Experti z brněnského Greycortexu: WannaCry nás překvapil svou agresivitou v síti

O ransomwarové vlně toho již byly napsány tuny a souhrnný článek si můžete přečíst i u nás na Živě.cz, za zmínku ale stojí i zkušenosti českého Greycortexu, který se zabývá podrobnou analýzou komunikace v síti a to pomocí prvků A.I.

Výzkumníci z brněnského startupu spustili virus ve virtuálním prostředí a sledovali, jak se bude chovat. „Překvapilo nás, že se tento ransomware v síti chová velmi neobvykle až agresivně. Kromě jednodušeji odhalitelných metod jako je skenování portu 445, jsme detekovali celou sérii anomálií jako pokusy o připojení k více než 4 000 zařízením v celkem 175 zemích během pouhých 5 minut,“ popisuje Michal Šrubař z Greycortexu.

Klepněte pro větší obrázek
WannaCry právě zašifroval soubory na Windows. Ale jen v sandboxu virtualizovaných Windows.

Jak už vyšlo najevo během víkendu, ransomware se po prvním spuštění pokusí spojit s doménou iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (80/tcp), a pokud druhá strana odpoví, malware zůstane nečinný. Autoři si tedy připravili zadní vrátka pro plošnou deaktivaci a díky zabrání této domény se podařilo první vlnu malwaru pozastavit.

Výzkumníci z Greycortexu doménu na firewallu zablokovali, aby se virus aktivoval, a sledovali, co se bude dít dál. Ransomware začal šifrovat soubory a ověřil konektivitu do internetu pokusem o připojení na doménu youtube.com.

Dále se už virus pokusil šířit dál skrze lokální síť a internet a to pomocí všemožnými záškodníky oblíbené služby MS-DS (Microsoft Directory Services) a zranitelnosti MS17-010. Během pouhých pěti minut se infikované zařízení pokusilo zaútočit na více než 4 000 dalších počítačů a obešlo oněch 175 zemí světa.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Po spuštění se WannaCry pokoušel šířit dál na tisíce zařízení internetu

V interní síti se pokusil virus otevřít port 445/tcp a úspěšně začal šifrovat soubory na dalším počítači v LAN. Ransomware také stáhl potřebné soubory z dist.torproject.org, aby mohl komunikovat s anonymizační sítí TOR. Tato síť se v případě ransomware často používá k výměně klíčů, které používá k šifrování úložišť.

Zbytek už znáte. Na každém zašifrovaném počítači virus zobrazil dialog o úspěšném útoku a s žádostí o zaplacení výkupného. A to s varováním, že pokud bitcoinový obnos nedorazí na zadanou adresu v dané lhůtě, pokuta se zdvojnásobí.

Klepněte pro větší obrázek
Aktivita WannaCry, jak ji ve svém monitorovacím systému zachytil GreyCrotex

Greycortex se snaží vyvinout takovou analýzu sítě, aby došlo k odhalení podivného chování některých klientů dostatečně rychle před samotnou nákazou. Software tedy neustále analyzuje veškerý tok a pomocí prvků strojového učení odhaluje podobné anomálie.

Diskuze (6) Další článek: Podívejte se, jak vypadá čínská „klikací farma“ na falešné hodnocení mobilních aplikací a sociálních účtů

Témata článku: Software, Microsoft, YouTube, Windows, Internet, Umělá inteligence, Strojové učení, Malware, Antivirus, Ransomware, Doména, WannaCry, Kauzy, Aféry, První vlna, Podrobná analýza, WAN, Zašifrovaná data, Síť, Virus, Greycortex, Bitcoinový, Monitorovací systém, Zašifrovaný data, Úspěšný útok


Určitě si přečtěte

Mírumilovná Pilsneria čelila největšímu kybernetickému útoku v dějinách

Mírumilovná Pilsneria čelila největšímu kybernetickému útoku v dějinách

** Počítačové systémy Pilsnerie kolabují! ** Nejprve zaútočil hurikán Mozkyto, pak Sauronia ** Naštěstí jen během cvičení Cyber Czech 2018

Jakub Čížek | 6

Zbavujeme se Googlu: vybíráme nejlepší alternativy, které nahradí jeho služby

Zbavujeme se Googlu: vybíráme nejlepší alternativy, které nahradí jeho služby

** Google nabízí spoustu služeb, ale většina z nich má i dobré alternativy ** Pokud z nějakého důvodu nechcete používat služby Googlu, nemusíte ** Připravili jsme přehled služeb, kterými lze ty od Googlu nahradit

Karel Javůrek, David Polesný | 89

Podívejte se, co se stane, když dron DJI Phantom narazí do křídla letadla

Podívejte se, co se stane, když dron DJI Phantom narazí do křídla letadla

** Co se může stát, když relativně maličký dron narazí do křídla letadla? ** Tuto otázku zodpověděli odborníci laboratorním pokusem ** Kvadrokoptéra způsobila významné poškození křídla

Karel Kilián | 17

Pojďme programovat elektroniku: Když už vás ten chumel součástek prostě nebaví

Pojďme programovat elektroniku: Když už vás ten chumel součástek prostě nebaví

** Levné cetky z Asie stojí dolar ** Postavíte s nimi skoro vše od teploměru po spínač zavlažování ** Má to ale jeden háček. Bude to ošklivé a povětšinou nekvalitní

Jakub Čížek | 16

Chytré prkno Mui a dalších šest projektů z Kickstarteru, které nejsou úplně pitomé

Chytré prkno Mui a dalších šest projektů z Kickstarteru, které nejsou úplně pitomé

** Kickstarter je plný neúspěšných projektů ** A pak tam jsou ty, které splnily cíl hned několikanásobně ** Tyto patří k těm nejúspěšnějším za poslední dva měsíce

Jakub Čížek | 16

Pojďme programovat elektroniku: Kamera pro Arduino i Raspberry Pi, která vidí

Pojďme programovat elektroniku: Kamera pro Arduino i Raspberry Pi, která vidí

** Představte si robotické autíčko s kamerou ** S kamerou, která opravdu vidí věci ** Na trhu je jich několik a my si dnes vyzkoušíme americkou Pixy2

Jakub Čížek | 12


Aktuální číslo časopisu Computer

Odhalte skryté funkce Windows 10

Test levných Androidů do 4 000 Kč

Srovnání úsporných minipočítačů

Změřili jsme rychlost 10Gb/s ethernetu