Rünnaku anatoomia: kõik, mida peate teadma WannaCry ja selle mõju kohta

Rünnaku anatoomia: kõik, mida peate teadma WannaCry ja selle mõju kohta

Selles artiklis oleme kokku pannud selle, mida teame või arvame teadvat, ning soovitused ettevõtetele ja üksikutele kasutajatele enda kaitsmiseks. Osa teavet töötavad välja mitmed allikad, kuid seda ei kinnitata täielikult.

Artikleid värskendatakse püsivalt.

Mis on lunavara?Lunavara on arvutirünnaku tüüp, mis kasutab arvutisüsteemide nakatamiseks pahavara, näiteks viiruseid ja Trooja hobuseid, blokeerides andmete krüpteerimise kaudu juurdepääsu neile salvestatud süsteemidele ja failidele. See mudel on seotud lunaraha taotlemisega ja tavaliselt saavad ohvrid ekraanil hoiatuse, milles palutakse makse, tavaliselt bitcoini kaudu, mis on keerulisem tee.

See nakkus viiakse tavaliselt läbi e-kirjade saatmisega linkidega veebisaitidele, kus seejärel laaditakse alla arvutisüsteemi defekte ära kasutav pahavara. Laiendused .doc, .dot, .tiff, .java, .psd, .docx, .xls, .pps, .txt või .mpeg on vaid mõned, kuhu pääseb.

Mis on selle lunavara rünnaku päritolu?Päritolukinnitust pole siiani. Rünnak korraldati perekonna Wanna WannaCry pahavara abil. Ameerika Ühendriikide Trumpi administratsiooniallikad kinnitasid New York Timesile, et tegemist oli väga keeruka rünnakuga, sest “kood on koostatud mitmest allikast ja mitmest allikast” ning et mida suurem on pahatahtliku koodi võimalike allikate arv, seda raskem on seda teha. uurijad võimalike ründajate tuvastamiseks.

Algselt olid allikad märgitud Brasiilias, kuid räägiti ka Hiinast ja Venemaast. Mõned uudised näitavad, et ekspluateerimine (arvuti rikete ärakasutamise kood) võib olla muutunud NSA koodist. Putin on ĂĽks teooria “kaitsjatest”, nagu ta sel esmaspäeval ĂĽtles, kommenteerides, et kui pudel avatakse, võivad geeniused põgeneda ja rĂĽnnata omaenda omanikke.

Kas saate probleemi peatada?

Laupäeval kuulutas The Guardian “juhusliku kangelase” ja ĂĽtles, et MalwareTechi ajaveebi pidav noor briti mees suutis rĂĽndevara leviku ärahoidmiseks tuvastada pahavara abil juhtimissĂĽsteemina kasutatava domeeni ja ostis selle 10 dollari eest. Kuid ta hoiatas kohe, et see võib olla ajutine, kuna häkkerid võivad rĂĽnnakute jätkamiseks koodi hõlpsalt muuta. Mis näib juhtuvat.

Europol on nüüd teatanud, et olukord Euroopas näib olevat stabiliseerunud. Kuid ta hoiatas, et tõenäoliselt on uus laine koos esialgse koodi muutmisega.

Kes on mõjutatud ettevõtted?

Telefónica oli üks esimesi, kes tunnistas, et on rünnaku sihtmärk, ja paljud teised järgisid seda eeskuju, kus Suurbritannia oli haiglavõrgu NHS üks peamisi ohvreid. Ameerika Ühendriikides on ka FedEx kinnitanud, et seda on mõjutatud, ja Jaapanis Nissan Motors. Ohvrite seas olid ka Renault Prantsusmaal, Venemaa Sberbank ja STC telekommunikatsioon. Kuid need on ainult suured nimed.

Europoli laupäeval, 13. mail esitatud esimene hinnang viitas enam kui 200 000 inimohvrile umbes 150 riigis ning organisatsiooni direktor tunnistas, et sellist rünnakut pole kunagi nähtud.

Täna hommikul lisati sellesse nimekirja uued nimed ja numbrid, algselt Aasia ettevõtted, mis on nädalavahetustel, kui esimene laine käivitub, ja esimesed, kes kogevad mõju täna, kui lülitavad arvutid sisse ajavööndites varem kui Euroopas. .

Ja kas Portugalis on kinnitatud juhtumeid?Eri meediakanalite poolt välja toodud eesnimed tuvastasid mitu ettevõtet, kuid mitu neist avaldasid hiljem probleemi eitamiseks teated, mis garanteerisid, et tegemist oli vaid kaitseprotsessiga. Portugal Telecom on üks neist, kes kinnitas, et see oli rünnaku sihtmärk, mida see ettevõtte allikate sõnul kiiresti leevendas.

Riikliku küberturvalisuse keskuse (CNCS) koordinaator Pedro Veiga kinnitas, et mitmed ettevõtted kinnitasid, et nad olid rünnaku sihtmärgiks, kuid nad polnud riigiasutuselt saanud ühtegi teadet, mis võis juhtuda ka 12. mail reedel kehtinud sallivuspunkti tõttu sünnipäevade pidustuste tõttu. sajas Fátima ilmumine ja paavsti visiit Portugali.

Täna hommikul keelas tervishoiuministeerium turvameetmena isegi e-posti ning INEM kasutas raadiosidet selleks, et tõrjuda fakti, et haiglal ja tervisekeskusel pole e-posti, kuid Pedro Veiga kinnitas, et päev oli väga vaikne, tõsiste vahejuhtumite kohta teateid ei olnud, mis võis olla tingitud ettevõtte poolt tehtud ettevalmistustest. nädalavahetusel ministeeriumid ja ülddirektiivid.

Justiitspolitsei jälgib asja, kuid pole allikat tuvastanud.

Mida teha, et vältida selle rünnaku tabamist?

Seda tüüpi rünnakute vältimiseks on mõned põhilised kaitsemeetmed ja üks esimesi on mitte avada kahtlaseid e-kirju ega järgida ebausaldusväärsetest allikatest pärit linke. Eksperdid soovitavad ka süsteeme ja rakendusi ajakohastada, eelkõige seetõttu, et see pahavara kasutas ära Microsofti poolt märtsis parandatud haavatavust.

Sellegipoolest ei saa miski olla 100% ohutu ja seetõttu soovitavad eksperdid teabe kaitsmiseks kasutajatel infektsiooni korral andmete taastamiseks regulaarselt varukoopiaid hoida välisel kettal või pilves.

Ransomware Tech “data-title =” Tech lunavara – rĂĽnnaku anatoomia: kõik, mida peate teadma WannaCry ja selle mõju kohta – SAPO Tech “> Tech lunavara

Veebisait No more Ransomware pakub mõningaid väga olulisi soovitusi ja nõuandeid: ärge kunagi makske nõutavat lunaraha, kuna see soodustab rünnakute järjepidevust ja ei taga, et saate failidele juurde pääsemiseks võtmeid.

Microsofti plaasterakendus, mis on seotud Windowsi ärakasutatavate haavatavustega, on üks olulisemaid samme ja ettevõte on avaldanud lisateabega juhendid klientidele, eriti vanemate operatsioonisüsteemide (nt Windows XP, Windows 8 ja Windows Server 2003) kohta. Microsoft garanteerib, et See ei mõjuta Windows 10.

Hispaania keskus CCN-CERT andis vahepeal välja süsteemi kaitsmiseks mõeldud tööriista, kuid see ei töötanud juba kompromissiga inimeste probleemide lahendamisel.

Kelle poole saan Portugalis pöörduda?Mitmed ametkonnad töötavad hoiatuste väljaandmise ja võimalike ohvrite abistamise, aga ka rünnaku allika väljaselgitamise nimel. Riikliku küberturvalisuse keskuse (CNCS) ülesanne on kooskõlastada küberjulgeolek riigi üksuste, oluliste teenusepakkujate ja digitaalteenuste pakkujatega. Juhtumitest saab teada anda CERT.pt.

Selle küsimusega tegeleb ka justiitspolitsei, eriti küber- ja tehnoloogiakuritegude vastu võitlemise riiklik üksus UNC3T.

Milline on rĂĽnnaku tehniline konfiguratsioon?

See rünnak kasutab WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY viirusi ja mõjutab kõiki Windowsi versioone enne Windows 10, kui nad pole Microsofti välja antud plaastreid rakendanud. See viirus kasutab TCP-porti 445 igaveste siniste haavatavuste levitamiseks.

Taotletud vahetus varieerub vahemikus 300–600 eurot ja on „tasuline“ bitcoinis, kuid võib aja jooksul suureneda. Ametivõimud soovitasid mitte maksta ühtegi summat, eelkõige seetõttu, et polnud mingit garantiid, et failide avamiseks antakse võti.

On mitmeid hoidlaid, kus nende rĂĽnnakute puhul tavaliselt kasutatavaid krĂĽptovõtmeid jagatakse ja turvafirmad on loonud ainult Ransomware’ile pĂĽhendatud veebisaidid.

Sellelt GitHubi lingilt leiate lisateavet, sealhulgas loetelu mõjutatud organisatsioonidest, andmete krüptimisest ja ka bitcoini rahakoti aadressidest.

Kas tasutakse seadme lukustuse avamise võtme eest?

Hoolimata ametivõimude soovitustest. paljud kasutajad on otsustanud teha makseid bitcoinis ja loodud on robotid, mis on seotud Twitteri kontoga, mis loeb kõik selle rünnakuga seotud bitcoini rahakotti kuuluvad maksed. Ja see moodustab juba tuhandeid dollareid, mida uuendatakse iga kahe tunni tagant.

Toimetaja märkus: Seda lugu värskendatakse, kui ilmub uut teavet ja tehnilisi andmeid. Kui teil on rünnaku või mõjutatud ettevõtte kohta lisateavet või kui leiate vea, saatke meile e-kiri aadressile [email protected]