Древните легенди на норвежки език говорят за масивна змия, наречена Jörmungandr, толкова голяма, че обгръща света и държи собствената си опашка в зъбите си.

Фантастични легенди като тези често се споменават само в митове, но миналия петък станахме свидетели на раждането на истинска дигитална "световна змия" - червей, който се разпространи досега, че е обхванал земното кълбо и зарази услуги като националния Здравеопазването и големите компании в други части на света като Telefónica в Испания.

Въпреки че експертите все още се опитват да разберат как този червей продължава да се разпространява и как да се противопостави на заплахата, имаме добра представа какво се е случило и как можете да предприемете действия, за да предотвратите вреда на вашата система.

Какво стана?

На 12 май 2017 г. се извърши масова кибернетична атака от неизвестна част от ransomware (прочети повече за ransomware тук). В крайна сметка наречена WannaCry, тя успя да зарази безпрецедентна 230 000 системи, разпространявани в 150 държави, използвайки комбинация от фишинг и експлоатация на непроверени системи чрез локални блокове за сървърни съобщения (SMB).

Брошумите ще ви блокират от файловете ви и ще ви покажат екран (показан по-долу), който в рамките на три дни поиска 300 долара в Bitcoin, за да възвърне достъпа до тях, или пък цената ще се удвои.

Въпреки че по този начин ransomware обикновено функционира, имаше малко възбуда, което го разпръсна още по-бързо. WannaCry се възползва от недостатък в SMB (който е отговорен за споделянето на файлове и принтери), които му позволяват да се разпространява на други компютри в рамките на една и съща подмрежа. Тя само се зарази с един компютър, за да уволни цялата мрежа. Това всъщност е причината тази инфекция да е кошмар за NHS и други големи институции.

Може би още едно нещо, което трябва да се спомене тук, е фактът, че експлоатацията на малките и средни предприятия е взета от изтеклата уредба на NSA за хакери преди повече от месец. Ние съобщихме за подобно изтичане на файлове Vault 7 на ЦРУ, които също съдържат различни функционални експлойти, които могат да се използват във всеки един момент от хакери, за да пишат подобен злонамерен софтуер.

Убиецът

Някой неизвестен изследовател по сигурността, който минава с псевдонима "MalwareTech", регистрира домейн, открит в кода на WannaCry, който спре разпространението на софтуера. Виждате ли, всеки път, когато зловреден софтуер ще се изпълнява на компютър, той ще провери дали домейнът съществува (между другото, това е iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ). Ако бъде регистриран, злонамереният софтуер ще може да се свърже с него и при това това незабавно ще престане да се разпространява. Изглежда, че хакерът, който го е написал, искаше да тества водите и да има план за непредвидени обстоятелства, в случай че нещата станат абсолютно възторжени. Този сензационен миг прекъсна ransomware от по-голяма повреда ... поне засега.

Ето мрачната истина: Няма щастлив край тук. Декомпилирате кода и лесно можете да намерите парчетата, в които приложението нарича функцията WinAPI "InternetOpenURLA ()" или "InternetOpenA ()". В крайна сметка ще можете да редактирате фрагмента, където се опитва да се свърже с убиеца превключване домейн. Това не изисква изключителен квалифициран програмист, който да направи това, и ако някой хакер получи ярката идея да направи нова версия на WannaCry с превключвателя за убиване, редактиран, преди всички да проследят своите системи, разпространението ще продължи. Още по-предприемчивите хакери дори ще редактират сметката на Bitcoin, че плащанията трябва да отидат и да направят яка печалба.

Версиите на WannaCry с различни домейни за превключване на убийства вече са забелязани в дивата природа и все още не сме потвърдили, че се е появила версия без превключвател за убиване.

Какво можеш да направиш?

В светлината на това, което се случи, Microsoft реагира бързо с кръпки, дори покривайки неподдържани версии на операционната система като Windows XP. Докато поддържате системата си актуална, не бива да изпитвате инфекция на ниво SMB. Все пак, все още можете да страдате от инфекция, ако отворите phishing имейл. Не забравяйте никога да не се отварят изпълними файлове, изпратени като прикачени файлове към имейл. Докато упражнявате малко предпазливост, трябва да можете да оцелеете от яростната атака.

Що се отнася до правителствените институции, които са били осакатени, това нямаше да се случи, ако те просто щяха да пропуснат своите критични за мисията системи.

Трябва ли да очакваме по-смели атаки, след като хакерите въведат експлойти, открити в последните терористични атаки в САЩ? Кажете ни какво мислите в коментара!