WannaCry

WannaCry (syn. WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) je Ransomware (vyděračský software) napadající počítače se systémem Microsoft Windows. Útok od 12. května 2017 do teď je považován za nejničivější a nejagresivnější útok svého druhu[1] (předbíhá i virus ILoveU). Po nakažení počítače zašifruje data na pevném disku a žádá platbu ve velikosti 300 USD (7 186 korun) v Bitcoinech na odblokování souborů (po skončení konečného termínu se cena zvýší až do 2000 USD / 1800 EUR). Virus se šíří od pátku 12. května 2017. Virus dosud nakazil více než 250 000 počítačů ve více než 150 zemích světa. Nejrozšířenější je v Rusku, Ukrajině, Indii a Tchaj-wanu.

WannaCry

Mapa zobrazující infikované země (červená) a neinfikované země (šedá) virem WannaCry do dne 15. května 2017

Aliasy WannaCrypt
WanaCrypt0r 2.0
WanaCrypt0r 2.0
Typ Ransomware
Datum vypuštění 12. května 2017
Popis činnosti
Zašifruje data na počítači s operačním systémem Microsoft Windows a k odblokování vyžaduje výkupné v hodnotě 300 USD (7 186 korun) nebo 600 USD (14 367 korun)

Většina ransomwaru se do počítače dostane e-mailem, linky nebo reklamami. Nicméně není známa přesná metoda šíření viru WannaCry. Virus využívá EternalBlue exploit a DoublePulsar backdoor, které vyvinula NSA.[2] 14. května 2017 byla kvůli tomuto viru vydána aktualizace pro systémy Windows, dokonce i na nepodporované systémy jako například Windows XP.[3]

Kyberútok

Po nainstalování WannaCry nejprve zkontroluje přítomnost "kill switch". Pokud není nalezen, ransomware zašifruje data na počítači a pokusí se vyslat instalační soubory po síti. Jako při každém ransomware, zobrazí se zpráva informující uživatele o nakažení a žádá výkupné v hodnotě 300 USD (7 186 korun) nebo 600 USD (14 367 korun) v internetové měně Bitcoin do tří nebo sedmi dní.

Počítače, které si nenainstalovaly bezpečnostní update od Microsoftu jsou napadnutelné. Snáze pak napadnou Windows 7 než například Windows XP.[4]

Útočník není zatím znám. Je potvrzeno, že útočník za 5 dní vydělal na malwaru přes 73 000 USD (64 870 EUR).

EternalBlue & DoublePulsar

EternalBlue, hlavní součást WannaCry, byla vydána hackerskou skupinou The Shadow Brokers[5] dne 14. dubna 2017 spolu s dalšími hackerskými nástroji získaných z tzv. 'Equation Group' (sk. Rovnicová skupina), údajně pocházející z americké organizace NSA. EternalBlue využívá zranitelnost v protokolu SMB (Server Message Block), která byla opravená aktualizací MS17-010,[6]. Update byl vydán pro všechny verze Windows 14. března 2017. Údajně, EternalBlue není funkční v systému Windows 10.[7]

Od 21. dubna 2017 se šíří backdoor DoublePulsar, který již 4 dny na to nakazil více než 100 000 počítačů, přičemž počet infikovaných počítačů roste exponenciálně každý den. EternalBlue i DoublePulsar byly použity najednou v útoku WannaCry.

Dopad

Malware WannaCry měl i má obrovský dopad na nejen osobní počítače. WannaCry nakazil Národní zdravotnickou službu (NHS) v Spojeném království[8] - musely být zrušeny mnohé naplánované operace. Virus způsobil i několik hodin dlouhou odstávku mobilní sítě O2 Telefónica v Španělsku,[9] taktéž i problémy s dopravou, když byly napadeny železniční počítače Deutsche Bahn[10] a aerolinky LATAM Airlines. Mezi další významné firmy napadeny virem WannaCry jsou Renault, FedEx[11] nebo Sberbank.[12]

Virus byl zaznamenán i na Slovensku, kde zasáhl Fakultní nemocnici v Nitře.[13]

Reference

V tomto článku byl použit překlad textu z článku WannaCry na slovenské Wikipedii.

  1. Cyber-attack: Europol says it was unprecedented in scale. BBC News [online]. 2017-05-13 [cit. 2017-05-17]. Dostupné online. (anglicky)
  2. NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history. The Telegraph [online]. Dostupné online. (anglicky)
  3. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser. MSPoweruser [online]. 2017-05-13 [cit. 2017-05-17]. Dostupné online. (anglicky)
  4. https://nakedsecurity.sophos.com/2017/05/25/wannacry-the-rush-to-blame-xp-masked-bigger-problems/ - WannaCry: the rush to blame XP masked bigger problems
  5. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica [online]. [cit. 2017-05-17]. Dostupné online. (anglicky)
  6. Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com [online]. [cit. 2017-05-17]. Dostupné online. (anglicky)
  7. Twitter Status zamestnankyne Windowsu. Twitter [online]. [cit. 2017-05-17]. Dostupné online. (slovensky)
  8. MARSH, Sarah. The NHS trusts hit by malware – full list. The Guardian [online]. 2017-05-12 [cit. 2017-05-17]. Dostupné online. ISSN 0261-3077. (anglicky)
  9. JANÉ, Carmen. Un ataque informático masivo con 'ransomware' afecta a medio mundo. El Periódico [online]. 2017-05-12 [cit. 2017-05-17]. Dostupné online. (španělsky)
  10. Hacker-Angriff: Weltweite Cyberattacke trifft Computer der Deutschen Bahn. Frankfurter Allgemeine Zeitung [online]. 2017-05-13 [cit. 2017-05-17]. Dostupné online. ISSN 0174-4909. (německy)
  11. Subscribe to read. www.ft.com [online]. [cit. 2017-05-17]. Dostupné online. (anglicky)
  12. LIY, Macarena Vidal. Putin culpa a los servicios secretos de EE UU por el virus ‘WannaCry’ que desencadenó el ciberataque mundial. EL PAÍS [online]. 2017-05-15 [cit. 2017-05-17]. Dostupné online. (španělsky)
  13. Hackerský útok zasiahol aj Fakultnú nemocnicu v Nitre. www.etrend.sk [online]. [cit. 2017-05-17]. Dostupné online. (slovensky)

Externí odkazy
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.