WannaCry

WannaCry
Snímek obrazovky napadnutého počítače
Snímek obrazovky napadnutého počítače
AliasyWannaCrypt
WanaCrypt0r 2.0
WanaCrypt0r 2.0
TypRansomware
Datum vypuštění12. května 2017
Popis činnosti
Zašifruje data na počítači s operačním systémem Microsoft Windows a k odblokování vyžaduje výkupné v hodnotě 300 USD (více než 7 000 korun) nebo 600 USD (více než 14 000 korun)

WannaCry (syn. WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) je Ransomware (vyděračský software) napadající počítače se systémem Microsoft Windows. Útok od 12. května 2017 je považován za nejničivější a nejagresivnější útok svého druhu[1] (předbíhá i virus ILoveYou). Po nakažení počítače zašifruje data na pevném disku a žádá platbu ve výši 300 USD (7 186 korun) v Bitcoinech na odblokování souborů (po skončení konečného termínu se cena zvýší až do 2000 USD / 1800 EUR). Virus se šíří od 12. května 2017. Virus dosud nakazil více než 250 000 počítačů ve více než 150 zemích světa. Nejrozšířenější je v Rusku, Ukrajině, Indii a Tchaj-wanu.[2]

Mapa zobrazující infikované země (červená) a neinfikované země (šedá) virem WannaCry do dne 15. května 2017

Většina ransomwaru se do počítače dostane e-mailem, linky nebo reklamami. Nicméně není známa přesná metoda šíření viru WannaCry. Virus využívá EternalBlue exploit a DoublePulsar backdoor, které vyvinula NSA.[3] 14. května 2017 byla kvůli tomuto viru vydána aktualizace pro systémy Windows, dokonce i na nepodporované systémy jako například Windows XP.[4]

Kyberútok

Po nainstalování WannaCry nejprve zkontroluje přítomnost „kill switch“. Pokud není nalezen, ransomware zašifruje data na počítači a pokusí se vyslat instalační soubory po síti. Jako při každém ransomware, zobrazí se zpráva informující uživatele o nakažení a žádá výkupné v hodnotě 300 USD (7 186 korun) nebo 600 USD (14 367 korun) v internetové měně Bitcoin do tří nebo sedmi dní.

Počítače, které si nenainstalovaly bezpečnostní update od Microsoftu jsou napadnutelné. Snáze pak napadnou Windows 7 než například Windows XP.[5]

Útočník není zatím znám. Je potvrzeno, že útočník za 5 dní vydělal na malwaru přes 73 000 USD (64 870 EUR).

EternalBlue & DoublePulsar

EternalBlue, hlavní součást WannaCry, byla vydána hackerskou skupinou The Shadow Brokers[6] dne 14. dubna 2017 spolu s dalšími hackerskými nástroji získaných z tzv. 'Equation Group' (sk. Rovnicová skupina), údajně pocházející z americké organizace NSA. EternalBlue využívá zranitelnost v protokolu SMB (Server Message Block), která byla opravená aktualizací MS17–010,[7]. Update byl vydán pro všechny verze Windows 14. března 2017. Údajně, EternalBlue není funkční v systému Windows 10.[8]

Od 21. dubna 2017 se šíří backdoor DoublePulsar, který již 4 dny na to nakazil více než 100 000 počítačů, přičemž počet infikovaných počítačů roste exponenciálně každý den. EternalBlue i DoublePulsar byly použity najednou v útoku WannaCry.

Dopad

Malware WannaCry měl i má obrovský dopad na nejen osobní počítače. WannaCry nakazil Národní zdravotnickou službu (NHS) v Spojeném království[9] – musely být zrušeny mnohé naplánované operace. Virus způsobil i několik hodin dlouhou odstávku mobilní sítě O2 Telefónica v Španělsku,[10] taktéž i problémy s dopravou, když byly napadeny železniční počítače Deutsche Bahn[11] a aerolinky LATAM Airlines. Mezi další významné firmy napadeny virem WannaCry jsou Renault, FedEx[12] nebo Sberbank.[13]

Virus byl zaznamenán i na Slovensku, kde zasáhl Fakultní nemocnici v Nitře.[14]

Reference

V tomto článku byl použit překlad textu z článku WannaCry na slovenské Wikipedii.

  1. Cyber-attack: Europol says it was unprecedented in scale. BBC News [online]. 2017-05-13 [cit. 2017-05-17]. Dostupné online. (anglicky) 
  2. Global alert to prepare for fresh cyber attacks. www.ft.com [online]. [cit. 2023-09-05]. Dostupné online. 
  3. NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history. The Telegraph [online]. Dostupné online. (anglicky) 
  4. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser. MSPoweruser [online]. 2017-05-13 [cit. 2017-05-17]. Dostupné online. (anglicky) 
  5. https://nakedsecurity.sophos.com/2017/05/25/wannacry-the-rush-to-blame-xp-masked-bigger-problems/ – WannaCry: the rush to blame XP masked bigger problems
  6. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica [online]. [cit. 2017-05-17]. Dostupné online. (anglicky) 
  7. Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com [online]. [cit. 2017-05-17]. Dostupné online. (anglicky) 
  8. Twitter Status zamestnankyne Windowsu. Twitter [online]. [cit. 2017-05-17]. Dostupné online. (slovensky) 
  9. MARSH, Sarah. The NHS trusts hit by malware – full list. The Guardian [online]. 2017-05-12 [cit. 2017-05-17]. Dostupné online. ISSN 0261-3077. (anglicky) 
  10. JANÉ, Carmen. Un ataque informático masivo con 'ransomware' afecta a medio mundo. El Periódico [online]. 2017-05-12 [cit. 2017-05-17]. Dostupné online. (španělsky) 
  11. Hacker-Angriff: Weltweite Cyberattacke trifft Computer der Deutschen Bahn. Frankfurter Allgemeine Zeitung [online]. 2017-05-13 [cit. 2017-05-17]. Dostupné online. ISSN 0174-4909. (německy) 
  12. Subscribe to read. www.ft.com [online]. [cit. 2017-05-17]. Dostupné online. (anglicky) 
  13. LIY, Macarena Vidal. Putin culpa a los servicios secretos de EE UU por el virus ‘WannaCry’ que desencadenó el ciberataque mundial. EL PAÍS [online]. 2017-05-15 [cit. 2017-05-17]. Dostupné online. (španělsky) 
  14. Hackerský útok zasiahol aj Fakultnú nemocnicu v Nitre. www.etrend.sk [online]. [cit. 2017-05-17]. Dostupné online. (slovensky) 

Externí odkazy

  • Obrázky, zvuky či videa k tématu WannaCry na Wikimedia Commons

Média použitá na této stránce

감염사진.png
Autor: 황승환, Licence: CC BY-SA 4.0
랜섬웨어에 감염된 모습이다.