Internet | Ransomware | Aféry

Experti z brněnského Greycortexu: WannaCry nás překvapil svou agresivitou v síti

O ransomwarové vlně toho již byly napsány tuny a souhrnný článek si můžete přečíst i u nás na Živě.cz, za zmínku ale stojí i zkušenosti českého Greycortexu, který se zabývá podrobnou analýzou komunikace v síti a to pomocí prvků A.I.

Výzkumníci z brněnského startupu spustili virus ve virtuálním prostředí a sledovali, jak se bude chovat. „Překvapilo nás, že se tento ransomware v síti chová velmi neobvykle až agresivně. Kromě jednodušeji odhalitelných metod jako je skenování portu 445, jsme detekovali celou sérii anomálií jako pokusy o připojení k více než 4 000 zařízením v celkem 175 zemích během pouhých 5 minut,“ popisuje Michal Šrubař z Greycortexu.

Klepněte pro větší obrázek
WannaCry právě zašifroval soubory na Windows. Ale jen v sandboxu virtualizovaných Windows.

Jak už vyšlo najevo během víkendu, ransomware se po prvním spuštění pokusí spojit s doménou iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (80/tcp), a pokud druhá strana odpoví, malware zůstane nečinný. Autoři si tedy připravili zadní vrátka pro plošnou deaktivaci a díky zabrání této domény se podařilo první vlnu malwaru pozastavit.

Výzkumníci z Greycortexu doménu na firewallu zablokovali, aby se virus aktivoval, a sledovali, co se bude dít dál. Ransomware začal šifrovat soubory a ověřil konektivitu do internetu pokusem o připojení na doménu youtube.com.

Dále se už virus pokusil šířit dál skrze lokální síť a internet a to pomocí všemožnými záškodníky oblíbené služby MS-DS (Microsoft Directory Services) a zranitelnosti MS17-010. Během pouhých pěti minut se infikované zařízení pokusilo zaútočit na více než 4 000 dalších počítačů a obešlo oněch 175 zemí světa.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Po spuštění se WannaCry pokoušel šířit dál na tisíce zařízení internetu

V interní síti se pokusil virus otevřít port 445/tcp a úspěšně začal šifrovat soubory na dalším počítači v LAN. Ransomware také stáhl potřebné soubory z dist.torproject.org, aby mohl komunikovat s anonymizační sítí TOR. Tato síť se v případě ransomware často používá k výměně klíčů, které používá k šifrování úložišť.

Zbytek už znáte. Na každém zašifrovaném počítači virus zobrazil dialog o úspěšném útoku a s žádostí o zaplacení výkupného. A to s varováním, že pokud bitcoinový obnos nedorazí na zadanou adresu v dané lhůtě, pokuta se zdvojnásobí.

Klepněte pro větší obrázek
Aktivita WannaCry, jak ji ve svém monitorovacím systému zachytil GreyCrotex

Greycortex se snaží vyvinout takovou analýzu sítě, aby došlo k odhalení podivného chování některých klientů dostatečně rychle před samotnou nákazou. Software tedy neustále analyzuje veškerý tok a pomocí prvků strojového učení odhaluje podobné anomálie.

Diskuze (6) Další článek: Podívejte se, jak vypadá čínská „klikací farma“ na falešné hodnocení mobilních aplikací a sociálních účtů

Témata článku: Software, Microsoft, Windows, YouTube, Internet, Umělá inteligence, Malware, Antivirus, Strojové učení, Ransomware, Kauzy, WannaCry, Aféry, Doména, Podivné chování, Interní síť, Agresivita, Celá série, První spuštění, Aktivita, Bitcoinový, Potřebný soubor, Zašifrovaný data, Infikované zařízení, Greycortex


Určitě si přečtěte

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

** Představte si biblickou potopu ** Nejprve zaniknou Děčín a Břeclav, pak i Brno a Praha ** Hlavním městem se stane Jihlava a zbytky Čechů přežijí na Kvildě

Jakub Čížek | 78

10 nejtragičtějších leteckých nehod od roku 2000. Jedna je stále záhadou

10 nejtragičtějších leteckých nehod od roku 2000. Jedna je stále záhadou

** Letecká doprava patří k nejbezpečnějším způsobům cestování ** Čerstvá aféra s Boeingy Max důvěru v bezpečnost létání narušila ** Připomeňme si největší nedávné letecké nehody. Každá ale přispěje k bezpečnosti dalších letů

Karel Kilián | 32

Avast analyzoval počítače uživatelů. K nabušeným superpočítačům mají daleko

Avast analyzoval počítače uživatelů. K nabušeným superpočítačům mají daleko

** Avast prošel telemetrická data od 163 milionů uživatelů ** Zjistil, jaký mají hardware a software ** Mašina průměrného uživatele má k ideálu daleko

Jakub Čížek | 130

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

David Polesný | 38

Chcete zhubnout? Vynechte snídani!

Chcete zhubnout? Vynechte snídani!

** Vydatná snídaně patří přinejmenším půlstoletí k pilířům zdravé výživy ** Jenže lidé po celá tisíciletí nezačínali den tím, že si nacpali břicha a vyrazili za obživou ** Současné výzkumy nedokazují, že by vydatná snídaně pomáhala hubnout

Jaroslav Petr | 50



Aktuální číslo časopisu Computer

Test 9 levných notebooků

Jak na digitalizaci fotek

Otestovali jsme chytré osobní váhy

Ohebné displeje: budoucnost či slepá cesta?