Hlavní navigace

Masivní celosvětový útok ransomwaru Wcry: co všechno o něm víme?

Daniel Dočekal

Ransomware založený na pomůckách uniklých z NSA ochromil počítače v desítkách zemí. Co se stane v pondělí, až se i v Česku zapnou počítače ve firmách a státní správě?

  • Text průběžně upravujeme a doplňujeme s tím, jak se objevují nové informace. 

Masivní vlna ransomwaru napadla počítače v desítkách zemí po celém světě. Mezi napadenými je například řada nemocnic ve Velké Británii, které kvůli tomu přestaly fungovat. Předpokládá se, že útok umožnila chyba ve Windows, kterou využívala i NSA, a útočné pomůcky se objevily v nedávném úniku (viz ShadowBrokers a Equation Group a MS17–010). WanaCrypt0r 2.0 se podle Avastu objevila už na minimálně 75 tisících počítačů ve stovce zemí.

Nutné dodat je, že tahle chyba zneužívá chyb v SMB, tedy síťovém protokolu, takže z toho plyne, že napadené počítače byly napadeny z nějakého jiného počítače v téže sítí (kam se útočný program mohl dostat e-emailem či z webu) nebo, ještě hůře, byly volně dostupné přes internet. Tahle chyba byla Microsoftem opravena někdy v březnu, takže to opět nejspíš znamená, že napadené počítače nejsou aktualizovány, jak by měly.

Šíření výše uvedeného ransomwaru se podařilo zastavit registraci domény. Pokud vám to připadá zvláštní, tak uvnitř kódu byl „kill switch“, tedy poslání požadavku na určitou doménu, který, pokud by uspěl, zastaví další šíření ransomwaru. Jak uvádí ‚Accidental hero‘ finds kill switch to stop spread of ransomware cyber-attack, zjištění z analýzy vedlo k registraci domény a tím zastavení šíření. Byť tedy prvotní registrace domény proběhla prostě ze zvědavosti poté, co se jméno objevilo v kódu.

Microsoft opravuje XP, to vypadá dost vážně

Microsoft vypustil opravu pro Windows XP, Windows 8 i Windows Server 2003, aby zabránil zneužívání chyby pro další útoky. To, že se objevila i záplata pro Windows XP, ukazuje, že dost dobře možná hodně napadených počítačů používalo tento již dlouho nepodporovaný operační systém. Viz Customer Guidance for WannaCrypt attacks.

Windows Defender už by měl tenhle druh malwaru/ransomwaru poznat. Nutné dodat, že ještě v sobotu se stále nevědělo, kde to celé začalo. Podle Fox-it a CrowdStrike byl na počátku nejspíš spam obsahující falešné faktury. Další šíření je už věcí prohledávání všech dostupných sítí na napadnutelné stroje.

Miliony děravých strojů, co ten váš? 

Shodan ukazuje 1,3 milionu strojů s otevřeným portem 445 (necelých pět tisíc v Česku), ale to nejde jenom o stroje s Windows. Podle Dana Tentlera je na Internetu minimálně 1,34 milionu napadnutelných strojů (které nemají potřebné opravy). 

Pokud máte napadnutelný stroj, je nutné okamžitě záplatovat, a pokud nemůžete, zajistit blokování přístupu (TCP/UDP) k portům 138/139/445 a zakázat SMBv1, plus ideálně ještě zakázat RDP (TCP/UDP port 3389) přístup z Internetu (který byste mít neměli). 

Jak zakázat SMB můžete zjistit v How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server.

Problém s WanaCry je ten, že se šíří automaticky (červ/worm) tak, že napadené stroje napadají další, které najdou – pokud se tedy ve vaší síti kdekoliv objeví napadený stroj, tak se nákaza začne šířit. Do sítě se může dostat třeba v e-mailu, klasicky třeba jako příloha, ale někdo si ho může i stáhnout a spustit. Antivirové programy tradičně na počátku útoků nepomohou. 

Vlastně docela povedený kousek software

Jak přesně funguje WanaCrypt0r, ukazují Malwarebytes Labs v The worm that spreads WanaCrypt0r a je to docela dobrá věc ke studiu. Najdete tam i www.iuqerfsodp9ifjaposdfjhgo­surijfaewrwergwea.com aneb doménu, která sloužila jako „stop“ při spuštění viru. Tedy alespoň tohle dělala původní verze viru, novější už to dělat nemusí. 

Na konci je dost podstatná zmínka o tom, že vedle WCry se přidává ještě DoublePulsar backdoor (taky z dílny NSA). A také to, že vedle snahy šířit se hledáním napadnutelných počítačů využívá i případných aktivních RDP spojení na další počítače.

[13.05.17 18:09] US-CERT k WannCry vydal varování, najdete ho v Alert (TA17–132A) : Indicators Associated With WannaCry Ransomware

[13.05.17 18:56] Analýz WannaCry není nikdy dost, takže Player 3 Has Entered the Game: Say Hello to ‚WannaCry‘ je další, od Cisco Talos týmu. 

[14.05.17 08:19] Kolik peněz získali tvůrci WCry ransomware? Při pohledu na tři používané bitcoinové adresy to vypadá na pár desítek tisíc dolarů. Podívat na transakce se můžete sami: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94, 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw a 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn. Žádaná částka byla 300 USD a v neděli ráno 14. května adresy ukazují 40+42+32 transakcí (ne všechny potvrzené), tj teoreticky přes 34 tisíc dolarů. Všechny transakce pouze příchozí. 

[14.05.17 14:31] Útok WCry ransomware zasáhl na 200 tisíc počítačů v 150 zemích. Takový byl stav v neděli 14. května, dva dny po útoku a uvádí to Europol v Global Cyberattack Hits 150 Countries, Europol Chief Says. V neděli se stále nevědělo kdo za útokem stojí ani jak došlo k prvnímu šíření. Stále se ale předpokládá, že to byl spam. 

[14.05.17 16:53] WannaCry 2.0 už nereaguje na „kill switch“ jako první verze. V neděli 14. května odpoledne to uvedl Costin Rau z Kaspersky Lab a není na tom nakonec nic zvláštního. Tohle bylo očekáváno, stejně jako se s napětím čeká co se stane v pondělí až ve firmách zapnou infikované počítače (a nezáplatované počítače). Viz WannaCry Kill-Switch(ed)? It’s Not Over! WannaCry 2.0 Ransomware Arrives

[14.05.17 19:36] Jedna z nových domén je www.ifferfsodp9ifjaposdfjhgo­surijfaewrwergwea.com ale bude jich velmi pravděpodobně víc. Takže to co původně bylo řečeno, tedy že nemají „kill switch“, není až tak platné. Mají jinou doménu a je dost jisté, že bude existovat více variant. Ta prvotní byla mimochodem www.iuqerfsodp9ifjaposdfjhgo­surijfaewrwergwea.com

Content 2017 Tip Kytary

[15.05.17 07:42] Pondělí přineslo další vlnu šíření, jak ve firmách lidé zapínali neaktulizované počítače. Viz například Some businesses in Asia disrupted by cyber attack, authorities brace for more od Reuters. S následky WCry se budeme setkávat ještě dlouho, podle testů je doba napadení neaktualizovaného počítače připojeného k internetu něco mezi pěti až devíti minutami.

[15.05.17 16:50] Microsoft ukazuje prstem na vládní zodpovědnost za útok Wcry. V The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack to rozebírají dost důkladně. Na jedné straně mají pravdu, na druhou stranu je to právě operační systém od Microsoftu, který byl děravý. Dlouho děravý. 

Našli jste v článku chybu?
13. 5. 2017 20:28
fd (neregistrovaný)

"...napadené počítače nejsou aktualizovány, jak by měly..." On si jejich spravce muze vybrat ze? Mezi tim, jestli bude aktualizovat a zaroven bude neustale resit co prestalo fungovat, nebo nebude, a pak ma o nejaky nepatrny zlomek vetsi sanci ze neco chyti.

Pricemz po "vylepseni" systemu aktualizaci uz se nejen (v souladu s tradicemi) nedovi, co ze to ten patch vlastne dela, ale pro jistotu uz si ani nemuze vybrat, ze ten co to rozbil sousedovi vazne nechce. Bud vse nebo nic.

13. 5. 2017 19:27
naideb (neregistrovaný)

Právě o tom říkali ve zprávách na ČT1. Poslouchal jsem opravdu pozorně a nikde ani slovo o tom, že to postihuje počítače pouze s operačním systémem Microsoft Windows. Microsoft má ČT slušně ošéfované, že ani nedutají.