Od pátku jsou zpravodajská média plná zpráv o masivním hackerském útoku, jenž ochromil nemocnice i úřady. Svým rozsahem se vlna malwaru, který je nazýván jako WannaCry (Wcry, WannaCrypt), příliš nevymyká od standardních a každodenních útoků, jenže typ šířeného malwaru dělá z WannaCry viditelný problém, jehož důsledky jsou hmatatelné i pro běžného uživatele. Jde totiž o tzv. ransomware, který má za úkol zašifrováním znepřístupnit uživatelská data a za jejich obnovení požadovat výkupné.
Neviditelná nákaza
Ransomware je typem škodlivého softwaru, který v posledních letech zažívá obrovský nárůst popularity mezi útočníky. Setkáváme se s ním již dlouhou dobu, nicméně až nyní jsou k dispozici nástroje, které jeho provozování velmi zjednodušují. Jsou jimi jak anonymní kryptoměny, které umožňují útočníkům získat obtížně vysledovatelné finanční prostředky, tak rozšíření open-source platforem, které umožňují vytvořit škodlivý software i méně zdatným uživatelům.
A pokud se k tomu připojí cesta pro rychlé šíření nákazy jako v případě WannaCry, je na globální problém zaděláno. Právě zde najdeme největší zbraň aktuální vlny – šíří se díky chybě v protokolu SMB, který je určen pro síťovou komunikaci počítačů, tiskáren i dalších zařízení. Zajímavostí je, že chybu objevila a využívala americká agentura NSA – nástroj se však před několika měsíci dostal do rukou hackerům, kteří jej využili pro vytvoření WannaCryptu.
Ransomware
Co je to? Typ malwaru, který má za úkol zašifrovat veškeré důležité soubory uživatele, čímž jsou znepřístupněny. Obnovení je podmíněno zaplacením výkupného skrz platbu Bitcoiny. Ani po platbě většinou nejsou data uživateli zpřístupněna.
Jak se bránit? Podobně jako u dalších typů malwaru zde platí obecné zásady – neotvírat podezřelé přílohy e-mailů, a především aktualizovat systém. O to by se v ideálním případě měly starat automatické aktualizace, které by uživatel neměl vypínat.
Co dělat při napadení? Pokud se jedná o některý ze známých vzorků, pak může být k dispozici nástroj pro dešifrování. Jejich seznam najdete například na webu Kaspersky. V opačném případě se budete muset s daty rozloučit. Platit výkupné útočníkům nedoporučujeme.
Microsoft ví o chybě minimálně od března, kdy pro systémy Windows vydal bezpečnostní záplaty. Bohužel však velké množství uživatelů a především institucí svoje systémy neaktualizují a nechávají tak otevřenou cestu pro napadení malwarem.
To přitom může proběhnout prakticky neviditelně – uživatel ani nemusí otevřít nebezpečnou přílohu v e-mailu. Stačí jediný napadený počítač v síti, který právě díky chybě v SMB distribuuje ransomware dál. Pokud navíc není síť chráněna firewallem a nachází se v ní zařízení s otevřenými porty 139 či 445, může dojít k napadení i z vnějšího internetu.
Jak se bránit?
Obrana před útokem tohoto malwaru je stejná, jako u většiny dalších – aktualizujte svůj systém. Nevypínejte automatické aktualizace operačního systému ani dalších součástí jako je prohlížeč nebo instalované aplikace. Automatické aktualizace vás sice možná budou štvát nevhodným restartováním počítače, výměnou za to ale máte mnohem menší šanci, že se malwarem nakazíte a přijdete o svoje data.
I další rada je obecná a měla by platit vždy – buďte ostražití a neotvírejte podezřelé přílohy e-mailů. I v případě WannaCry byla na počátku vlna e-mailových zpráv obsahující malware v příloze. Až následně se díky nezáplatovaným počítačům mohl rychle rozšířit především v lokálních sítích.
Jste-li paranoidní, můžete zakázat sdílení souborů pomocí SMB 1.0/CIFS. Plně však bude dostačovat instalace všech aktualizací Windows
Pokud si chcete být stoprocentně jistí, že váš systém nebude napaden pomocí exploitu v protokolu SMB, pak můžete deaktivovat jeho problémové části – sdílení pomocí SMB 1.0/CIFS. Můžete proto zamířit do nabídky Programy a funkce v Ovládacích panelech a zde zvolit možnost Zapnout nebo vypnout funkce systému Windows. Tady najděte položku Podpora pro protokol sdílení souborů SMB 1.0/CIFS. Tento postup by ale měli volit jen nejparanoidnější uživatelé, zbytku bude stačit instalace zmíněných aktualizací.
Co dělat při napadení?
Podle bezpečností společnosti Eset byly napadeny asi dvě stovky počítačů také v Česku. Na tuzemské úrovni se tak jedná o marginální problém, který si však především napadením britské národní zdravotní služby vysloužil mediální pozornost.
S novými mutacemi malwaru se nicméně dá předpokládat, že obětí bude přibývat v Česku i ve světě. Při napadení počítače ransomwarem má aktuálně uživatel jen velmi malou šanci, že se ke svým zašifrovaným souborům dostane – dešifrovací nástroj pro WannaCrypt totiž ještě neexistuje.
Útočníci požadují za zpřístupnění souborů částku asi 300 dolarů (7 200 korun) prostřednictvím platby v Bitcoinech. Nicméně šance, že soubory budou po zaplacení výkupného reálně dešifrovány je minimální. Pokud tedy nejste opravdu zoufalí a nechcete přistoupit na hru útočníků, výkupné rozhodně neplaťte – o peníze přijdete, ale data velmi pravděpodobně nezískáte.
Ideální případ pro napadeného uživatele nastane, pokud svůj systém pravidelně a s dostatečnou frekvencí zálohuje. Díky tomu může sáhnout po reinstalaci systému a následné obnově dat. Tady je paradoxně nejjistější zálohou ta, která probíhá manuálně například na externí disk. V případě síťové zálohy totiž existuje riziko, že bude zašifrováno zálohovací zařízení, nebo budou zálohy přepsány již zašifrovanými soubory.
Pokud zálohy neexistují, pak uživatel o svá data přišel minimálně do doby, než vznikne dešifrovací nástroj. Ty jsou pro nejrozšířenější kryptovací nástroje bezpečnostními skupinami vydávány. Běžný uživatel tak může do té doby použít pro instalaci systému nový disk a později se pokusit o dešifrování toho původního. Na úrovni podnikových sítí je však něco podobného nereálné.
Technikálie na pozadí
Pro běžné uživatele je hlavní zprávou to, že pokud mají záplatovaný systém, nebezpečí ze strany WannaCrypt jim nehrozí. Těm pokročilejším potom můžeme nabídnout také některé podrobnosti o této konkrétní infekci.
Jednou ze zajímavostí je například to, jak byla zastavena první vlna útoku. V kódu totiž byla funkce, která umožňovala útočníkům další šíření zastavit, a to jednoduchou metodou. Malware se snažil komunikovat s adresou iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Pokud spojení nebylo navázáno, malware dál běžel a mohl se tak šířit a šifrovat další data. Nicméně jeden z expertů, kteří se WannaCryptu věnovali, po reverse-engineeringu tuto doménu zaregistroval a všechny napadnuté stroje s ní začaly komunikovat, čímž byl běh programu přerušen.
Touto cestou tak bylo zastaveno první šíření malwaru a kromě toho díky tomu mohla vzniknout mapa napadených strojů, které se na nezvyklou doménu tázaly. Další verze, které se objevily během víkendu však žádnou podobnou funkci neobsahují.
Mapa zobrazující napadané počítače v reálném čase. Najdete ji na webu Malwaretech.com
Zajímavý bude také pohled na tři bitocinové peněženky, které se nejčastěji objevují v tzv. decryptoru, tedy části malwaru, která má po zapalcení zajistit dešifrování souborů:
Aktuální součet částek je 32,07519263 BTC, tedy asi 54 050 dolarů (1,3 milionu korun). Pokud bychom vzali do úvahy to, že pochází všechny bitcoiny od obětí WannaCryptu, pak by to znamenalo, že zaplatilo asi 180 uživatelů.
WannaCry v Česku a na Slovensku
Jak už bylo zmíněno, podle Esetu se WannaCrypt postaral mezi tuzemskými uživateli asi o dvě stovky zašifrovaných počítačů. V kontextu běžných každodenních útoků je tak WannaCry minimální hrozbou. A to i z toho důvodu, že se do Česka nesměřovala prvotní vlna nebezpečných e-mailů s infikovanými přílohami. V této statistice si můžete prohlédnout nejčastější malware v Česku za poslední týden a Win32/Filecoder.WannaCryptor.D v ní nenajdete.
Útok se nicméně v pátek výrazněji dotkl Slovenska, kde se WannaCrypt rozšířil v síti Fakultní nemocnice v Nitře. Pacienti se tak musí připravit na delší čekání, neboť ani během pondělí nebyl tamní systém kompletně funkční.
