Uwaga: rozpoczęto szeroko zakrojoną kampanię przeciwko złośliwemu oprogramowaniu "WannaCry"

2017-05-30 06:58:04

Firmy dotknięte tym zagrożeniem zalecają swoim pracownikom niezwłoczne wyłączanie komputerów. Atak najnowszej wersji złośliwego oprogramowania “WannaCry” zbiera żniwo w kilku krajach. Szybkość i siła ataku zaskoczyły wiele osób. Eksperci nie odkryli jak dotąd pochodzenia ataku, który w zaledwie trzy godziny objął 11 krajów. Do tej pory najbardziej ucierpiały Hiszpania i Rosja.

Jak grom z jasnego nieba

W piątek 12 maja we wczesnych godzinach porannych czasu środkowoeuropejskiego zaobserwowano szeroko zakrojoną falę ataków najnowszej wersji złośliwego oprogramowania WCry / WannaCry. Eksperci nie mają pewności, gdzie leży źródło ataku, ale na chwilę obecną podejrzewają, że mogą nim być  botnety, zestawy eksploitów, zainfekowane e-maile lub złośliwe reklamy. W Hiszpanii zaatakowany został jeden z serwerów wewnętrznych firmy Telefónica, głównego dostawcy usług internetowych. Od tego momentu problem narastał i w efekcie doszło do tego, że specjaliści IT musieli informować pracowników o konieczności natychmiastowego wyłączenia komputerów. Poproszono ich również o przerwanie wszelkich połączeń VPN, by zatrzymać rozprzestrzenianie się złośliwego oprogramowania na kolejne elementy firmowej sieci. Hiszpańska gazeta El Mundo poinformowała, że sieci niektórych dostawców mediów zostały zaatakowane w podobny sposób. Jedno ze źródeł podaje, że największą liczbę ataków odnotowano w Rosji. Do tej pory nie określono jednak skali szkód.

Skutki

Minione wydarzenia pokazują wyraźnie, że złośliwe oprogramowanie zagraża firmom różnej wielkości. Jako że dostawcy mediów i usług telekomunikacyjnych stanowią „niezbędną i kluczową infrastrukturę”, należy podjąć odpowiednie kroki w celu zabezpieczenia ich działalności.

Środki zaradcze

Przede wszystkim należy niezwłocznie zaktualizować sygnatury wirusów. Klienci G DATA są jednak chronieni. Złośliwe oprogramowanie WannaCry jest wykrywane przez wszystkie program G DATA jako Win32.Trojan-Ransom.WannaCry.A.

Z uwagi na fakt, że ochronę przed tym zagrożeniem dołączono w marcowej aktualizacji systemu Windows, należy niezwłocznie zainstalować aktualizacje. Ponadto, firma Microsoft wypuściła na rynek łatę dedykowaną dla niektórych starszych wersji systemu Windows, którą także należy niezwłocznie zastosować.

IOC – pliki

Pliki EXE

"ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa"

"09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa" [Win32.Trojan-Ransom.WannaCry.A]

"ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa" [Win32.Trojan-Ransom.WannaCry.A

]"2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd" [Win32.Trojan-Ransom.WannaCry.A]

"24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c" [Win32.Trojan-Ransom.WannaCry.D]

"4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982" [Win32.Trojan-Ransom.WannaCry.D]

"6bf1839a7e72a92a2bb18fbedf1873e4892b00ea4b122e48ae80fac5048db1a7" [Win32.Trojan-Ransom.WannaCry.D]

"b3c39aeb14425f137b5bd0fd7654f1d6a45c0e8518ef7e209ad63d8dc6d0bac7" [Win32.Trojan-Ransom.WannaCry.D]

"b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25  [Win32.Trojan-Ransom.WannaCry.E]

DLL:

"CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.E1E" [Win32.Trojan-Ransom.WannaCry.F]

Komponent wsadowy Batch dla WannaCry:

"f01b7f52e3cb64f01ddc248eb6ae871775ef7cb4297eba5d230d0345af9a5077" [BAT.Trojan-Ransom.WannaCry.C]

Komponent VBS dla WannaCry:

"51432d3196d9b78bdc9867a77d601caffd4adaa66dcac944a5ba0b3112bbea3b" [Script.Trojan-Ransom.WannaCry.B]

Skrót WannaCry:

"a3b014598d6313c96ab511dc56028ef36f8bafde7f592a1329238718e1c29813" [Win32.Trojan-Ransom.WannaCryLnk.A]

Rozszerzenie pliku:

.wncry

Żądanie okupu: @[email protected]

Obraz podglądu: MalwareHunter

Aktualizacja: 12 maja, godzina 20:10: atak na kolejne firmy

Tym razem pojawiły się informacje o kolejnej dużej grupie ofiar złośliwego oprogramowania:

Prywatne firmy w Hiszpanii i Portugalii padły ofiarą WannaCry. Z powodu szybkiego rozprzestrzeniania się złośliwego oprogramowania po sieci ucierpiały laboratoria komputerowe. Jedno ze źródeł donosi o ataku na komputery rosyjskiego Ministerstwa Spraw Wewnętrznych  Zgodnie z oświadczeniem brytyjskiej służby zdrowia doszło do ataku na niektóre z jej struktur

Aktualizacja: 12 maja, godzina 20:20: WannaCry wykorzystuje eksploit NSA, który wyciekł i infekuje urządzenia – jak temu zaradzić

Przypuszcza się, że mechanizm wykorzystywany przez WannaCry opiera się na kodzie eksploitu stworzonym pierwotnie przez NSA. Eksploit ten nosi nazwę ETERNALBLUE i wchodzi w skład serii plików, które wyciekły w zeszłym miesiącu.

Firma Microsoft opracowała w ramach swojej marcowej działalności łatę chroniącą przed luką w zabezpieczeniach protokołu SMB, która umożliwiła pojawienie się eksploitu (określa się ją również jako NVD) i którą nazwano luką „krytyczną”.

G DATA rekomenduje zainstalowanie wszystkich aktualizacji dla systemu Windows lub zastosowanie sugerowanych przez firmę Microsoft alternatywnych rozwiązań.  

Aktualizacja: 12 maja, godzina 23:20

Aktualizacja listy IOC oraz dodanie nazw wykrywania.

Aktualizacja: 13 maja, godzina 7:30: system wyświetlający rozkład jazdy pociągów padł ofiarą ataku w Niemczech, brytyjska służba zdrowia informuje o “poważnym incydencie”

Pierwsze przypadki zainfekowania WannaCry odnotowano w systemach wyświetlających rozkłady jazdy pociągów na różnych stacjach kolejowych w Niemczech. Infekcja rozprzestrzeniła się na kilka szpitali w Wielkiej Brytanii, zmuszając pracowników do pracy na papierowych dokumentach w celu zapewnienia dostępu do podstawowego zakresu usług. Brytyjska służba zdrowia poinformowała o „poważnym incydencie”. Do ostrzegania o śmiertelnym zagrożeniu, jakie niesie WannaCry włączyli się lekarze.

Aktualizacja: 13 maja, godzina 9:15 – Microsoft wypuszcza na rynek łatę dedykowaną dla systemów Windows XP, Windows 8, Server 2003 jako ochronę przed zagrożeniem

Mając na uwadze fakt, iż wielu użytkowników nadal korzysta z systemu Windows XP (w tym we wspomnianych już instytucjach), Microsoft podjął niespotykane dotąd działanie i wydał aktualizację dla systemów  Windows XP, Windows 8 i Windows Server 2003.

Aktualizacja: 15 maja, godzina 8:30: Przypadkowy bohater krzyżuje plany WannaCry

Gdy tylko WannaCry ujrzało światło dzienne, jeden ze specjalistów do spraw bezpieczeństwa rozpoczął wnikliwą analizę. Odkrył, że WannaCry próbuje skontaktować się z konkretną domeną. Domena ta nie była wtedy zarejestrowana, on sam postanowił więc to zrobić, by sprawdzić, o czym WannaCry chciało rozmawiać. Taką procedurę stosuje się standardowo w badaniach nad bezpieczeństwem.

Później okazało się, że domena ta była tak naprawdę wyłącznikiem dla WannaCry. Zasada działa jest prosta: WannaCry kontaktuje się z domeną i czeka na odpowiedź. Gdy ją otrzyma, wyłącza się i nie infekuje systemu. Początkowo specjalista nie zdawał sobie z istnienia wyłącznika, dlatego fakt, że jego odkrycie przyczyniło się do spowolnienia rozprzestrzeniania się WannaCry był szczęśliwym zbiegiem okoliczności – wiele portali informacyjnych okrzyknęło go „Przypadkowym bohaterem WannaCry”.

To oczywiście dobra wiadomość, że nowe przypadki zainfekowania zostały w ten sposób zatrzymane. Należy jednak w tym miejscu ostrzec przed dwiema kwestiami: wyłącznik działa jedynie w tych urządzeniach, które nie zostały wcześniej zainfekowane. Nie ma on zdolności „wyczyszczenia” zainfekowanego systemu i nie przywróci zaszyfrowanych plików. Ponadto domena wyłącznika nie będzie działała, jeśli potencjalnie zagrożone urządzenia będą znajdowały się poza serwerem proxy.

Zaobserwowane spowolnienie pozwoliło specjalistom od bezpieczeństwa odetchnąć z ulgą, choć nadal zaleca się ostrożność.

Na blogu G DATA poświęconemu zabezpieczeniom zamieszczane są aktualizowane na bieżąco wyniki analiz oraz dodatkowe informacje: https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

 

Media:

Kontakt

G DATA Software Sp. z o.o.
Warcisława IV 2
78-400 Szczecinek

Telefon: +48 94 37 29 650
E-Mail: sales@remove-this.gdata.pl