSA a který díky hackerské skupině ShadowBrokers unikl na internet. A právě on byl využit k rychlému šíření vyděračského viru, který zašifruje soubory na disku a požaduje výpalné v hodnotě 300 dolarů (v bitcoinech), jinak uživatel o data přijde.

V peněženkách, které je pro příjem určené, bylo v době psaní článku 196 příchozích transakcí o celkové hodnotě 29,637 BTC. Při současném kurzu to dělá přes 18 000 dolarů.

Útok náhodou zastaven. Částečně

Bezpečnostní expert ze zmíněného MalwareTechu již WannaCry analyzoval a zjistil, že virus se při napadení počítače dotazuje na neexistující internetovou doménu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Doménu proto ze zvědavosti zaregistroval, a tím překvapivě šíření (alespoň částečně) zastavil.

Pokusem oveřeil, že pokud doména neexistuje nebo je nedostupná (DDOS, blokace ISP nebo ochrana v hosts na počítači), virus se přestane šířit. Na zaregistrovanou adresu pak ještě nastavil tzv. sinkhole, který analyzuje provoz a snaží se vypátrat zdroj i cíle útoků.

Média jej již oslavují jako hrdinu, ale on sám tvrdí, že tato verze WannaCry šla zastavit, ale u příští to již nemusí platit. Matt Suiche z Comae na svém webu píše, že objevil druhou variantu viru, která se dotazuje na jinou adresu. Tu také zaregistroval a zapnul na ní sinkhole. Kaspersky již objevil variantu, která se umí šířit bez dotazování, ale část s ransomwarem je poškozená. Nákaza se tedy šíří, ale není nebezpečná.

Jak se bránit

Chyba postihuje pouze Windows XP (či Server 2003) a novější. Microsoft dokonce mimořádně vydal záplaty i pro již nepodporované systémy, ale zalepenou dírou v SMB zamezil šíření WannaCry. Windows 7, 8.1 a 10 by měly být bezpečné již po březnové aktualizaci. Aféra kolem WannyCry mimochodem ukazuje, proč Microsoft nechce domácím uživatelům umožnit vypnout Windows Update.

Kromě aktualizace systému je možné šíření zastavit i vypnutím SMP nebo zablokováním TCP portu 445 ve firewallu.

Jak poznamenává TheHackerNews, všechny tři ochrany zamezí pouze tomu, abyste se sami automaticky nakazili přes síť nebo aby váš počítač nenakazil ostatní počítače v lokální síti či internetu. WannaCry se ale dělí na dvě části. Ochrana zablokuje jen průnik skrz protokol SMB. Část s ransomwarem, která zašifruje soubory a žádá výkupné, je stále funkční. Uživatel se může nakazit jinými způsoby, typicky stažením závadného souboru z internetu nebo otevřením e-mailové přílohy.

Reakce Microsoftu

Firma na svém blogu vydala zprávu, že zaměstnává přes 3500 expertů, kteří se snaží produkty Microsoftu udržet bezpečné. Ti dokázali chybu včas opravit během března a ti také rychle vydali záplatu pro již nepodporované systémy.

Za nos by se však prý měli chytit uživatelé nebo firemní admini, kteří aktualizaci odkládají a nechávají počítače nezabezpečené.

Viníkem jsou podle Microsoftu také vlády, které financují hackery vyhledávající chyby a tvořící pro ně exploity, aniž by na zranitelnosti upozornili softwarové společnosti. Přímo zmiňuje práci hackerů v CIA, na které upozornily WikiLeaks. Nebo v tomto případě NSA, jejíž exploit unikl na internet a stal se klíčovou součástí WannaCry.

Vyděračský virus WannaCry se může dál šířit. Microsoft svaluje vinu na vládu

Ohodnoťte tento článek!

5 KOMENTÁŘE

  1. Ono když každou chvíli čtu nebo si sám užívám, co zrovna nová aktualizace od MS rozbila, tak celkem chápu, že ani uživatelé ani firemní admini neaktualizují do pěti minut od vydání. Chtělo by to tedy možná nějak líp oddělit critical security updaty které lepí právě zneužívanou díru a pak to co tak nespěchá a může chvíli počkat.

  2. No jasne, vetsina webu jasne napsala, ze Microsoft zaplatu na chybu pro aktualni systemy uvonil uz v breznu a zaplatu pro Windows XP pred mesicem. Jen vy tady pejorativne naznacujete „Microsoft svaluje vinu na vládu“, jako by to byla chyba MS a MS se z toho chtel nejak nekale vyvlict. Vazne bulvar.

  3. Tak teraz som zmätený. Ešte ráno som čítal na konkurenčnom webe, že útok zastavil (zpomalil) nejaký chlap tým, že zaregistroval danú doménu. Akonáhle vírus zistil že daná doména je dostupná, vypol svoje rozširovanie, čiže to vyzerá na nejaký fail safe kill switch. Tu v článku sa ale píše niečo úplne iné.
    „Pokusem oveřeil, že pokud doména neexistuje nebo je nedostupná (DDOS, blokace ISP nebo ochrana v hosts na počítači), virus se přestane šířit. “ – Táto veta nedáva žiadny zmysel. Doména práveže nebola pôvodne dostupná, tým pádom by sa podľa danej vety nemal vírus vôbec číriť až do jej zaregistrovania spomínaným expertom. Čím by paradoxne útok nezastavil ale rozpútal. Wat?

  4. Většina uživatelů (laiků) dává na radu nezkušených IT a na jejich doporučení vypínají Windows update.
    Viděl jsem to i u kamaráda síťaře. To první, co udělal po instalaci W7/W10 bylo, že zákazal Windows update.
    Říkal jsem proč a on? Však to jsou nelegální Windows, tak aby mi to tady nevyskakovalo.
    (Ano, přesně tohle je realita…)