Η Εθνική Υπηρεσία Υγείας της Αγγλίας (NHS) και η Telefonica, ένας από τους μεγαλύτερους
παρόχους τηλεπικοινωνιών στον κόσμο, έδωσαν εκθέσεις δηλώνοντας ότι τα
συστήματά τους έχουν τεθεί υπό τη τροχιά ενός ransomware που η Malwarebytes ανιχνεύει ως Ransom.WanaCrypt0r. Το ransomware έχει επίσης παρατηρηθεί σε εταιρείες στην Ισπανία, τη
Ρωσία, την Ουκρανία και την Ταϊβάν.
Το ransomware
εξαπλώνεται (αφού ο χρήστης βάλει το χέρι του και ανοίξει κάποιο e-mail ή εγκαταστήσει κάποιο κακόβουλο
λογισμικό καταλάθος) χρησιμοποιώντας μια γνωστή και patched ευπάθεια ( MS17-010 ) που προήλθε από μια διαρροή
της NSA. Η έρευνά μας
δείχνει ότι η κρυπτογράφηση γίνεται με RSA-2048. Αυτό σημαίνει ότι η
αποκρυπτογράφηση θα είναι αδύνατη, εκτός αν οι κωδικοποιητές έχουν κάνει κάποιο
λάθος που δεν έχουμε βρει ακόμα.
Τα αρχεία που κρυπτογραφούνται από το συγκεκριμένο
ransomware, έχουν τις παρακάτω μορφές.
Με
λίγα λόγια, κρυπτογραφήθηκαν από έγγραφα word μέχρι τραγούδια και εικόνες. Αλλά
και πρότζεκτς προγραμματιστικού χαρακτήρα.
Συμβουλή μας είναι πως τα συστήματά μας πρέπει να είναι
πάντα ενημερωμένα, τουλάχιστον μια φορά την εβδομάδα πρέπει να τρέχουμε το
Windows Update και να σκανάρουμε το σύστημά μας. Η καλύτερη λύση για να
αποφύγουμε προβλήματα σαν και αυτά είναι η έγκαιρη πρόβλεψη. Όταν τα αρχεία μας
κρυπτογραφηθούν, τότε είναι πλέον αργά.
Οι ερευνητές της Cisco παρατήρησαν για πρώτη φορά αιτήματα
για ένα από τα domains του WannaCry (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea
[.] Com) ξεκινώντας από τις 07:24 UTC, έπειτα χτυπόντας κορυφή λίγο πάνω από
1.400 σχεδόν 10 ώρες αργότερα. Η σύνθεση του τομέα φαίνεται σχεδόν
πληκτρολογούμενη από άνθρωπο, με τους περισσότερους χαρακτήρες να προέρχονται
από τις σειρές ενός σπιτικού πληκτρολογίου.
Η παραπάνω υπορουτίνα επιχειρεί ένα HTTP GET σε αυτόν τον τομέα και
εάν αποτύχει, συνεχίζει να πραγματοποιεί τη μόλυνση. Ωστόσο, αν πετύχει, η
υπορουτίνα εξέρχεται. Ο τομέας είναι καταχωρημένος σε μια καλά γνωστή
καταβόθρα, προκαλώντας αποτελεσματικά αυτό το δείγμα να τερματίσει την
κακόβουλη δραστηριότητα του.
https://secnews.gr/