Реклама

Масиван цибер-напад напао је рачунаре широм света. Високо вирулентно самообнављајуће откупно средство - познато под називом ВанаЦриптор, Ваннацри или Вцри - делимично је присвојило експлоатацију Агенције за националну безбедност (НСА) пуштен у дивљину прошлог месеца Цибер криминалци поседују ЦИА алате за хакирање: шта ово значи за васНајопаснији малвер Централне обавјештајне агенције - који може хаковати готово сву бежичну потрошачку електронику - сада би могао сједити у лоповима и терористима. Па шта то значи за вас? Опширније од стране хакерске групе познате као Тхе Схадов Брокерс.

Сматра се да је рансомваре инфицирао најмање 100.000 рачунара, према антивирусним програмерима, Аваст. Масовни напад претежно је циљао на Русију, Украјину и Тајван, али се проширио на главне институције у најмање 99 других земаља. Осим што је тражио 300 долара (око 0,17 Битцоин-а у време писања), зараза је такође приметна због свог вишејезичног приступа у осигуравању откупнине: злонамјерни софтвер подржава више од двије десетине језицима.

instagram viewer

Шта се догађа?

ВанаЦриптор изазива огромне, скоро невиђене поремећаје. Откупни софтвер утиче на банке, болнице, телекомуникације, електропривреде, и другу критичну инфраструктуру Кад владе нападају: Натион-Стате Малваре изложенТренутно се одвија сајбер-рат, скривен од интернета, његови резултати се ретко примећују. Али ко су играчи овог ратног театра и шта је њихово оружје? Опширније .

Само у Великој Британији, барем 40 НХС (Национална здравствена служба) Трустови су прогласили ванредне ситуације, форсирајући отказивање важних операције, као и поткопавање сигурности и сигурности пацијената и готово сигурно воде до тога смртних случајева.

Полиција се налази у болници Соутхпорт, а амбуланте су подупрте у компанији А&Е док се особље носи са тренутном кризом напада #НХСпиц.твиттер.цом/Оз25Гт09фт

- Оллие Цован (@Оллие_Цован) 12. маја 2017

ВанаЦриптор се први пут појавио у фебруару 2017. године. Иницијална верзија рансомвареа промијенила је проширења датотека на „.ВНЦРИ“ као и обележавање сваке датотеке низом „ВАНАЦРИ!“

ВанаЦриптор 2.0 се брзо шири између рачунара користећи експлоатацију повезану са Екуатион Гроуп, а хакирање колектива уско повезаних с НСА (а прича се да је њихово "прљаво" хакирање у кући јединица). Поштовани истраживач безбедности, Кафеине, потврдио је да ће се експлозија позната као ЕТЕРНАЛБЛУЕ или МС17-010 вероватно појављивати у ажурираној верзији.

ВаннаЦри / ВанаЦрипт0р 2.0 заиста покреће ЕТ правило: 2024218 "ЕТ ЕКСПЛОИТ Могући ЕТЕРНАЛБЛУЕ МС17-010 Ецхо Респонсе" пиц.твиттер.цом/инахјВкТИА

- Кафеине (@кафеине) 12. маја 2017

Вишеструки подвизи

Ова епидемија рансомвареа разликује се од онога што сте вероватно видели (и надам се, да нисте доживели). ВанаЦриптор 2.0 комбинује пуштени СМБ (Блок порука порука сервера, протокол за дељење датотека Виндовс мреже) искористити са само поновљивим корисним теретом омогућавајући ширењу софтвера да се шири са једне рањиве машине на следећи. Овај црв откупа прекида уобичајени начин слања рансомваре-а зараженог е-поште, везе или друге акције.

Адам Кујава, истраживач на Малваребитес-у рекао Арс Тецхница „Почетни вектор инфекције је нешто што још увек покушавамо да откријемо… С обзиром на то да се чини да је напад нападнут циљано, можда је то било преко рањивости у мрежној одбрани или преко врло добро урађеног подметања копља напад. Без обзира на то, шири се преко заражених мрежа користећи ЕтерналБлуе рањивост, заразујући додатне непачиране системе. "

ВанаЦриптор такође користи ДОУБЛЕПУЛСАР, још један проклет експлоатација НСА ЦИА Хацкинг & Ваулт 7: Ваш водич за најновије издање ВикиЛеаксаСви причају о ВикиЛеаксу - поново! Али ЦИА вас стварно не гледа путем паметног телевизора, зар не? Сигурно су пуштени документи лажни? Или је можда сложеније од тога. Опширније . Ово је бацкдоор који се користи за даљинско убризгавање и покретање злонамјерног кода. Инфекција скенира домаћине који су претходно били заражени стражњом кућом, а када се нађе, користи постојећу функционалност за инсталирање ВанаЦриптор. У случајевима када систем домаћина нема постојећи ДОУБЛЕПУЛСАР стражњи дио, злонамјерни софтвер се враћа на ЕТЕРНАЛБЛУЕ СМБ експлоатацију.

Критична безбедносна исправка

Масовно пропуштање алата за хакирање НСА створило је наслове широм света. Тренутачно су непримјерени докази да НСА прикупља и чува неиспуњене нишне подвиге за сопствену употребу. Ово представља огроман сигурносни ризик 5 начина да се заштитите од искориштавања од једног данаЗеро-дана, софтверске рањивости које хакери искориштавају прије него што закрпа постане доступна, представљају истинску пријетњу вашим подацима и приватности. Ево како можете задржати хакере на окупу. Опширније , као што смо сада видели.

Срећом, Мицрософт закрпљен Етерналблуе искориштава у марту пре него што је масовна експлозивна гарнитура Схадов Брокера доспјела на наслов. С обзиром на природу напада, за који знамо да се игра овај специфични подвиг и брзу природу заразе, чини се да ће огроман број организација нису успели да инсталирају критичну исправку Како и зашто требате инсталирати ту сигурносну закрпу Опширније - више од два месеца након објављивања.

На крају, погођене организације ће желети да играју кривицу. Али где треба да укаже прст? У овом случају постоји довољно кривице за поделу око: НСА за складиштење опасних подвига који се користе на нулти дан Шта је рањивост на један дан? [МакеУсеОф објашњава] Опширније , злобници који су ажурирали ВанаЦриптор са искоришћеним експлоатацијама, бројне организације које су игнорисале критичко ажурирање безбедности и даље организације које још увек користе Виндовс КСП.

Да су људи можда погинули зато што су организације нашле терет надоградње свог примарног оперативног система једноставно запањујући.

Мицрософт је одмах пуштен критично безбедносно ажурирање за Виндовс Сервер 2003, Виндовс 8 и Виндовс КСП.

Мицрософт издања #ВаннаЦрипт заштита производа који нису подржани Виндовс КСП, Виндовс 8 и Виндовс Сервер 2003: https://t.co/ZgINDXAdCj

- Мицрософт (@Мицрософт) 13. маја 2017

Да ли сам у ризику?

ВанаЦриптор 2.0 се ширио попут пожара. У извесном смислу, људи који се налазе изван индустрије безбедности заборавили су на брзо ширење црва и панику коју то може изазвати. У овом хипер-повезаној доби, у комбинацији са крипто-откупним софтвером, добављачи злонамјерног софтвера били су застрашујући победници.

Јесте ли ризични? Срећом, пре него што су се Сједињене Државе пробудиле и започеле свој дан рачунања, МалвареТецхБлог је пронашао прекидач за скривање скривен у коду злонамјерног софтвера, што је умањило ширење заразе.

Прекидач килл укључивао је веома дуго бесмислено име домена - иукерфсодп9ифјапосдфјхгосуријфаеврвергвеа.цом - коме злонамерни софтвер подноси захтев.

Тако могу само додати „случајно заустављен међународни цибер напад“ свом Ресумеу. ^^

- СцаревареТецх (@МалвареТецхБлог) 13. маја 2017

Ако се захтев врати уживо (тј. Прихвата захтев), злонамерни софтвер не инфицира уређај. Нажалост, то не помаже никоме који је већ заражен. Истраживач безбедности иза МалвареТецхБлог регистровао је адресу да би пратио нове инфекције путем њихових захтева, не схватајући да је у питању прекидач за хитне случајеве.

#ВаннаЦри пропагандни терет садржи претходно нерегистровани домен, извршење сада није успело када је домен потопљен пиц.твиттер.цом/з2ЦлЕнЗАД2

- Дариен Хусс (@дариенхусс) 12. маја 2017

Нажалост, постоји могућност да постоје и друге варијанте рансомвареа, свака са сопственим килл-прекидачем (или уопште не, овисно о случају).

Рањивост се такође може ублажити онемогућавањем СМБв1. Мицрософт пружа детаљни водич о томе како се то ради за Виндовс и Виндовс Сервер. У Виндовс-у 10 то може бити брзо се постиже притиском Виндовс тастер + Кс, одабир ПоверСхелл (Администратор)и лепљење следећег кода:

Онемогући-ВиндовсОптионсФеатуре -Онлине -ФеатуреНаме смб1протоцол

СМБ1 је стари протокол. Новије верзије нису рањиве на ВанаЦриптор 2.0 варијанту.

Поред тога, ако се ваш систем ажурирао као нормално, тада сте мало вероватно да осетите директне ефекте ове инфекције. То је рекло, ако вам је отказан састанак НХС-а, банкарско плаћање је пошло по криву или витални пакет није успео да стигне, погођени сте, без обзира на то.

А реч мудрима, закрпљени подвиг не ради увек посао. Цонфицкер, било кога?

Шта се даље дешава?

У Великој Британији ВанаЦриптор 2.0 је у почетку описан као директан напад на НХС. Ово је снижено. Али остаје питање да су стотине хиљада појединаца доживели директан поремећај због злонамјерног софтвера.

Злонамерни софтвер носи обележје напада с драстично ненамерним последицама. Афзал Асхраф, стручњак за кибернетичку сигурност, рекао је ББЦ-у да су „вероватно напали малу компанију претпостављајући да ће добити мало новца, али то је ушло у НХС систем и сада су имају пуну моћ државе над њима - јер очигледно, влада не може себи да приушти да се такве ствари и догоде успешан."

Није, наравно, само НХС. У Шпанији Ел Мундоизвештавају да је 85 одсто рачунара на Телефоници су погођени црва. Федек се поверио да су погођени, као и Португал Телецом и руски МегаФон. И то није разматрање главних добављача инфраструктуре.

Направљене су две битцоин адресе (овде и овде) за примање откупнине сада садрже комбиновани 9,21 БТЦ (око 16 000 УСД у тренутку писања) од 42 трансакције. То је речено, а потврђује теорија о "ненамерним последицама" недостатак системске идентификације која је обезбеђена Битцоин уплатама.

Можда ми нешто недостаје. Ако толико жртава Вцри-а има исту битцоин адресу, како врагови могу рећи ко је платио? Неке ствари ...

- БлеепингЦомпутер (@БлеепинЦомпутер) 12. маја 2017

Шта се даље дешава? Почиње процес чишћења, а погођене организације броје губитке, како финансијске, тако и засноване на подацима. Поред тога, погођене организације ће дуго и тешко гледати своје безбедносне праксе и - ја заиста, заиста се надам - ​​надоградња, остављајући старински и сада опасан Виндовс КСП оперативни систем иза.

Надамо се.

Да ли је на Вас директно погођен ВанаЦриптор 2.0? Да ли сте изгубили податке или сте отказали састанак? Мислите ли да би владе требале присилити да се надогради критична инфраструктура? Обавестите нас о вашим ВанаЦриптор 2.0 искуствима ниже и дајте нам део ако смо вам помогли.

Кредитна слика: Све што радим преко Схуттерстоцк.цом

Гавин је старији писац за МУО. Такође је уредник и СЕО менаџер за сестрино крипто фокусирано седиште МакеУсеОф, Блоцкс Децодед. Има БА (Хонс) савремено писање с дигиталним уметничким праксама које су провалиле из Девонских брда, као и више од деценије професионалног искуства у писању. Ужива у великим количинама чаја.