Napad koji je potresao svet: Sve što treba da znate o ransomwareu Wana Decryp0r

Vesti, 14.05.2017, 09:30 AM

Do sada ste verovatno već čuli za Wana Decrypt0r, ransomware kojim su napadnuti računari u oko 100 država. Procenjuje se da je Wana Decrypt0r, poznat i po nazivima WCry, WannaCry, WannaCrypt i WanaCryp0r, do sada inficirao više od 141000 računara.

WanaCryp0r su prvi primetili istraživači MalwareHunterTeama pre nekoliko nedelja. Distribucija ransomwarea je bila malog intenziteta u to vreme, da bi iznenada, u petak, WanaCryp0r eksplodirao i počeo da se širi kao požar. Ransomware se širio pomoću exploita ETERNALBLUE, hakerskog alata američke Nacionalne bezbednosne agencije (NSA) koji je prošlog meseca objavila hakerska grupa Shadow Brokers. Ovaj exploit funkcioniše tako što obezbeđuje pristup računaru preko SMBv1 protokola.

Kada se računar inficira ransomwareom Wana Decrypt0r, žrtvi se prikazuje obaveštenje o otkupnini na jednom od podržanih jezika, u zavisnosti od toga gde se nalazi korisnik. Trenutno dostupni jezici su bugarski, kineski, hrvatski, češki, danski, holandski, engleski, filipinski, japanski, korejski, letonski, norveški, poljski, portugalski, rumunski, ruski, slovački, španski, švedski, turski i vijetnamski.

WanaCryp0r preuzima TOR klijent sa https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip i ekstrahuje ga u TaskData folder. Tor klijent se koristi za komunikaciju sa komandno-kontrolnim serverima ransomwarea.

Šifrovanim fajlovima ransomware dodaje .WNCRY ekstenziju i tako ih obeležava.

U svakom folderu u kome se nalaze šifrovani fajlovi nalazi se i obaveštenje sa nazivom @[email protected] i kopija @[email protected] dekriptera.

WanaCryp0r briše Shadow Volume kopije, isključuje Windows startup recovery i briše Windows Server Backup istoriju.

S obzirom da komande za ove aktivnosti zahtevaju sistemske privilegije, žrtve će videti UAC (User Account Control) zahtev.

Na kraju se prikazuje Wana Decryptor 2.0 sa informacijama kako platiti otkupninu. Žrtva može da odabere jezik koji želi. U ransomwareu se nalaze tri hardokovane bitcoin adrese. Ako žrtva plati, ransomware obećava da će automatski dešifrovati fajlove. Ako plaćanje otkupnine koja iznosi oko 300 dolara u bitcoinima nije uspelo, žrtvi se kaže da ponovo pokuša. Ransomware ima i formu preko koje je moguće kontaktirati hakere.

WanaCryp0r zamenjuje wallpaper na desktopu obaveštenjem o infekciji, a pored toga, ostavlja i @[email protected] na desktopu sa često postavljanim pitanjima.

Nažalost, fajlovi koje je šifrovao ransomware ne mogu biti dešifrovani besplatno. Preporuka za žrtve, kao i inače u ovakvim slučajevima, je da naprave kopiju šifrovanih fajlova.

Zbog načina širenja ransomwarea Microsoft je juče bio primoran da objavi vanredno ažuriranje za starije operativne sisteme (Windows XP, Windows 8, i Windows Server 2003) da bi ih zaštitio od mehanizma kojim se Wana Decrypt0r širi. Ovo su stari operativni sistemi koje Microsoft godinama ne podržava i koji nisu dobili ispravku za SMBv1 exploit koji je ransomware iskoristio kao mehanizam za širenje. Ovaj mehanizam je modifikovana verzija ETERNALBLUE exploita.

Microsoft je objavio ažuriranje (MS17-010) za ovaj exploit pre mesec dana ali je ono sadržalo samo ispravke za Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, i Windows Server 2016. Zbog toga su računari koji prošlog meseca nisu dobili MS17-010 ostali ranjivi i podložni napadima Wana Decrypt0ra.

S obzirom na mogući uticaj na korisnike, Microsoft je odlučio da obezbedi ažuriranje za Windows XP, Windows 8 i Windows Server 2003. "Ova odluka doneta je na osnovu procene situacije", kažu iz Microsofta ističući da su imali na umu princip zaštite celokupnog korisničkog ekosistema.

Iako nije potvrđeno, veruje se da najveći deo inficiranih računara ima starije verzije Windows XP i Windows Server, jer nije bilo načina da se oni zaštite.

Ažururanja za stare verzije Windowsa možete preuzeti odavde, a iz Microsofta savetuju kompanije i korisnike da isključe SMBv1 protokol, koji je zastareo.

Talas infekcija ransomwareom Wana Decrypt0r trenutno je zaustavljen zahvaljujući istraživaču koji koristi online nadimak MalwareTech. Neimenovani istraživač je rekao da je otkrio načun za zaustavljanje ransomwarea, ali treba imati na umu da je to samo privremeno jer hakeri mogu objaviti novu verziju ransomwarea, tako da je zakrpa za SMBv1 exploit mnogo bolje rešenje.

MalwareTech je spasio bezbroj račaunara od infekcije ransomwarea Wana Decrypt0r tako što je praktično slučajno pronašao prekidač za zaustavljanje ransomwarea. On je za desetak funti registrovao domen koji je pronašao u izvornom kodu ransomwarea jer je prethodno primetio da ovaj veoma virulentan ransomware pre infekcije proverava domen na iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Ako bi domen bio neregistrovan ransomware bi počeo da šifruje fajlove, ali ako je registrovan, ransomware bi zaustavio proces infekcije. Registrovanjem domena, MalwareTech je praktično slučajno isključio mehanizam za širenje ransomwarea.

To ne znači da je problem trajno rešen, ali ova verzija ransomwarea više neće raditi. Ipak, možda ćemo vrlo brzo videti novu verziju malvera sa drugim domenom, ili drugim mehanizmom isključivanja. Sve što oni koji šire ransomware treba da urade je da promene deo njegovog koda.

Pre nego što su napadi zaustavljeni, ransomware je uspeo da inficira računare koji su u sistemu Britanske zdravstvene službe, tačnije 16 zdravstvenih ustanova iz tog sistema. To je blokiralo rad računara i telefona u bolnicama. Neke bolnice su bile prinuđene da primaju samo hitne slučajeve, i da otkažu sve osim hitnih operacija. Nema informacija da su hakeri uspeli da pristupe podacima pacijenata.

I rusko Ministarstvo unutrašnjih poslova je potvrdilo da su njihovi računari napadnuti, ali da je zahvaljujući primenjenim merama zaštite, ransomware zaustavljen. Ipak, izgleda da je malver uspeo da blokira oko 1000 računara u ministarstvu, što je manje od jedan posto računara ministarstva.

Ransomware nije bio izbrirljiv, pa su među žrtvama i male i srednje firme, ali i veliki sistemi. Napadi ransomwarea WanaCryp0r pogodili su Veliku Britaniju, Rusiju, Ukrajinu, Indiju, Kinu, Italiju, Egipat, Španiji, SAD i Južnu Ameriku. Najgore su prošli Evropa i Rusija.

U Srbiji do sada nije bilo prijavljenih slučajeva, a Ministarstvo unutrašnjih poslova i Posebno tužilaštvo za visokotehnološki kriminal pozvali su građane i privredne subjekte da, ukoliko su bili napadnuti između petka i subote, o tome obaveste policiju i tužilaštvo koji prate situaciju i razmenjuju podatke sa Interpolom, Europolom i drugim međunarodnim organizacijama.

I Odeljenje za informacionu bezbednost koje vrši funkciju nacionalnog CERT-a (Computer Emergency Response Team) Republike Srpske izdalo je upozorenje o globalnom širenju ransomwarea WanaCryp0r, sa preporukom javnim ustanovama, organima uprave, fizičkim i pravnim licima da ne plaćaju otkupninu jer nema garancije da će podaci biti vraćeni.

S obzirom da je ransomware samo privremeno zaustavljen, više nego ikad neophodno je pridržavati se uobičajenih mera zaštite koje podrazumevaju da se ne otvaraju emailovi i prilozi nepoznatih pošiljaoca, kao i neočekivani i sumnjivi emailovi i prilozi. Oprez je potreban i prilikom otvaranja linkova na internetu, u emailovima i porukama. Ipak, u ovom slučaju, najvažnije je da ažurirate Windows. Redovan backup važnih podataka na računaru jedini je siguran način da u slučaju infekcije vratite svoje podatke i izbegnete ucene.