Złośliwy ransomware WannaCry zbiera żniwo na całym świecie

W weekend wiele instytucji państwowych zostało zaatakowanych przez groźny ransomware o nazwie "WannaCry". Ataki dotknęły m.in. brytyjskie szpitale, rosyjskie oraz chińskie ministerstwa, firmy telekomunikacyjne tj. rosyjski Megafon, hiszpańska Telefonica czy portugalski Telecom, a także rosyjskie koleje, uniwersytety, bankomaty czy nawet banery sklepowe. Wszystko działo się błyskawicznie, a winowajcą okazał się niezwykle groźny i skuteczny ransomware o nazwie WannaCry (lub inaczej WanaCrypt0r i WCry), który rozprzestrzenia się poprzez błąd w protokole SMB (TCP:445 i TCP:139). Lukę tę znaną jako EternalBlue ujawniono już w zeszłym miesiącu, aczkolwiek firma Microsoft odpowiednią łatkę bezpieczeństwa wypuściła już w marcu. Na ataki byli więc głównie narażeni Ci, którzy nie mieli zaktualizowanego systemu Windows.

Początkowo wydawało się, że WannaCry został powstrzymany poprzez przejęcie kontroli nad domeną używaną przez atakujących. W rzeczywistości był to tzw. "wyłącznik awaryjny" - kill switch. Złośliwe oprogramowanie zaczęło jednak szybko ewoluować, przez co w dalszym ciągu jest groźne.

Jak działa robak? Po połączeniu z komputerem przez dziurawy protokół SMB, WannaCry szyfruje pliki dodając własne rozszerzenie WNCRY. Jednocześnie od razu wyświetla komunikat o konieczności zapłaty za możliwość odszyfrowania z powrotem danych. Aby odzyskać dostęp do plików, użytkownik musi w ciągu 3 dni zapłacić 300 dolarów. Po tym czasie, kwota wzrasta do 600 dolarów. Jeśli po tygodniu hakerzy nadal nie odnotują wpłaty, wówczas całkowicie blokują dostęp do plików. Przestępcy mimo to zastrzegli informacje, że mogą po pół roku bezpłatnie odszyfrować dane jeśli użytkownik jest zbyt biedny aby zapłacić. Płatność miała zostać dokonana w bitcoinach, przy czym okazuje się, że hakerzy pokazywali tylko trzy adresy portfeli bitcoin, co mogło spowodować niemożliwość weryfikacji czy dany użytkownik faktycznie zapłacił. Mogło więc się skończyć w ten sposób, że ofiara wpłaciła pieniądze, a mimo to dostęp do własnych plików w dalszym ciągu pozostanie zablokowany.

Malware WannaCry potrafi zainfekować komputer nawet bez ingerencji innego użytkownika, a ewentualne zapłacenie okupu cyberprzestępcom nie jest w żadnym wypadku rozwiązaniem problemu. Warto również wspomnieć o tym, że zaatakowane zostały wszystkie wersje systemu Windows od XP aż do najnowszą dziesiątkę, wliczając w to także wersje Windows Embedded oraz Windows Server. W dniu 14 marca firma Microsoft udostępniła krytyczną poprawkę bezpieczeństwa o numerze KB4013389 należącą do zbiorczej łatki MS17-010. Windows 10 Creators Update także posiada wewnątrz odpowiednią poprawkę. Jeżeli z jakiekolwiek powodu użytkownik nie ma możliwość zaktualizowania systemu, wówczas rozwiązaniem pomocniczym okazuje się być wyłączenie protokołu SMB w systemie Microsoftu. W tym celu należy wejść w panel "Dodaj/Usuń Programy" i wybrać opcję "Włącz lub Wyłącz funkcje systemu Windows". Po naciśnięciu wyskoczy odpowiednie okno, w którym szukamy linijki podpisanej jako "Obsługa udostępniania plików SMB 1.0/CIFS" i odznaczamy pole obok, po czym uruchamiamy ponownie komputer. Przy tego typu zagrożeniach wraca także jak bumerang kwestia tworzenia regularnych kopii zapasowych. Jeśli nasz komputer zostanie zainfekowany wirusem (niekoniecznie tym opisanym wyżej), wówczas najbezpieczniejszym rozwiązaniem jest reinstal systemu. Posiadanie kopii zapasowej znacznie przyspieszy ten proces, a dodatkowo nie utracimy swoich ważnych danych

Pierwotna wersja robaka WannaCry miała wbudowany tzw. "kill switch", czyli wyłącznik awaryjny. Aby zatrzymać rozprzestrzenianie się ransomware'a, badacz który odkrył istnienie tego wyłącznika, postanowił wykupić domenę z którą próbował połączyć się WannaCry. Po przejęciu kontroli nad domeną udało się zatrzymać dalsze rozsyłanie wirusa. W tym czasie WCry zdołał zainfekować wiele instytucji państwowych, firm, sklepów, bankomatów czy szpitali na całym świecie. Jedną z pierwszych ofiar były właśnie szpitale oraz placówki National Health Service w Anglii, gdzie zablokowano dostęp do komputerów, żądając wspomnianych wcześniej 300 dolarów okupu w Bitcoinach w zamian za ich odblokowanie. WannaCry bardzo aktywnie zaatakował także dużą sieć telefoniczną w Hiszpanii (Telefonica), jak również firmy Gas Natural zajmującą się gazem ziemnym oraz Iberdrola, czyli przedsiębiorstwo z branży energetycznej. Producent samochodów, Renault, który także został zainfekowany, został zmuszony do wstrzymania produkcji ze względu na atak komputerów.

Choć początkową wersję złośliwego oprogramowania udało się powstrzymać, w Internecie pojawiły się nowe, zmodyfikowane wersje znacznie bardziej odporne na blokowanie. Przede wszystkim nie posiadają już wyłączników awaryjnych, przez co ich dezaktywacja będzie trudniejsza. Bardzo szybkie rozprzestrzenianie się związane jest z tym, że malware nie tylko szyfruje dane komputera, ale także skanuje sieć lokalną po czym infekuje wszystkie urządzenia znajdujące się w sieci. Firma Microsoft w drodze wyjątku, wydała stosowną aktualizację dla niewspieranego już Windowsa XP, który nadal często jest wykorzystywany przez różnorakie instytucje. W drodze bezpieczeństwa, wysoce wskazane jest zaktualizowanie Windowsa 10. Jeśli ktoś regularnie instaluje aktualizacje wypuszczane przez Microsoft, wówczas nie powinien obawiać się ataku ze strony WannaCry.