Péntek óta folyamatosan jönnek a híradások egy újabb zsarolóvírusról, amely a Windows egy márciusban befoltozott sérülékenységén keresztül terjed. Az SMB távoli kódfuttatást lehetővé tevő hibáját használja ki a féregszerű terjedésre is képes WannaCry (további elnevezései:  WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) kártevő robbanásszerűen ért el a világ minden tájára és ejtett fogságba a windowsos gépek százezreit három nap leforgása alatt. A ramsonware, azaz az adatokat túszul ejtő program 300 dollárnak megfelelő Bitcoinért szabadítható fel, ha hinni lehet a vírust író gazfickóknak.

Pénteken a nagyobb brit lapok és tévék élőben számolnak be az események alakulásáról: néhány órája indult meg egy masszív kibertámadás az angol, és részben a skót, egészségügyi intézmények (National Health Service – NHS) informatikai rendszerei ellen, melyben a hozzáférést lezáró zsarolóvírus került a számítógépekre. A támadók pénzt követelnek a hozzáférés helyreállításáért, a híradások szerint egyes helyeken fizettek, és ezek után helyreállt a korábbi állapot.

A kórházak és egészségügyi intézmények egy részében át kellett alakítani a programot, meg kellett szakítani a normál munkavégzést, például műtéteket halasztottak el, leálltak a tesztek, az adatok feldolgozása és elemzése – ahol szükséges volt, a halaszthatatlan feladatokat manuálisan, számítógép használata nélkül, például papír és toll segítségével végezték el.

Nemrég olyan tudósítások is érkeztek, hogy a támadás kiszélesedett, és a világ többi részén is megjelent a néhány hete felfedezett, Wanna Decryptor nevű malware frissített, még nem elemzett változata, például Spanyolországban és Oroszországban.

A hétvége folyamán folyamatosan érkeznek híradások, egyre több új információ lát napvilágot. Ezek a következők:

• A vírust terjesztő kampány alapjaiban nem különbözik a ransomware-ek terjesztésének hagyományos módszereitől, illetve gyakorlatától (e-mailben érkezik a kártékony kód), a különlegességét főként a kihasznált hiba jellegéből adódóan a fertőzések terjedésének sebessége adja – valamint az, hogy a Wanna Decryptor nemrég felfedett malware egy frissített változatáról van szó, ami némileg megnehezíti a védekezést és a helyreállítást.

• A támadás a Windows rendszerek ellen irányul, a Kaspersky elemzése szerint a Shadowbrokers április 14-én tette közzé a sebezhetőséget kihasználó exploitot („EternalBlue”), a sérülékenység javítását a Microsoft március 14-én adta ki – vagyis elsősorban azok az intézmények lehetnek érintettek, akik nem alkalmazták a frissítést, bár a Kaspersky szerint a javítás sem garancia.

• Egyebek mellett, a biztonságilag már nem támogatott, Windows XP és Windows 2003 rendszerek is veszélyben vannak. A probléma nagyságát jól jelzi, hogy a Microsoft a régebbi rendszerekhez is elkészített egy javítást! A javítás így ellenőrizhető.

  Angol nyelvű frissítések: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

  Egyéb nyelvű frissítések: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

• Pénteken késő este a Telenor magyar leányvállalata is jelezte, hogy náluk is megjelent a Wanna Decryptor, de „még időben elkapták”, az ügyfelek semmit sem tapasztalnak meg az üzemzavarból. Mostanra a világ több, mint száz országából jeleztek fertőzéseket, több, mint 200 000 számítógépet érte el a fertőzés 72 óra alatt.

• A Kaspersky jelentésére alapozva a magyar Kormányzati Eseménykezelő Központ (CERT) is kiadott egy figyelmeztetést.

• A támadás eredetéről és céljáról (a pénzszerzés mellett, ami lehet álca is) egyelőre csak találgatások vannak (és persze célzott értelmezések): annyi bizonyos, hogy láthatóan nem a magánfelhasználók a célpontok, vagyis mindenképp lehet valami tervezettséget sejteni mögötte.

Nézhetjük a történteket úgy is, hogy a felhasználók és az üzemeletetők hibáztak, hiszen a frissítés már márciusban elérhető volt a támogatott rendszerekre. Mivel nem telepítették sok helyen a frissítést, mert például a frissítések telepítése le van tiltva, vagy több időt szántak a vállalatok a tesztelésre, és ez zöld utat adott az adott hibát kihasználó támadásnak.

Mi az amit Windows és Linux felhasználóként tehetünk egy ilyen eset megelőzésére?

• Tartsuk frissen a számítógépet, engedélyezzük az automatikus frissítéseket.

• Használjunk támogatott rendszereket. Ha még mindig Windows XP-t vagy Vistát használsz mindenképp válts Linux-ra! Ilyen régi rendszer – ha csak nem hardverkompatibilitás miatt használják – sokkal jobban működhet egy támogatott és megbízható Linux verzióval. A Windowsról áttérők számára például egyszerű lehet a Linux Mint-re váltás. Ha még nem tetted volna, olvasd el cikkeinket a témában és ajánld ismerőseidnek is: A barátságos Linux és  Váltás Windows-ról Linux Mint-re. 

• Ne nyissunk meg levelet ismeretlen feladótól, és olyan levelet sem, amit nem a feladó írhatott. Például angolul nem beszélő ismerősünk nyilván nem ír nekünk angolul levelet.

• A bankok és más szolgáltatók sem keresnek meg embereket, hogy adjanak meg információkat e-mailben magukról, pláne nem a belépéshez szükséges azonosítókat és jelszavakat.

• Mindig ellenőrizzük a weboldalak címét a címsorban és a tanúsítványait.

• Ne töltsünk le semmit és ne telepítsünk alkalmazásokat nem megbízható forrásból.

• Vegyük komolyan a böngésző figyelmeztetését, ha veszélyes oldalt, vagy káros sletöltött állományt jelez.

• Használjunk tűzfalat és vírusvédelmi megoldásokat. Hiába okoznak ezek a termékek kényelmetlenségeket, biztonságunk érdekében alkalmazzuk őket. Telkeinket is körülkerítjük, lakásainkat is bezárjuk? Miért hagynánk fontos információkat tartalmazó számítógépünket kiszolgáltatva – ez a felfogás sajnos még nem honosodott meg a felhasználók között.

• Legyen legalább heti teljes mentés az adatokról és napi inkrementális mentés, illetve két helyen legyenek mentve a fontos adatok.

• Kételkedjünk minden tartalomban, amit az interneten találunk. Még ebben a hírben is :D

Forrás: ITcafé (1, 2)

A Kormányzati Eseménykezelő Központ tájékoztatása:

Angol cím:  WannaCry ransomware CERT-Hungary ID:  CH-14033 Felfedezés dátuma:  2017-05-12 Összefoglaló: 

Az Kaspersky Lab’s elemzése egy WannaCry nevű zsaroló kártevőt azonosított. A Wannacry a Windows rendszereket célzó káros kód, amely a felhasználó fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Leírás: 

Elemzésük szerint a WannaCry egy SMBv1 távoli kódfuttatást kezdeményez a Microsoft Windows rendszerben. A titkosítást követően a fájlok ".WCRY" kiterjesztést kapnak.

Egy EternalBlue nevű exploit vált elérhetővé a Shadowbrokers csoport által megszellőztetett kódok révén április 14-én, bár a Microsoft, az exploit által kihasznált sérülékenységeket már március 14-én javította. Ennek ellenére úgy tűnik, hogy számos vállalati környezetben sem frissítették a rendszert.

Ezt támasztja alá, hogy előbb a Spain’s Computer Emergency Response Team CCN-CERT tett közzé egy hírt spanyol szervezetek elleni kiterjedt ransomware támadásról, majd az Egyesült Királyságbeli National Health Service (NHS) adott ki egy figyelmeztetést, amelyben 16 egészségügyi intézményben bekövetkezett ransomware fertőzésről tettek jelentést. 

További fertőzésről érkeztek hírek számos országból, mint pl. Ukrajna, Oroszország, India.

Az alábbi kiterjesztésű fájlokat titkosítja a WannaCry:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

A támadáshoz köthető C2 IP-k:

• 188[.]166[.]23[.]127
• 193[.]23[.]244[.]244
• 2[.]3[.]69[.]209
• 146[.]0[.]32[.]144
• 50[.]7[.]161[.]218
• 217.79.179[.]77
• 128.31.0[.]39
• 213.61.66[.]116
• 212.47.232[.]237
• 81.30.158[.]223
• 79.172.193[.]32
• 89.45.235[.]21
• 38.229.72[.]16
• 188.138.33[.]220

Hivatkozások:  Egyéb referencia:https://securelist.com/blog/incidents/78...
Egyéb referencia:https://www.us-cert.gov/ncas/current-act...
Egyéb referencia:https://support.microsoft.com/en-us/help...
Egyéb referencia:https://technet.microsoft.com/en-us/libr...
Egyéb referencia:http://tech.cert-hungary.hu/tech-blog/17...
Egyéb referencia:http://blog.talosintelligence.com/2017/0... Megoldás:  Megelőző intézkedések:

• Készítsen biztonsági mentést rendszeréről, amelyet offline tároljon!
• Telepítse a MS17-010 Microsoft biztonsági frissítést.
• A nem támogatott verziójú Microsoft Windows rendszerekhez (Windows XP-t, Windows Vista, Windows 8, Windows Server 2003) az alábbi hivatkozásról tölthetők le a javítások: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
• Az SMBv1 tiltása.

Érintett verziók:  Microsoft Windows Érintett rendszerek

• Windows
• Microsoft

Hatás

• Loss of availability (Elérhetőség elvesztése)
• Loss of confidentiality (Bizalmasság elvesztése)
• Loss of integrity (Sértetlenség elvesztése)

Súlyosság

• Közepes

Szükséges hozzáférés

• Remote/Network (Távoli/hálózat)

Támadás típusa

• Deny of service (Szolgáltatás megtagadás)
• Manipulation of data
• Ransomware
• Trójai