Kilka dni temu rozpoczęła się epidemia trojana szyfrującego dane o nazwie WannaCry. W zasadzie mamy do czynienia z pandemią, czyli epidemią globalną. Tylko jednego dnia zidentyfikowaliśmy ponad 45 tysięcy prób infekcji, jednak rzeczywista liczba atakowanych użytkowników jest z pewnością znacznie wyższa.
Co się stało?
O infekcji poinformowało jednocześnie kilka dużych organizacji. Były wśród nich szpitale z Wielkiej Brytanii, które zostały zmuszone do wstrzymania funkcjonowania w wyniku destrukcyjnej działalności trojana. Wg danych opublikowanych przez różne źródła, oprogramowanie WannaCry mogło zainfekować ponad 100 000 komputerów na całym świecie. Sama liczba infekcji była wystarczająca, by przyciągnąć uwagę mediów.
Najwięcej ataków odnotowano w Rosji, ale ucierpiały także takie kraje jak Ukraina, Indie oraz Tajwan. Tylko w pierwszym dniu działania tego zagrożenia zidentyfikowaliśmy szkodnika WannaCry w 74 krajach.
Czym jest WannaCry?
Atak WannaCry składa się z dwóch części. Po pierwsze, mamy do czynienia z exploitem, którego zadaniem jest zainfekowanie maszyn i dalsze rozprzestrzenianie zagrożenia. Druga część to moduł szyfrujący, który jest pobierany na już zainfekowane komputery.
Obecność tej pierwszej części jest tym, co wyróżnia zagrożenie WannaCry spośród innych szkodników ransomware. W przypadku typowego narzędzia tego typu, by doszło do infekcji, użytkownik musi popełnić błąd – na przykład kliknąć podejrzany odnośnik, uruchomić załącznik z niepewnej wiadomości e-mail itp. W przypadku WannaCry do infekcji może dojść bez żadnych działań ze strony użytkownika.
WannaCry: Exploit i rozprzestrzenianie
Osoby stojące za WannaCry wykorzystały exploit dla systemu Windows, znany jako EternalBlue. Wykorzystuje on lukę załataną przez Microsoft 14 marca 2017 r. w ramach biuletynu bezpieczeństwa MS17-010. Dzięki temu exploitowi atakujący mogą uzyskać zdalny dostęp do atakowanych komputerów i zainstalować moduł szyfrujący dane.
Jeżeli zainstalowałeś wspomniane uaktualnienie, omawiana luka już nie istnieje w Twoim systemie i próba zainfekowania komputera zdalnie z użyciem tej podatności nie powiedzie się. Mimo tego, eksperci z Globalnego Zespołu ds. Badań i Analiz (GReAT) Kaspersky Lab uczulają, że brak luki nie oznacza braku możliwości uruchomienia narzędzia szyfrującego (gdy np. użytkownik popełni jeden z wymienionych powyżej błędów).
Po pomyślnym zainfekowaniu komputera WannaCry próbuje rozesłać się na inne maszyny w sieci lokalnej – jest to działanie w stylu robaka komputerowego. Moduł szyfrujący skanuje inne komputery w poszukiwaniu luki w zabezpieczeniach, którą można wykorzystać z użyciem exploita EternalBlue i gdy to się powiedzie, cała procedura rozpoczyna się od nowa.
Zatem, gdy dojdzie do zarażenia jednego komputera, WannaCry może dokonać infekcji wszystkich maszyn działających w danej sieci i zaszyfrować przechowywane na nich dane. Dlatego w wyniku tego ataku najbardziej ucierpiały duże firmy – im więcej komputerów w danej sieci, tym większe szkody.
WannaCry: Moduł szyfrujący
Jako narzędzie szyfrujące dane, WannaCry (zwany także jako WCrypt oraz WannaCry Decryptor) zachowuje się tak samo, jak inne zagrożenia tego typu. Szyfruje pliki na zainfekowanym komputerze i wyświetla żądanie okupu za przywrócenie dostępu do danych. Szkodnik w swoim zachowaniu najbardziej przypomina trojana CryptXXX.
WannaCry szyfruje różne rodzaje plików (pełna lista jest dostępna tutaj), łącznie z dokumentami biurowymi, zdjęciami, filmami, archiwami i innymi formatami, które potencjalnie mogą zawierać dane użytkowników. Rozszerzenia zaszyfrowanych plików mają postać .WCRY. Pliki te stają się niedostępne.
Po zakończeniu szyfrowania trojan zmienia tapetę pulpitu na obrazek zawierający informację o infekcji oraz listę zadań, które użytkownik ma wykonać, by odzyskać swoje dane. Dodatkowo szkodnik zapisuje te same informacje w plikach tekstowych, które są umieszczane we wszystkich folderach zawierających zaszyfrowane dane. Wszystko w celu zadbania o to, by ofiara z całą pewnością dowiedziała się o konieczności zapłacenia okupu.
Jak zwykle w takich przypadkach, atakujący oczekują od ofiar wpłacenia określonej kwoty w bitcoinach. Cyberprzestępcy twierdzą, że wówczas odszyfrują wszystkie pliki. Na początku kwota okupu wynosiła 300 dolarów lecz później została zwiększona do 600 dolarów.
Atakujący próbują dodatkowo zastraszać ofiary informując, że kwota okupu zostanie zwiększona po trzech dniach, a po upłynięciu siedmiu dni pliki zostaną bezpowrotnie utracone.
Nasza porada jest uniwersalna – nie zalecamy płacenia okupu przestępcom. Nawet jeżeli to zrobisz, nie masz żadnej gwarancji na odzyskanie danych – mamy przecież do czynienia z przestępcami, a etyka i uczciwość to raczej nie jest ich domena. Co więcej, badacze wykazali już, że w niektórych przypadkach cyberprzestępcy po prostu usuwają zaszyfrowane dane po otrzymaniu okupu.
W jaki sposób zarejestrowanie domeny wstrzymało infekcję i dlaczego to nie oznacza, że mamy do czynienia z końcem tego zagrożenia
Badacz znany jako Malwaretech zdołał wstrzymać infekcję poprzez zarejestrowanie domeny o długiej i niemającej większego sensu nazwie.
Okazuje się, że niektóre wersje trojana WannaCry uzyskują dostęp do tej domeny, i jeżeli nie otrzymają odpowiedzi, instalują narzędzie szyfrujące po czym wykonują swoją niszczycielską pracę. W przypadku otrzymania odpowiedzi (aby tak się stało, domena ta musi być zarejestrowana), szkodliwe programy wstrzymują swoją aktywność.
Po odnalezieniu nawiązania do tej domeny w kodzie trojana badacz zarejestrował ją i tym samym wstrzymał atak. W ciągu tego dnia wspomniana domena była odpytywana dziesiątki tysięcy razy, co oznacza, że udało się uratować przed zaszyfrowaniem mnóstwo maszyn.
Istnieje teoria mówiąca, że ta funkcja została umieszczona w trojanie WannaCry jako swego rodzaju bezpiecznik – na wypadek, gdyby coś poszło nie tak. Wg innej teorii, którą popiera sam badacz, miało to na celu skomplikowanie analizy zachowania szkodliwego programu. Środowiska testowe wykorzystywane podczas badań są często konfigurowane w taki sposób, że każda domena odpytywana przez analizowane zagrożenie zwraca odpowiedź. W takim przypadku szkodnik nie wykonałby żadnego działania w środowisku testowym, co mogłoby zmylić niektórych badaczy.
Niestety, aby powstały nowe wersje szkodnika odporne na to „zabezpieczenie”, cyberprzestępcy muszą jedynie zmienić nazwę domeny wykorzystywanej jako „bezpiecznik”. Z tego względu z dużym prawdopodobieństwem epidemia WannaCry będzie trwała dalej.
Jak chronić się przed WannaCry
Niestety na chwilę obecną nie ma możliwości odszyfrowania plików zablokowanych przez trojana WannaCry (nasi badacze pracują nad tym bez wytchnienia). Jedyne co pozostaje użytkownikom to prewencja.
Mamy kilka porad, które pozwolą zapobiec infekcji
- Jeżeli korzystasz z rozwiązania Kaspersky Lab, zalecamy wykonanie następujących czynności: uruchom ręcznie skanowanie obszarów krytycznych i jeżeli wykryty zostanie obiekt MEM:Trojan.Win64.EquationDrug.gen (w taki sposób nasze produkty identyfikują trojana WannaCry), usuń go i uruchom ponownie system.
- Jeżeli korzystasz z rozwiązania Kaspersky Lab, upewnij się, że włączony jest moduł Kontrola systemu. Jest on niezbędny do walki z nowymi wariantami szkodnika, które mogą się pojawić.
- Zainstaluj uaktualnienia oprogramowania. W przypadku WannaCry wszyscy użytkownicy systemów Windows powinni błyskawicznie zainstalować uaktualnienie bezpieczeństwa MS17-010. Microsoft udostępnił tę aktualizację nawet dla systemów, które nie są już oficjalnie wspierane, takich jak Windows XP i Windows 2003. Poważnie – nie czekaj! Instaluj tę łatę jak najszybciej. To bardzo ważne.
- Regularnie twórz kopie zapasowe swoich danych i przechowuj je na nośniku, który nie jest na stałe podłączony do komputera (lub w chmurze). Jeżeli posiadasz aktualną kopię danych, ransomware nie wyrządzi Ci żadnych szkód – stracisz jedynie nieco czasu na przeinstalowanie systemu, aplikacji i przywrócenie swoich plików. Jeżeli jesteś zbyt zajęty, by zajmować się wykonywaniem kopii zapasowych, lub po prostu nie wiesz, jak się za to zabrać, możesz skorzystać z narzędzia wbudowanego w nasz Kaspersky Total Security, które zrobi to za Ciebie w pełni automatycznie.
- Korzystaj z solidnego antywirusa. Kaspersky Internet Security wykrywa trojana WannaCry zarówno lokalnie jak i podczas prób rozprzestrzeniania się w sieci lokalnej. Ponadto, moduł Kontrola systemu pozwala na cofnięcie wszelkich niechcianych zmian w systemie, co oznacza, że będziesz chroniony nawet przed tymi wersjami szkodników, które nie znalazły się jeszcze w naszych bazach danych.
Dodatkowe porady i informacje na temat trojana WannaCry są dostępne na naszej stronie pomocy technicznej