Wannacry ransomware-hyökkäys: 3 tärkeätä asiaa tietää

Kyberturvallisuusasiantuntijat ilmoittivat maailmanlaajuisesti Ranskan ohjelmistohyökkäyksistä, jotka ovat nimeltään WannaCry, ja maailmanlaajuisesti on annettu useita varoituksia, jotka viittaavat verkkoon kytkettyjen laitteiden suojaustoimenpiteiden lisäämiseen, koska tällä viikolla odotetaan toista hyökkäysten aaltoa.

Ransomware-hyökkäykset - vuosikymmenen vanha hakkeritrikki - ovat kohdistuneet huomattavasti Venäjälle, Ukrainaan, Espanjaan, Iso-Britanniaan ja Intiaan.

Ransomware-isku on kärsinyt muista maista, kuten Yhdysvallat, Brasilia, Kiina, muun muassa Pohjois-Amerikasta, Latinalaisesta Amerikasta, Euroopasta ja Aasiasta.

Ransomware salaa laitteessa olevat tiedostot '.wcry' -laajennuksella, ja se käynnistetään SMBv2 (Server Message Block Version 2) -etäkoodin suorittamisen avulla.

Lue myös: Mikä on Ransomware ja kuinka suojautua sitä vastaan? ja ovatko älypuhelimet haavoittuvia WannaCry Ransomware Attack -sovellukselle?

Kaspersky Labin globaali tutkimus- ja analysointitiimi huomautti, että "SMB-palveluihinsa alttiita Windows-tietokoneita, joita ei voida lähettää, voidaan hyökätä etäyhteydellä" ja "tämä haavoittuvuus näyttää olevan merkittävin tekijä, joka aiheutti puhkeamisen".

Hakkerointiryhmän varjovälittäjien on ilmoitettu olevan vastuussa haittaohjelmien toteuttamisesta hyökkäyksen toteuttamiseksi Internetissä 14. huhtikuuta.

Kuinka laajalle levinnyt hyökkäys on?

Tämän hyökkäyksen koko vaikutusta ei vielä tunneta, koska tietoverkkoturvallisuuden asiantuntijat odottavat hyökkäyksen lisäaallot osuvan useampaan järjestelmään.

New York Timesin raportin mukaan hyökkäys on ottanut haltuunsa yli 200 000 tietokonetta yli 150 maassa.

Vaikuttavat yritykset ja valtion virastot, mukaan lukien Venäjän ministeriöt, FedEx, Deutsche Bahn (Saksa), Telefonica (Espanja), Renault (ranska), Qihoo (Kiina) ja Yhdistyneen kuningaskunnan kansallinen terveyspalvelu.

Espanjan atk-hätätiimiryhmä (CCN-CERT) on myös vaatinut suuria hälytyksiä maassa, koska sen mukaan lunasohjelmat ovat saattaneet vaikuttaa organisaatioihin.

”Haitalliset WannaCrypt-ohjelmistot leviävät nopeasti maailmanlaajuisesti ja ovat peräisin Yhdysvaltain NSA: lta varastettujen hyödykkeiden käytöstä. Microsoft oli julkaissut tietoturvapäivityksen tämän haavoittuvuuden korjaamiseksi, mutta monet tietokoneet eivät olleet maailmanlaajuisesti käytettävissä, ”Microsoft totesi.

Tähän saakka on vaikuttanut seuraaviin ohjelmistoihin:

• Windows Server 2008 32-bittisille järjestelmille
• Windows Server 2008 32-bittisille järjestelmille, Service Pack 2
• Windows Server 2008 Itanium-pohjaisiin järjestelmiin
• Windows Server 2008 Itanium-pohjaisiin järjestelmiin, Service Pack 2
• Windows Server 2008 x64-pohjaisiin järjestelmiin
• Windows Server 2008 x64-pohjaisten järjestelmien Service Pack 2: lle
• Windows Vista
• Windows Vista Service Pack 1
• Windows Vista Service Pack 2
• Windows Vista x64 Edition
• Windows Vista x64 Edition Service Pack 1
• Windows Vista x64 Edition Service Pack 2
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 ja R2
• Windows 10
• Windows Server 2016

Kuinka se vaikuttaa järjestelmiin?

Haittaohjelma salaa tiedostot, jotka sisältävät toimistolaajennuksia, arkistoja, mediatiedostoja, sähköpostitietokantoja ja sähköposteja, kehittäjän lähdekoodi- ja projektitiedostoja, grafiikka- ja kuvatiedostoja ja paljon muuta.

Salauksen purkamistyökalu on asennettu myös haittaohjelman mukana, joka auttaa saamaan 300 dollarin arvosta lunastuksia, joita vaaditaan Bitcoineissa, sekä purkaa tiedostot salauksen jälkeen, kun maksu on suoritettu.

Salauksen purkutyökalu ajaa kahta ajastinta - 3 päivän ajastinta, jonka jälkeen ilmoitetaan, että lunnaat lisääntyvät, ja 7 päivän ajastinta, joka osoittaa, kuinka paljon aikaa on jäljellä ennen tiedostojen häviämistä ikuisesti.

Koska ohjelmistotyökalulla on kyky kääntää sen teksti useille kielille, on selvää, että hyökkäys kohdistuu maailmanlaajuisesti.

Varmistaaksesi, että käyttäjä löytää salauksen purkamistyökalun, haittaohjelma muuttaa myös asiaankuuluvan tietokoneen taustakuvaa.

Kuinka pysyä turvassa?

• Varmista, että virustentorjuntaohjelmistosi tietokanta on päivitetty ja että se suojaa järjestelmääsi reaaliajassa, ja suorita tarkistus.
• Jos haittaohjelma: Trojan.Win64.EquationDrug.gen havaitaan, varmista, että se saatetaan karanteeniin ja poistetaan, ja käynnistä järjestelmä uudelleen.
• Jos et vielä ole, on suositeltavaa asentaa Microsoftin virallinen korjaustiedosto MS17-010, joka vähentää hyökkäyksessä hyväksikäytettävää SMB-haavoittuvuutta.
• Voit myös poistaa tietokoneen SMB: n käytöstä Microsoftin tämän oppaan avulla.
• Organisaatiot voivat eristää viestintäportit 137 ja 138 UDP ja portit 139 ja 445 TCP.

Yhdysvaltoihin perustuvat järjestelmät turvattiin vahingossa

22-vuotias brittiläinen turvallisuustutkija sulki vahingossa haittaohjelman leviämisen verkkoihin Yhdysvalloissa ostaessaan haittaohjelman tappajavaihtotunnuksen, jota ei vielä ollut rekisteröity.

Heti, kun sivusto oli aktiivinen, hyökkäys lopetettiin. Voit lukea hänen koko raporttinsa täältä siitä, kuinka hän paljasti haittaohjelman tappauskytkimen ja lopulta sammutti sen.

Lue myös: Tämä kriittinen Android-tietoturvavirhe on edelleen korjaama Google.

”Ransomware-ohjelmistosta on jo ollut jokin muu versio, jossa ei ole tappaa-kytkintä, mikä vaikeuttaa sen sisältämistä. Se on jo alkanut tartuttaa Euroopan maita ”, kertoi Trend Micro Intian tekninen johtaja Sharda Tickoo.

Vielä on epäselvää, kuka on vastuussa hyökkäyksestä, ja spekulaatiot ovat osoittaneet Shadow Brokersille - jotka vastaavat myös haittaohjelmien levittämisestä verkossa - tai useille hakkerointiorganisaatioille.

Katso GT Hindin video Wannacry / Wannacrypt Ransomware -sovelluksesta alla.