Objavljeni ključi za dekripcijo izsiljevalskega virusa WannaCry

Odkrita je delna rešitev za vse tiste, ki so se okužili z izsiljevalskim virusom WannaCry. Francoski raziskovalci so spisali orodje WanaKiwi, ki pod določenimi pogoji izbrska ključ za dešifriranje podatkov.

Vendar morata biti izpolnjena dva predpogoja:

  • Računalnik po okužbi še ni bil resetiran ali pa ugasnjen in ponovno zagnan.
  • Spomin ni bila alociran z nekim drugim procesom.

Vse, kar morate narediti, je, da si prenesete orodje s spletne strani Githuba in ga v ukazni vrstici poženete na okuženem računalniku. Orodje naj bi delovalo na Windows XP, Windows 7, Windows Vista, Windows Server 2003 in 2008.

Lahko si ogledate video

Oddaja Točka preloma: Kako ranljiva so v času digitalizacije in hekerskih napadov slovenska podjetja?


GUTE-URLS

Wordpress is loading infos from rtvslo

Please wait for API server guteurls.de to collect data from
4d.rtvslo.si/arhiv/tarca/17...

Morda pa se sedaj slovenska podjetja bolj zavedajo področja digitalne varnosti?

Trenutno širjenje WannaCry je ustavljeno

V preteklih dveh dnevih je izsiljevalski virus WannaCry okužil kar precejšno število računalnikov in gre za enega od večjih izbruhov virusa. Virus je, kot sam trdi, po nesreči ustavil 22 letni Britanec, ki je drugače strokovnjak za digitalno varnost. Svoje identitete ni želel razkriti, objavlja pa na Twitterju pod vzdevkom @malwaretechblog. Uspel je najti dele kode virusa na spletu in tako prišel do zaključka, da se virus povezuje z določeno internetno domeno. Avtor izsiljevalskega virusa WannaCry je domeno namreč v kodo vstavil kot “kill switch” oziroma stikalo za uničenje. WannaCry virus je torej ves čas preverjal, ali domena obstaja. Če bi domena obstajala in to informacijo posredovala virusu, bi se ta samouničil. Zato je @malwaretechblog domeno zakupil. Celotno dogajanje si lahko preberete v njegovem blogu.

Vendar pozor, kot je opozoril že @malwaretechblog, hekerji lahko dokaj hitro ugotovijo, kaj je bilo narejeno in v novi verziji virusa lahko kodo spremenijo in tako ustvarijo novo verzijo virusa WannaCry 2.0. Zato vsem priporočam, da posodobite vse računalnike in naprave na zadnje verzije.

Kaj je treba vedeti o Wannacry – ransomware (izsiljevalski virus)

V petek, 12. maja 2017, je bilo veliko podjetij in ustanov napadeno s crypto-ransomware, izsiljevalskim virusom, imenovanim Wannacry. Uporabniki, ki so okuženi z izsiljevalskim virusom Wannacry, ne morejo uporabljati svojih računalnikov, dokler ne plačajo najmanj 300$ v Bitcoinih. Po treh dneh se ta znesek podvoji, po sedmih dneh pa bodo datoteke izbrisane, če odkupnina ne bo plačana. V obvestilu izsiljevalskega virusa tudi piše, da če tega denarja nimate, vam sicer odklenejo zakodirane datoteke brezplačno, toda šele po 6 mesecih 🙂 Wannacry zakriptira datoteke s končnico .WCRY

Kdo je bil napaden z Wannacry?

Veliko podjetij in javnih ustanov je bilo napadenih z Wannacry. Med drugimi v Sloveniji tudi Revoz. Gre za izbruh virusa, ki je napadel več kot 99 držav po svetu. Izsiljevalski virus Wannacry je napadel telekomunikacijska podjetja, podjetja, ki se ukvarjajo z distribucijo plina, javne bolnice, podjetja, ki se ukvarjajo s prodajo električne energije idr.

Trenutno najbolj odmeva napad na zdravstveni sistem National Health Service (NHS) v Angliji, ki je zdravstvo zelo ohromil, tako da so morali celo prestavljati operacije in druge posege.

V Rusiji so bile tarča izsiljevalskega virusa med drugim tudi ruska centralna banka, vlada in železniški sistem. V petek pozno zvečer naj bi napade zabeležilo več ruskih ministrstev in vladnih agencij. Notranje ministrstvo je sporočilo, da je bilo okuženih njihovih tisoč računalnikov. Poizkus okužbe z Wannacry so potrdili tudi v Sberbanki, a so bili ustrezno zaščiteni.

Napadene so bile tudi nemške železnice Deutsche Bahn. Izsiljevalski virus Wannacry je napadel njihove informacijske zaslone in avtomate za vozovnice. Potniki so tvitali fotografije zaslonov, na katerih so bile namesto podatkov o odhodih vlakov zahteve po plačilu odkupnine.

Iz španske Telefonice so sporočili, da je prizadeta oprema pod nadzorom in da jo znova nameščajo.

 

Zakaj je napad Wannacry tako velik?

WannaCry izkorišča napako v Server Message Block (SMB) v operacijskem sistemu Microsoft Windows, ki lahko omogoči oddaljeno izvajanje kode. Microsoft je izdal popravek že marca (MS17-010), vendar pa veliko podjetij še vedno ne posodablja svojih računalnikov dovolj hitro in redno. Drugi problem pa je ta, da veliko podjetij še vedno uporablja Windows XP in Windows server 2003, za katerega pa na voljo ni več uradnih popravkov. Obstaja tudi večje število računalnikov, ki ima nameščene piratske kopije Windows (predvsem na Kitajskem in v Rusiji), na katere se ne da nameščati uradnih popravkov in tako ostaja tak računalnik trajno ogrožen.

Zaradi velikosti izbruha je Microsoft včeraj izdal popravek tudi za Windows XP in Server 2003.

Zakaj se Wannacry širi tako hitro?

Razlog, zakaj se izsiljevalski virus WannaCry širi tako hitro, je v ranljivosti MS17-010, ki omogoča, da se širi kot računalniški črv (worm). Računalniški črvi pa se znajo zelo hitro širiti. WannaCry ima zmožnost, da skenira omrežje in najde druge gostitelje preko EternalBlue ranljivosti, tako da se lahko širi sam, ne da bi uporabnik rabil karkoli narediti na računalniku. 14. aprila so hekerji, znani kot The Shadow Brokers, trdili, da so ukradli programsko opremo WannaCry, ki ga je razvila ameriška obveščevalna agencij NSA.

 

Router Checker

Router Checker je brezplačno spletno orodje, ki preveri nastavitve povezave do interneta vašega usmerjevalnika. Če je vaš usmerjevalnik ni nastavljen pravilno in uporablja nepravilne DNS strežnike, bi to lahko pomenilo, da vam je nekdo spremenil nastavitve usmerjevalnika.

Kot vsaka naprava na vašem domu ali v pisarni, je tudi usmerjevalnik ranljiv za napade.

Test lahko izvedete na naslednji povezavi: Router Cheker