Няма как през уикенда да не сте чули, че нова масивна ransomware атака засегна 16 болници във Великобритания, криптирайки компютрите им и по този начин спирайки всякаква работа в институциите. Вирусът, познат като Wanna Decryptor или WannaCry, се възползва от уязвимост на Windows машините, която бе разкрита от Shadow Brokers през април — оказва се, че Националната агенция за сигурност (NSA) на САЩ е използвала въпросната уязвимост, за да открие начини за хакване на персонални компютри, с операционна система Windows.
Microsoft бързо пуснаха необходими пачове, за да защитят Windows 10 от евентуални опити за пробиване на защитата, но явно това не е било достатъчно. Уязвимостите са останали налични в стари версии на Windows, които много хора все още ползват.
В резултат на всичко това, от обяд на 12 май (петък) до края на деня, са били засегнати 45 000 компютъра в 74 държави. Между тях е имало машини в заводи на Renault във Франция, испанската телекомуникационна компания Telefonica и дори Вътрешното министерство на Русия (последните със засегнати около 1000 компютъра).
#nhscyberattackpic.twitter.com/SovgQejl3X
— gigi.h (@fendifille) 12 май 2017 г.
Кибератаката е стандартен зловреден софтуер тип ransomware, който криптира съдържанието на паметта на засегнатата машина и изисква заплащане, за да освободи достъпа до личните файлове на потребителя. В случая WannaCry изисква заплащане на 300 долара в Bitcoin валута до три дни, в противен случай сумата се удвоява. Ако не бъде извършено плащане в рамките на седем дни пък, достъпът до файловете се губи завинаги. Ето и скрийншот на прозореца със съобщението, в голям размер:
Смята се, че основните засегнати са компютри със стари версии на Windows, като Windows XP, но между пострадалите има и такива с Windows 10. Проблемът е, че някои хора не са инсталирали най-новите пачове за своята версия на операционната система, или пък използват вече неподдържан от Microsoft софтуер (например Windows XP).
В опит да се справят с атаката, от Microsoft извънредно пускат специален пач за Windows XP, който да защити системата от зловредния софтуер. Лошото е обаче, че този пач ще е достъпен само за компании, които заплащат на Microsoft допълнително за поддръжка на стари версии Windows.
За да бъдете сигурни, че вашата машина няма да бъде засегната, трябва да се уверите, че сте инсталирали последните пачове за сигурност. Ако използвате стара версия на Windows пък, може би е време да помислите за ъпгрейд. През това време млад специалист по сигурността от Великобритания, собственик на блога MalwareTech, откри начин атаката да бъде преустановена, поне временно. В кода на зловредния софтуер той е открил изключение, свързано с определен уеб адрес. Оказало се, че ако този несъществуващ тогава домейн бъде регистриран, разпространението на WannaCry трябва да прекъсне. Младият блогър е побързал да регистрира домейна и това е забавило атаката.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) 12 май 2017 г.
Не е ясно каква е причината за поставянето на въпросното изключение в кода на софтуера, може би е начин хакерите да спрат WannaCry дистанционно ако нещата излязат извън контрол. Това обаче няма как да знаем. Все пак по думите на блогъра, това само ще забави нещата — хакерите може би ще пуснат нова версия на зловредния софтуер, която да няма подобно изключение, спиращо разпространението му.
Вече е понеделник и снощи The Verge са докладвали, че WannaCry ransomware атаката вече е засегнала над 10 000 институции и 200 000 персонални компютъра по цял свят — в общо 150 държави.
Случилото се ни показва колко е важно изследователите и агенциите да съобщават за открити уязвимости в софтуер и операционни системи, за да могат те да бъдат коригирани навреме. Опитите на NSA да открие потенциални начини за хакване на Windows може индиректно да са спомогнали за раждането на ransomware атаката.
Междувременно Europol и ФБР работят съвместно, за да открият хакерите.