Global Ransomware Attack in kako zaščititi svoje podatke

Oglas

Obsežen kibernetski napad je prizadel računalnike po vsem svetu. Zelo virulentna samo ponovljiva odkupna programska oprema - znana kot WanaCryptor, Wannacry ali Wcry - je delno prisvojila izkoriščanje Agencije za nacionalno varnost (NSA) izpuščen v naravo prejšnji mesec Kiber kriminala ima CIA taksistična orodja: kaj to pomeni za vasNajbolj nevarna zlonamerna programska oprema Centralne obveščevalne agencije, ki je lahko zaskočila skoraj vso brezžično potrošniško elektroniko, bi lahko zdaj sedela v rokah tatov in teroristov. Torej, kaj to pomeni za vas? Preberi več s strani hekerske skupine, znane kot The Shadow Brokers.

Po mnenju razvijalcev protivirusne programske opreme naj bi bilo okuženo vsaj 100.000 računalnikov, Avast. Množični napad je pretežno ciljal na Rusijo, Ukrajino in Tajvan, razširil pa se je na glavne institucije v vsaj 99 drugih državah. Poleg zahtevnih 300 dolarjev (približno 0,17 Bitcoin v času pisanja) je okužba opazna tudi zaradi večjezičnega pristopa k zavarovanju odkupnine: zlonamerna programska oprema podpira več kot dve desetini jezikih.

Kaj se dogaja?

WanaCryptor povzroča ogromne, skoraj brez primere motnje. Odkupna programska oprema vpliva na banke, bolnišnice, telekomunikacije, elektroenergetske storitve, in druga kritična infrastruktura Kadar vlade napadajo: izpostavljena zlonamerna programska oprema države-državeTrenutno poteka spletna vojna, skrita za internetom, njeni rezultati so le redko opaženi. Toda kdo so igralci tega vojnega gledališča in kaj je njihovo orožje? Preberi več .

Samo v Veliki Britaniji vsaj 40 NHS (Nacionalna zdravstvena služba) Zaupniki so razglasili nujne primere, zaradi česar so odpoved pomembne operacije, pa tudi spodkopava varnost in varnost pacientov in skoraj zagotovo vodi v smrtnih žrtev.

Policija je v bolnišnici Southport, reševalna vozila pa so "podprta" v A&E, ko se osebje spopada s sedanjo krizno krizo #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12. maja 2017

WanaCryptor se je prvič pojavil februarja 2017. Prvotna različica programske opreme je prizadeto razširitev datotek spremenila v ".WNCRY" ter označila vsako datoteko z nizom "WANACRY!"

WanaCryptor 2.0 se hitro širi med računalniki z uporabo izkoriščanja, povezanega s skupino Equation, a hekerski kolektiv, ki je tesno povezan z nedržavnimi nedržavnimi akterji (in se po njih veliko govori, da je to njihovo "umazano" notranje lastno podjetje enoto). Spoštovani raziskovalec varnosti, Kafeine, je potrdil, da se je v posodobljeni različici verjetno pojavljal izkoriščanje, znano kot ETERNALBLUE ali MS17-010.

WannaCry / WanaCrypt0r 2.0 zares sproži pravilo ET: 2024218 "ET EXPLOIT Možen ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12. maja 2017

Večkratni podvigi

Ta izbruh odkupa programske opreme je drugačen od tistega, kar ste morda že videli (in upam, da ga niste doživeli). WanaCryptor 2.0 združuje puščen SMB (strežniški blok sporočil, protokol za deljenje datotek v omrežju Windows) izkoristite s samo ponovljivo uporabno obremenitvijo, ki omogoča, da se ransomware širi z enega ranljivega stroja na Naslednji. Ta odklon črv izklopi običajni način dostave odkupa programske opreme za okuženo e-pošto, povezavo ali drugo dejanje.

Adam Kujawa, raziskovalec Malwarebytes povedal Ars Technica "Začetni vektor okužbe je nekaj, kar še vedno poskušamo ugotoviti... Glede na to, da se zdi ta napad morda ciljno usmerjena, bodisi zaradi ranljivosti v obrambnih omrežjih bodisi zaradi zelo dobro izdelanega podjemnega metanja napad. Ne glede na to se širi po okuženih omrežjih z uporabo ranljivosti EternalBlue in okuži dodatne nenadkrite sisteme. "

WanaCryptor uporablja tudi DOUBLEPULSAR, še en puščen eksploziv NSA CIA Hacking & Vault 7: Vaš vodnik po zadnji izdaji WikiLeaksaVsi govorijo o WikiLeaksu - spet! Toda CIA te res ne gleda preko pametnega televizorja, kajne? Zagotovo so izpuščeni dokumenti ponaredki? Ali pa je morda bolj zapleteno od tega. Preberi več . To je backdoor, ki se uporablja za daljinsko vbrizgavanje in zagon škodljive kode. Okužba išče gostitelje, ki so bili prej okuženi z zakulisjem, in ko jih najdejo, uporablja obstoječo funkcionalnost za namestitev WanaCryptorja. V primerih, ko gostiteljski sistem nima obstoječe dvoknjižne različice DOUBLEPULSAR, se zlonamerna programska oprema vrne nazaj na izkoriščanje ETERNALBLUE SMB.

Kritična posodobitev varnosti

Množično puščanje orodijskih orodij NSA je povzročilo naslove po vsem svetu. Zunaj so na voljo takojšnji in neprekosljivi dokazi, da NSA zbira in shranjuje neizvedene podvige, ki niso bili potrebni za lastno uporabo. To predstavlja ogromno varnostno tveganje 5 načinov, kako se zaščititi pred ničlodnevnim izkoriščanjemIzkoriščanja na dan, programske ranljivosti, ki jih izkoristijo hekerji, preden je obliž na voljo, predstavljajo resnično grožnjo vašim podatkom in zasebnosti. Tukaj je opis, kako lahko hekerje obdržite. Preberi več , kot smo zdaj videli.

Microsoft je na srečo zakrpan marca izkoristijo Eternalblue, preden je množica orodij Shadow Brokers naletela na naslove. Glede na naravo napada, da vemo, da je to specifično izkoriščanje v igri, in hitro naravo okužbe, se zdi ogromno število organizacij niso uspeli namestiti kritične posodobitve Kako in zakaj morate namestiti varnostni popravek Preberi več - več kot dva meseca po izpustitvi.

Na koncu bodo prizadete organizacije želele igrati krivico. Toda kam naj prst kaže? V tem primeru je dovolj krivde, ki si jo lahko delimo naokoli: NSA za skladiščenje nevarnih podvigov brez dneva Kaj je ranljivost Zero Day? [MakeUseOf pojasnjuje] Preberi več , zlobneži, ki so posodobili WanaCryptor s puščenimi podvigi, številne organizacije, ki so prezrle kritično varnostno posodobitev, in druge organizacije, ki še vedno uporabljajo Windows XP.

Da so ljudje morda umrli, ker je organizacija ugotovila, da je breme nadgradnje primarnega operacijskega sistema preprosto presenetljivo.

Microsoft imajo takoj izpuščen kritična varnostna posodobitev za Windows Server 2003, Windows 8 in Windows XP.

Microsoft izdaje #WannaCrypt zaščita za izdelke, ki niso podprti Windows XP, Windows 8 in Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13. maja 2017

Sem v nevarnosti?

WanaCryptor 2.0 se širi kot divji požar. V nekem smislu so ljudje zunaj varnostne industrije pozabili na hitro širjenje črva in paniko, ki jo lahko povzroči. V tej hiperpovezani dobi in v kombinaciji s kripto-odkupnimi programi so ponudniki zlonamerne programske opreme postali grozljivi zmagovalci.

Ste v nevarnosti? Na srečo je MalwareTechBlog, preden so se ZDA prebudile in se lotil svojega računalniškega dne, našel stikalo za odstranjevanje, skrito v kodi zlonamerne programske opreme, kar je zmanjšalo širjenje okužbe.

Preklopnik kill je vključeval zelo dolgo nesmiselno ime domene - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com -, ki ga zlonamerna programska oprema zahteva.

Tako lahko svojemu Résuméu dodam samo "slučajno ustavljen mednarodni kibernetski napad". ^^

- ScarewareTech (@MalwareTechBlog) 13. maja 2017

Če se zahteva vrne v živo (tj. Sprejme zahtevo), zlonamerna programska oprema ne okuži naprave. Žal to ne pomaga nikomur, ki je že okužen. Varnostni raziskovalec, ki stoji za MalwareTechBlog, je registriral naslov za sledenje novih okužb prek njihovih prošenj, ne zavedajoč se, da gre za stikalo v sili.

#WannaCry razširitveni tovor propagacije vsebuje prej neregistrirano domeno, izvršitev zdaj ni uspela, ko je bila domena potopljena pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12. maja 2017

Na žalost obstaja možnost, da obstajajo tudi druge različice programske opreme za odganjalnike, vsaka s svojim lastnim stikalom (ali pa sploh ne, odvisno od primera).

Ranljivost lahko omilimo tudi tako, da onemogočimo SMBv1. Microsoft ponuja temeljito vadnico o tem, kako to storiti za Windows in Windows Server. V sistemu Windows 10 je to lahko hitro dosežemo s pritiskom Tipka Windows + X, izbira PowerShell (Administrator)in lepljenje te kode:

Onemogoči-WindowsOptionsFeature -Online -FeatureName smb1protocol

SMB1 je stari protokol. Novejše različice niso ranljive za različico WanaCryptor 2.0.

Če se je vaš sistem posodobil kot običajno, ste na voljo malo verjetno čutiti neposredne učinke te posebne okužbe. Če ste odpovedali termin NHS, če je bančno plačilo zapadlo ali pa vitalni paket ni prispel, ste prizadeti, ne glede na to.

In če govorim modrim, zakrpan izkoriščanje ne opravi vedno dela. Conficker, kdo?

Kaj se dogaja naprej?

V ZDA je bil WanaCryptor 2.0 sprva opisan kot neposreden napad na NHS. To je znižano. Vendar ostaja vprašanje, da je na stotine tisoč posameznikov doživelo neposredne motnje zaradi zlonamerne programske opreme.

Zlonamerna programska oprema ima znake napada z drastično nenamernimi posledicami. Dr. Afzal Ashraf, strokovnjak za kibernetsko varnost, je povedal BBC da "so verjetno napadli majhno podjetje ob predpostavki, da bodo dobili majhno količino denarja, vendar je to prišlo v sistem NHS in zdaj so imajo vso moč države proti njim - ker si očitno vlada ne more privoščiti, da bi se takšne stvari zgodile in bile uspešno."

Seveda ni samo NHS. V Španiji, El Mundoporočajo, da 85 odstotkov računalnikov pri Telefonici je prizadel črv. Fedex je zaupal, da so bili prizadeti, pa tudi Portugalska telekoma in ruski MegaFon. In to ne upoštevamo večjih ponudnikov infrastrukture.

Ustvarjena dva bitcoin naslova (tukaj in tukaj) za prejem odkupnine zdaj vsebuje skupaj 9,21 BTC (okrog 16 000 USD v času pisanja) od 42 transakcij. Rečeno je, da teorija o "nenamernih posledicah" potrjuje pomanjkanje sistemske identifikacije, zagotovljene z Bitcoin plačili.

Mogoče mi kaj manjka. Če ima toliko žrtev Wcry enak naslov bitcoin, kako lahko razdejalci povedo, kdo je plačal? Nekaj ​​...

- BleepingComputer (@BleepinComputer) 12. maja 2017

Kaj se torej zgodi? Postopek čiščenja se začne, prizadete organizacije pa štejejo svoje izgube, tako finančne kot na podlagi podatkov. Poleg tega bodo prizadete organizacije dolgo in trdo gledale na svoje varnostne prakse in - I resnično, resnično upam - posodobitev, ki zapušča starinski in zdaj nevaren operacijski sistem Windows XP zadaj.

Upamo.

Ali vas je WanaCryptor 2.0 neposredno prizadel? Ste izgubili podatke ali ste preklicali sestanek? Ali menite, da bi morale vlade nadgraditi ključno infrastrukturo? Sporočite nam vaše izkušnje WanaCryptor 2.0 spodaj in nam delite, če smo vam pomagali.

Kreditna slika: Vse, kar počnem preko Shutterstock.com