Ransomvér WannaCrypt zasiahol svet ako v akčom sci-fi filme počas víkendu, pričom rozširovať sa začal už od piatku. Obeťou sa stali desiatky tisíc, väčšinou firemných, počítačov s operačným systémom Windows. Slovenská spoločnosť ESET venujúca sa vývoju antivírových programov vydala k WannaCrypt niekoľko súhrnných informácií.
Ako WannaCrypt funguje?
Tento typ škodlivého kódu funguje tak, že po infekcii zašifruje alebo zablokuje obsah infikovaného zariadenia a za jeho odšifrovanie alebo odblokovanie požaduje výkupné. Hovorí sa mu ransomware z anglického ransom – výkupné.
Kedy sa to začalo?
Infekcia sa na počiatku začala v piatok šíriť škodlivými e-mailami, keďže sa však správala ako červ, začala neskôr cez sieť a internet vyhľadávať potenciálne obete s nezaktualizovaným operačným systémom.
Neskôr preto obeť nemusela spraviť nič pre to, aby sa infikovala. Stačilo, aby nemala aktualizovaný operačný systém a nemala žiaden bezpečnostný softvér alebo ignorovala jeho varovania alebo bol nastavený zle.
Ide pritom o novšiu verziu škodlivého kódu, ktorý existuje od februára 2017. Informácia o zraniteľnosti unikla, ako už bolo medializované, z americkej NSA. WannaCry škodlivý kód nie je prvým malwarom, ktorý túto zraniteľnosť využíva. Zrejme nebude ani posledným.
Ako sa mohol WannaCrypt rozšíriť?
V prípade infekcie šírenej cez e-maily sú vstupným bodom do firmy väčšinou oddelenia, ktoré sú zvyknuté dostávať správy z externých adries, napríklad finančné, personálne alebo marketingové oddelenia.
Nemá to teda nič spoločné s úrovňou ich intelektu ale skôr so skutočnosťou, že sú zvyknutí dostávať správy vyzerajúce ako faktúry, životopisy, cenové ponuka atď.
Firmy by sa preto nemali venovať len technickej ochrane ale aj školeniam zamestnancov, aby vedeli, ako identifikovať škodlivý e-mail alebo čo robiť, ak už došlo k niečomu podozrivému.
Všetko o ransomvéri WannaCry nájdete už aj na Wikipedii.
Ako je to na Slovensku?
Na Slovensku ESET registruje len niekoľko obetí z radov firiem. Jednou zo známych organizácií je Fakultná nemocnica Nitra.
Treba však podčiarknuť, že firmy nemajú oznamovaciu povinnosť a skutočný počet obetí sa ani ESET a ani nik iný nedozvie.
Oznamovacia povinnosť začne na území Európskej únie platiť až od mája 2018, vtedy však budú musieť firmy oznamovať prípady, kedy im unikli (napríklad v dôsledku škodlivého kódu) akékoľvek osobné údaje. Za nenahlásenie bude firmám hroziť pokuta.
Zraniteľnosť Windows XP
Microsoft vydal aktualizáciu na túto zraniteľnosť v marci 2017, odvtedy bola preto k dispozícii používateľom podporovaných verzií operačného systému.
Od 8. apríla 2014 ale Windows XP nepatrí k podporovaným operačným systémom, Microsoft preň preto už nevydáva aktualizácie a bezpečnostné záplaty. Jeho verzia Windows XP Embedded SP3, ktorú môžu používať rôzne priemyselné zariadenia, nie je podporovaná od 12. januára 2016.
Výnimočne sa však Microsoft rozhodol vydať aktualizáciu plátajúcu túto zraniteľnosť aj pre Windows XP. Používatelia by sa však nemali spoliehať na to, že Microsoft sa k nepodporovaným verziám svojho operačného systému bude stavať vždy rovnako.
Problémy hlavne vo firmách
Niektoré firmy alebo organizácie sú z finančných dôvodov nútené k tomu, aby Windows XP stále používali. Operačný systém totiž nepotrebujú len počítače a servery ale aj výrobné, zdravotné alebo laboratórne prístroje.
Pri niektorých je veľmi komplikované aktualizovať ich operačný systém (ktorým môže byť aj Windows XP Embedded SP3), v niektorých prípadoch to technicky možné dokonca nie je.
Prípadne majú firmy špeciálny program/programy, ktoré dokážu bežať len na konkrétnom operačnom systéme (napríklad Windows XP) a prechod na novšiu verziu operačného systému môže znamenať finančné náklady aj v podobe nutnosti zakúpenia nových alebo iných verzií programov, ktoré potrebujú na jadro svojej činnosti.
Firemné zariadenie je infikované, čo robiť?
Ak vy alebo niekto z vašich kolegov spustí na svojom zariadení podozrivý súbor, alebo si všimne, že niektoré uložené súbory sa zrazu nedajú otvoriť alebo sa vám zobrazí priamo Ransomware obrazovka, okamžite zariadenie odpojte od internetu, firemnej siete a aj elektrickej siete.
Ak budete jednať rýchlo je podľa ESETu možné, že zastavíte komunikáciu škodlivého kódu so serverom útočníka ešte predtým, než dokončí šifrovanie obsahu zariadenia.
Zašifrovanie celého obsahu zariadenia totiž istý čas trvá. Máte teda šancu celý proces zastaviť. Táto technika nie je stopercentná ale odpojiť zariadenie od internetu a siete je lepšie, než nespraviť nič. Následne kontaktujte IT oddelenie.
Čo so napadnutým počítačom?
Ak už dôjde k zašifrovaniu obsahu zariadenia, dostať sa späť k údajom sa dá len vo výnimočných prípadoch. Záleží to od kvality šifrovania, ktoré útočníci použili.
Bezpečnostní experti hľadajú v škodlivom kóde chyby, ktoré by im mohli pomôcť dostať sa napríklad k dešifrovaciemu kľúču alebo k vytvoreniu takzvaného dekryptora. Preto je v tomto prípade tak dôležití prevencia.
Kvalitné šifrovanie totiž chráni napríklad online nákupy, internetové bankovníctvo alebo e-mailovú komunikáciu. Dekryptor na hrozbu WannaCrypt momentálne celosvetovo nie je k dispozícii.
Riešením je aj výkupné vo výške 300 dolárov alebo eur. To je podľa ESETu relatívne nízke.
ESET deteguje hrozbu WannaCrypt na niekoľkých úrovniach, na sieťovej úrovni pred ňou chráni od 25. apríla. Ochrana od tohto dňa spočívala v tom, že časť ESET softvéru zvaná Network Attack Protection blokovala pokusy o zneužitie zraniteľnosti, ktorá sa stala vstupným bodom pre tento škodlivý kód.
Túto hrozbu však ESET deteguje aj ako škodlivý kód pod názvom Win32/Filecoder.WannaCryptor.D.
Ako sa chrániť pred ransomvérom?
- Neotvárajte prílohy správ od neznámych adresátov prípadne také, ktoré ste vôbec nečakali.
- Varujte kolegov na oddeleniach, ktoré najčastejšie dostávajú e-mailové správy z externého prostredia – napríklad personálne a finančné. Firmy by mali zamestnancov o podobných hrozbách pravidelne školiť, práve cez nich totiž vystavujú svoje systémy nebezpečenstvu.
- Pravidelne zálohujte obsah svojho zariadenia. Aj v prípade úspešnej infekcie sa týmto spôsobom budete môcť dostať k vašim dátam. Externý disk alebo iné úložisko však nemôžu byť neustále pripojené k zariadeniu, inak bude jeho obsah tiež zašifrovaný. V prípade firiem a organizácii by malo byť testované, či a ako rýchlo sa vie firma k zálohe dostať.
- Pravidelne aktualizujte operačný systém a ostatné programy, ktoré na zariadení používate. Ak stále používate už nepodporovaný operačný systém Windows XP, seriózne zvážte prechod na novšiu verziu Windowsu.
- Bezpečnostný softvér používajte nie len s najnovšími aktualizáciami ale ideálne aj jeho najnovšiu verziu. Výrobcovia do novších verzií totiž pridávajú mnoho dodatočných bezpečnostných funkcií. Ak používate bezpečnostný softvér od ESETu, majte zapnutý ESET LiveGrid. Ten totiž lepšie blokuje procesy ransomwaru. Na malware dokáže reagovať skôr, než najnovšia vírusová databáza.
Pozn. redakcie: Portál TECHBOX.sk je partnerom Denníka N, ktorého investormi sú aj šiesti spoluzakladatelia ESETu.