WannaCry / WannaCrypt ransomware – šta znamo do sada?

Interesantno je kako se neke stvari poklope… Nedavno sam na Tarabica IT konferenciji u Beogradu i na MSNetwork 7 konferenciji u Neumu održao predavanja pod naslovom “Microsoft EOP i Office 365 Advanced Threat Protection”. Pored toga što sam pričao o mogućnostima zaštite e-mail servera koje Microsoft EOP i Office 365 ATP pružaju, dobar deo predavanja je posvećen e-mail pretnjama od kojih se moramo štititi, sa naglaskom na ransomware. Nisam ni slutio da će se, nepunih mesec dana, širom sveta desiti ovakav napad. I to baš ransomware.

Ovo je definitivno jedan od gorih kompjuterski napada. U proteklih desetak godina je bilo na hiljade napada raznoraznih računarskih crva (eng. worm) koji su iskorišćavali propuste u operativnim sistemima, šireći zarazu i na Internetu i u lokalnim računarskim mrežama. Ono što WannaCry / WannaCrypt izdvaja od prethodnih vrsta malware-a je to što se uz širenje zaraze vrši i enkripcija fajlova na zaraženom računaru, što ovaj napad čini tako strašnim. Budući da su svi mainstream mediji vrlo pažljivo ispratili ovaj napad, odlučio sam da napišem ovaj blog post i tako sumiram ono što do sada (tekst pišem 14. maja uveče) znamo o ovoj pošasti koja nas je snašla…

Čitavu priču sam počeo da pratim u petak 12.05.2017. kada sam video da je britanski Independent objavio vest da je sajber-napad napravio haos u u NHS-u (nacionalni zdravstveni system Velike Britanije). Naime, kako je Independent objavio, ransomware po imenu “Wanna Decryptor”  je pogodio desetine bolnica širom Engleske i Škotske, što je uslovilo preusmeravanje pacijenta u druge oblasti. Do tog trenutka, virus je zarazio računare u 74 zemlje širom Azije i Evrope. Pored Britanije, najteže su pogođene Rusija i Španija. Javljeno je da su pogođeni i američki Fedex, pojedina ruska ministarstva i Sberbanka. Saopštenjem se oglasila i britanska premijerka Tereza Mej.

Zato sam tvitnuo i skrenuo ljudima pažnju da zaštite svoje IT resurse, potpuno nesvestan kakav se napad upravo odigrava širom Evrope.

Kako je bio petak popodne, nakon radne nedelje mi je dobro došlo da malo pobegnem od računara. Kada sam, nešto posle ponoći, ponovo seo za računar, imao sam šta i da vidim. Moj drugar Vlada Vučinić je na svom portalu objavio vest pod nazivom “U toku je najveći ransomware napad na svetu”. E, to je već nešto, rekoh sebi. 🙂 Te večeri je i Blic objavio vest o ovom napadu – što me je učvrstilo u uverenju da je stvar ozbiljna, čim su mainstream mediji počeli da u realnom vremenu izveštaju o nekoj IT temi.

 

Ovom prilikom bih, iako ih ne poznajem, javno pohvalio CERT Republike Srpske, kao jednu od retkih ustanova u regionu koja je jako brzo reagovala i izdala saopštenje o WannaCry / WannaCrypt napadu 12.05.2017. u 23:06 uveče! Momci i devojke, svaka čast!

 

Ujutru, (subotu 13.05.2017.) su mi se javili drugari ajtijevci – Mustafa Toroman iz Sarajeva, Marko Ristić, Viktor Moldvaji i Vlada Vučinić iz Beograda i ostavili nekoliko komentara sa informacijama vezanim za WannaCry / WannaCrypt ransomware. Elem, Microsoft je još u martu mesecu ispravio propust uočen u SMBv1 protokolu, a bio je brz i na samom početku širenja zaraze, te je već 12.05.2017. objavio načine na koji se ugroženi računari mogu zaštititi (ukoliko već nisu). Koliko je Microsoft ozbiljno pristupio rešenju problema, govori i ovaj tvit, u kome navode da su izdali patch za operativne sisteme koji zbog zastarelosti veće duže vreme nisu podržani… Ovo je svakako izuzetak od uobičajene prakse i pokazuje koliko je ovaj napad opasan. U normalnim okolnostima, savet bi bio prelazak na neku od podržanih verzija Windows-a.

 

Već  se u tim trenucima pojavila vest da je širenje virusa zaustavljeno…

Naime, security stručnjak pod pseudonimom MalwareTech je analizirajući kod virusa primetio da je ugrađen tzv. kill-switch koji, ukoliko se aktivira, sprečava širenje zaraze. To je zapravo domen sasvim besmislenog imena, čije postojanje virus proverava pre infekcije sistema – ukoliko je domen dostupan, sistem neće biti zaražen, fajlovi neće biti enkriptovani, niti će se virus proširiti na ostatak mreže. MalwareTech je brže-bolje registrovao taj domen i nastavio sa daljim testovima. Ono što bih želeo da napomenem je da čovek nije slučajno registrovao taj domen, kako su pojedini mediji preneli, već mu je to posao – registrovao je do sada na hiljade takvih domena u cilju obaranja botnet mreža. Interesantna stvar koje tog trenutka MalwareTech nije bio svestan je da je samom registracijom domena, “ubio” virus i sprečio njegovo dalje širenje. 🙂 Detaljne informacije o tome kako je tekla analiza WannaCry / WannaCrypt ransomware-a može pročitati u sledećem tekstu. Slobodno pročitajte i komentare na tekst, jako su informativni. Preporučujem da na Twitter-u zapratite nalog @MalwareTechBlog, tu su najsvežije informacije. Interesantno je da je čovek na ovaj način spasao kontinent sa druge strane okeana – registracija domena je zaustavila širenje virusa pre nego što se Amerika probudila. Na žalost, Evropa i Azija su ozbiljnije pogođeni, ali ne smem ni da zamislim šta bi se desilo da je zaraženo na milione američkih računara i servera. Sada bih pisao o katastrofi mnogo većih razmera.

 

Saopštenjem je jako brzo reagovao i MUP Srbije i posavetovao građane kako da se zaštite.

Kako je dan odmicao, većina domaćih medija je pokrila vest, prenoseći nove informacije, analize stručnjaka za računarsku bezbednost i savete o zaštiti – RTS, B92, N1 Info, zatim N1 ponovo, Večernje novosti, ponovo RTS, Politika… U dnevniku RTS-a je ovo ovoj temi govorio Saša Živanović, načelnik odeljenja MUP-a za borbu protiv visokotehnološkog kriminala.

 

Iste dana (subota 13.05.2017.) je Jutarnji list objavio sledeću vest “virus Wannacry zarazio glavni informatički sustav MUP-a” – možete je pročitati ovde.

Pogledajte kako su i ostali domaći i regionalni mediji izvestili i ovom napadu:

Mondo

Newsweek

Radio Sarajevo

Jutarnji list

Nezavisne novine

 

Šta znamo do sada?

Za razliku od prvog dana, imamo mnogo više informacija, kao što možete videti u gore. Međutim, hajde da sumiramo ono što za sada znamo:

  • sve je počelo u petak
  • ransomware je najviše pogodio Veliku Britaniju, Rusiju i Španiju
  • Zaraženo je puno računara – fajlovima na njima su kriptovani i ne može im se pristupiti
  • “Otmičari” za dekripcioni ključ traže 300 dolara
  • Security expert je registrovao domen koji je pronašao u izvornom kodu virusa i na taj način aktivirao kill-switch, što je zaustavilo dalje širenje zaraze
  • Amerika je, zahvaljujući različitim vremenskim zonama i relativnom brzom blokiranju napada, znatno manje pogođena
  • Security stručnjaci preporučuju što hitnije ažuriranje operativnih sistema Windows
  • Očekuju se nove verzije ovog ransomware-a, koje neće sadržati kill-switch i koje će biti znatno opasnije
  • Zvanični organi, i kod nas u svetu, preporučuju da se ne plaća otkup
  • Vlasnici kompanija i IT menadžeri su u velikoj dilemi – platiti otkup ili sačekati eventualno rešenje problema

 

Šta raditi dalje?

Čuveni Woody Leonhard je objavio odličan pod nazivom “How to make sure you won’t get hit by WannaCry/WannaCrypt“, u kome je detaljno objašnjeno šta administratori i korisnici treba da urade kako bi se zaštitili. Neka vam to bude obavezno štivo u ponedeljak, valja se dobro zaštiti. Stručnjaci se redom slažu da će naredni napadi biti još opasniji. Budite spremni i neka u ponedeljak Windows Update bude prvo što ćete uraditi.

 

Dilema za kraj…

MUP i odeljenje za visokotehnološki kriminal savetuju da ne plaćate otkup ukoliko je vaša kompanija pogođena ransomware-om. S jedne strane su sasvim u pravu – na taj način se samo podstiče kriminal. S druge strane, ukoliko ste vlasnik ili rukovodilac kompanije koja je ozbiljno pogođena ovim napadom i ne može da pristupi svojim podacima… Šta vi mislite? Kako biste vi postupili? Zamolio bih vas da ostavite komentar ispod i da tekst prosledite kolegama u vašim IT odeljenjima…

Advertisements

6 thoughts on “WannaCry / WannaCrypt ransomware – šta znamo do sada?

  1. Jedino da se podaci izvuku sa Backup-a. Placanjem 300 dolara se podstice kriminal, takodje ljudi koji traze otkup nemaju nikakvu obavezu da vam dekriptuju podatke.

    • Upravo tako – Windows update, OneDrive, antivirus… Napomenuo bih samo da uradite i offline backup, za slučaj da se pojavi nova verzija ovog ransomware-a. Ukoliko ransomware upadne i kriptuje fajlove, oni će se tako kriptovani sinhronizovati na OneDrive…

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s