internet

10 dolarów zatrzymało epidemię ransomware WannaCry? Nie do końca

Pod koniec ubiegłego tygodnia w Sieci, w zawrotnym tempie, zaczęło rozprzestrzeniać się ransomware zwane WannaCry. Dzięki szczęśliwemu zbiegowi okoliczności udało się zakończyć pierwszą falę ataku, ale to jeszcze nie koniec problemów.

WannaCry, lub też WannaCrypt lub WanaCrypt0r 2.0, jest złośliwym oprogramowaniem typu ransomware, które rozprzestrzenia się przez błąd w protokole SMB systemu Windows zidentyfikowany dzięki analizie hackerskich narzędzi wykradzionych prawie rok temu z NSA i opublikowanych miesiąc temu w internecie przez grupę Shadow Brokers. Po zainfekowaniu komputera, WannaCry szyfruje pliki i wyświetla komunikat z żądaniem zapłaty okupu w wysokości 300 dolarów w bitcoinach.

Jak widać, WannaCry nie różni się za bardzo od innych malware tego typu. Zaskakująca jest skala ataku, którego ofiarą padły między innymi brytyjskie szpitale, rosyjskie i chińskie ministerstwa, firmy telekomunikacyjne, koleje czy producenci samochodów. Równie zaskakujący jest też sposób, w jaki powstrzymano falę ataków, która w ciągu weekendu zabrała ze sobą już dziesiątki tysięcy maszyn. A stało się to przypadkiem i kosztem trochę ponad 10 dolarów, zrobiła to jedna osoba.

W weekend specjalista od zabezpieczeń podpisujący się jako MalwareTech, obserwując zachowanie się WannaCry, zauważył, że przed zaszyfrowaniem plików, robak próbuje połączyć się z domeną o nazwie iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Co ciekawe, okazało się, że domena ta nie była wykupiona, więc, nie zastanawiając się długo, postanowił ją wykupić za 10,69 dolara, ponieważ w ten sposób mógłby w wygodny sposób monitorować rozprzestrzenianie się tego ransomware.

Wtedy okazało się, że nie było to niedopatrzenie przestępców, tylko zostawione przez nich zabezpieczenie. Po połączeniu się z wyżej wymienioną domeną, WannaCry przestawał bowiem działać. Takie rozwiązanie może sugerować, że wersja robaka, która narobiła tak dużego zamieszania, jest dopiero wersją testową, która wymknęła się spod kontroli.

I rzeczywiście, choć udało się zapobiec dalszemu rozprzestrzenianiu tej wersji robaka, już pojawiły się jego kolejne wersje, które pozbawione są tego mechanizmu zabezpieczającego. Dlatego tak ważne jest (jak zwykle zresztą) zainstalowanie odpowiednich aktualizacji systemu Windows (dostępne są już od dłuższego czasu) i ewentualne wyłączenie obsługi protokołu SMB.

Zdjęcie: Flickr/jayRaz


podobne treści