WannaCry ransomware: Prečo sa šíril a ako sa pred takýmto útokom chrániť

Médiá od piatka mohutne informujú o útoku škodlivým kódom Wannacry, ktorý v zahraničí odstavil niekoľko prominentných firiem alebo zdravotných centier. ESET vám preto prináša komplexné informácie o tomto škodlivom kóde a taktiež o tom, ako sa šíril na Slovensku.

  • Na Slovensku registrujeme len niekoľko obetí z radov firiem. Treba však podčiarknuť, že firmy nemajú oznamovaciu povinnosť a skutočný počet obetí sa ani ESET a ani nik iný nedozvie. Oznamovacia povinnosť začne na území Európskej únie platiť až od mája 2018, vtedy však budú musieť firmy oznamovať prípady, kedy im unikli (napríklad v dôsledku škodlivého kódu) akékoľvek osobné údaje. Za nenahlásenie bude firmám hroziť pokuta.

  • Tento typ škodlivého kódu funguje tak, že po infekcii zašifuje alebo zablokuje obsah infikovaného zariadenia a za jeho odšifrovanie alebo odblokovanie požaduje výkupné. Hovorí sa mu ransomware z anglického ransom – výkupné.

  • Infekcia sa na počiatku začala v piatok šíriť škodlivými e-mailami, keďže sa však správala ako červ, začala neskôr cez sieť a internet vyhľadávať potenciálne obete s nezaktualizovaným operačným systémom. Neskôr preto obeť nemusela spraviť nič pre to, aby sa infikovala. Stačilo, aby nemala aktualizovaný operačný systém a nemala žiaden bezpečnostný softvér alebo ignorovala jeho varovania alebo bol nastavený zle.

  • Ide o novšiu verziu škodlivého kódu, ktorý existuje od februára 2017.

  • V prípade infekcie šírenej cez e-maily sú vstupným bodom do firmy väčšinou oddelenia, ktoré sú zvyknuté dostávať správy z externých adries, napríklad finančné, personálne alebo marketingové oddelenia. Nemá to teda nič spoločné s úrovňou ich intelektu ale skôr so skutočnosťou, že sú zvyknutí dostávať správy vyzerajúce ako faktúry, životopisy, cenové ponuka atď. Firmy by sa preto nemali venovať len technickej ochrane ale aj školeniam zamestnancov, aby vedeli, ako identifikovať škodlivý e-mail alebo čo robiť, ak už došlo k niečomu podozrivému.

  • Microsoft vydal aktualizáciu na túto zraniteľnosť v marci 2017, odvtedy bola preto k dispozícii používateľom podporovaných verzií operačného systému - https://technet.microsoft.com/en-us/library/security/ms17-010.aspx . Od 8. apríla 2014 nepatrí Windows XP k podporovaným operačným systémom, Microsoft preň preto už nevydáva aktualizácie a bezpečnostné záplaty. Jeho verzia Windows XP Embedded SP3, ktorú môžu používať rôzne priemyselné zariadenia, nie je podporovaná od 12. januára 2016. Výnimočne sa však Microsoft rozhodol vydať aktualizáciu plátajúcu túto zraniteľnosť aj pre Windows XP - https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ . Používatelia by sa však nemali spoliehať na to, že Microsoft sa k nepodporovaným verziám svojho operačného systému bude stavať vždy rovnako.

  • Niektoré firmy alebo organizácie sú z finančných dôvodov nútené k tomu, aby Windows XP stále používali. Operačný systém totiž nepotrebujú len počítače a servery ale aj výrobné, zdravotné alebo laboratórne prístroje. Pri niektorých je veľmi komplikované aktualizovať ich operačný systém (ktorým môže byť aj Windows XP Embedded SP3), v niektorých prípadoch to technicky možné dokonca nie je. Prípadne majú firmy špeciálny program/programy, ktoré dokážu bežať len na konkrétnom operačnom systéme (napríklad Windows XP) a prechod na novšiu verziu operačného systému môže znamenať finančné náklady aj v podobe nutnosti zakúpenia nových alebo iných verzií programov, ktoré potrebujú na jadro svojej činnosti. 

  • Ak už dôjde k zašifrovaniu obsahu zariadenia, dostať sa späť k údajom sa dá len vo výnimočných prípadoch. Záleží to od kvality šifrovania, ktoré útočníci použili. Bezpečnostní experti hľadajú v škodlivom kóde chyby, ktoré by im mohli pomôcť dostať sa napríklad k dešifrovaciemu kľúču alebo k vytvoreniu takzvaného dekryptora. Preto je v tomto prípade tak dôležití prevencia. Kvalitné šifrovanie totiž chráni napríklad online nákupy, internetové bankovníctvo alebo e-mailovú komunikáciu. Zoznam dekryptorov, ktoré má k dispozícii ESET, nájdete na tejto stránke. Dekryptor na hrozbu Wannacry momentálne celosvetovo nie je k dispozícii.

  • Výkupné vo výške 300 dolárov alebo eur je relatívne nízke, stretávame sa skôr s výkupným v digitálnej mene bitcoin, ktoré po prepočítaní na eurá môže dosahovať sumy väčšinou 600-1000 eur. Jedným z rekordným čísiel bolo zrejme výkupné vo výške 200-tisíc eur, išlo o ransomware útočiaci na operačný systém Linux. Útočníci však aj po zaplatení neboli technicky schopní pomôcť svojej obeti.

  • ESET deteguje hrozbu WannaCry na niekoľkých úrovniach, na sieťovej sme pred ňou chránili od 25. apríla. Ochrana od tohto dňa spočívala v tom, že časť nášho softvéru zvaná Network Attack Protection blokovala pokusy o zneužitie zraniteľnosti, ktorá sa stala vstupným bodom pre tento škodlivý kód. Túto hrozbu však detegujeme aj ako škodlivý kód pod názvom Win32/Filecoder.WannaCryptor.D.

  • Informácia o zraniteľnosti unikla, ako už bolo medializované, z americkej NSA. Wannacry škodlivý kód nie je prvým malwarom, ktorý túto zraniteľnosť využíva. Zrejme nebude ani posledným.

Pred ransomwarom sa dá účinne chrániť týmito opatreniami:

  • Neotvárajte prílohy správ od neznámych adresátov prípadne také, ktoré ste vôbec nečakali.

  • Varujte kolegov na oddeleniach, ktoré najčastejšie dostávajú e-mailové správy z externého prostredia – napríklad personálne a finančné. Firmy by mali zamestnancov o podobných hrozbách pravidelne školiť, práve cez nich totiž vystavujú svoje systémy nebezpečenstvu.

  • Pravidelne zálohujte obsah svojho zariadenia. Aj v prípade úspešnej infekcie sa týmto spôsobom budete môcť dostať k vašim dátam. Externý disk alebo iné úložisko však nemôžu byť neustále pripojené k zariadeniu, inak bude jeho obsah tiež zašifrovaný. V prípade firiem a organizácii by malo byť testované, či a ako rýchlo sa vie firma k zálohe dostať.
  • Pravidelne aktualizujte operačný systém a ostatné programy, ktoré na zariadení používate. Ak stále používate už nepodporovaný operačný systém Windows XP, seriózne zvážte prechod na novšiu verziu Windowsu.

  • Bezpečnostný softvér používajte nie len s najnovšími aktualizáciami ale ideálne aj jeho najnovšiu verziu. Výrobcovia do novších verzií totiž pridávajú mnoho dodatočných bezpečnostných funkcií. Ak používate bezpečnostný softvér od ESETu, majte zapnutý ESET LiveGrid. Ten totiž lepšie blokuje procesy ransomwaru. Na malware dokáže reagovať skôr, než najnovšia vírusová databáza.

Firemné zariadenie je infikované, čo mám robiť?
  • Ak vy alebo niekto z vašich kolegov spustí na svojom zariadení podozrivý súbor alebo si všimne, že niektoré uložené súbory sa zrazu nedajú otvoriť alebo sa vám zobrazí priamo Ransomware obrazovka, okamžite zariadenie odpojte od internetu, firemnej siete a aj elektrickej siete. Ak budete jednať rýchlo je možné, že zastavíte komunikáciu škodlivého kódu so serverom útočníka ešte predtým, než dokončí šifrovanie obsahu zariadenia. Zašifrovanie celého obsahu zariadenia totiž istý čas trvá. Máte teda šancu celý proces zastaviť. Táto technika nie je stopercentná ale odpojiť zariadenie od internetu a siete je lepšie, než nespraviť nič. Následne kontaktujte IT oddelenie.