We wrześniu 2016 roku media poinformowały o wycieku poufnych narzędzi NSA (National Security Agency).

Jeden z pracowników pozostawił je na publicznie dostępnym hoście i padły one łupem organizacji o nazwie Shadow Brokers. Zestaw tych narzędzi zawierał m.in. exploity (jeśli nie wiesz co to jest czytaj tutaj)  do urządzeń komunikacyjnych Cisco i Fortinet. Przypuszcza się, że narzędzia te mogły zostać użyte do hakowania organizacji politycznych w ostatnich wyborach prezydenckich w USA.

Narzędzia te zostały wystawione na aukcji w darknecie i najwyraźniej znalazły nabywców. Prawdopodobne jest też to, że zostały udostępnione grupie hakerów w kwietniu tego roku. Szczególnym zainteresowaniem cieszyły się narzędzia zgromadzone w paczce (framework) o nazwie Fuzzbuzz.

WannaCrypt, WanaCrypt, WannaCry, Wannacrypt0r

Kilka dni temu doszło do największego w historii ataku ransomware pod nazwą WannaCrypt, który zainfekował tysiące komputerów w tym komputery w brytyjskiej służbie zdrowia. Wirus szyfrując wszystkie pliki odciął lekarzy od kartotek pacjentów co spowodowało nawet wstrzymanie przyjęć nagłych przypadków do szpitali. Inne dotknięte znane organizacje to FedEx, Deutche Bahn i Telefonica. Na szczęście WannaCrypt ma wiele cech wskazujących na pracę amatorów. W celu aktywacji odwołuje się do nieistniejącej strony www. Wygląda to tak jakby ktoś korzystał z gotowego szablonu i nie potrafił tego zmienić. Odkrył to 22-letni informatyk z UK, który stworzył taką stronę i w ten sposób zablokował aktywację wirusa.

Należy jednak zachować ostrożność bo na Twitterze pojawiają się informacje, że jest przygotowywana udoskonalona wersja tego wirusa. Czy da się przed nim zabezpieczyć? Odpowiedź na końcu artykułu.

W tej chwili możemy się jeszcze cieszyć z udanej obrony przed WannaCrypt ale to może być zaledwie wstęp do kolejnych ataków z wykorzystaniem narzędzi NSA. Jednym z exploitów cieszącym się duzym zainteresowaniem na forach w darknecie jest ETERNALBLUE. Umożliwia on zdalne wykonanie kodu na starszych komputerach. Pomimo, że Microsoft wypuścił poprawkę łatającą tę lukę ocenia się, że liczba komputerów podatnych na ten atak może być ogromna. ETERNALBLUE jest składową wirusa WannaCrypt ale może być wykorzystywany do kolejnych ataków.

To nie pierwszy raz gdy narzędzia stworzone przez amerykańskie służby wpadają w ręce hakerów. Przypomnieć należy wirus stuxnet, stworzony do ataku na irańskie systemy nuklearne, który pozwolił na stworzenie całej gamy pochodnych wirusów, które nękają nas do dzisiaj.

Jak się zabezpieczyć przed wirusami typu ransomware w tym i WannaCrypt:

  • wykonywać kopie istotnych danych na zewnętrznych nośnikach, w przypadku dysków muszą być one cały czas odłączone od komputera bo wirus może szyfrować pliki również na zewnętrznych dyskach
  • nie uruchamiać i nie otwierać załączników do emaili
  • skonfigurować w systemie shadow copies
  • aktualizowac system operacyjny
  • używać systemów odpornych na ataki (Linux, Apple)

Przeciwko wirusowi WannaCrypt pojawiło się oprogramowanie blokujące jego działanie. Program WCRYSLAP można pobrać z GitHub

Program instaluje się w systemie. Uwaga, po zainstalowaniu programu próba jego ponownego zainstalowania spowoduje pokazanie się komunikatu, że system już jest zainfekowany. Niestety po restarcie systemu konieczne jest ponowne uruchomienie WCRYSLAP. Można też w systemie zapisać, że program ten ma się sam uruchamiać przy starcie. Więcej o tym we wpisie Automatyczne uruchamianie programów przy starcie systemu Windows

Jeśli potrzebujesz pomocy w usunięciu ransomware lub chcesz się zabezpieczyć to kliknij TUTAJ

Źródła: [1] [2] [3]

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *