L

WannaCry Ransomware: Ki a felelős a vírus terjedéséért?

Biztos vagyok benne, hogy az elmúlt napokban mindenki hallott a világméretű fertőzésről, a WannaCry terjedéséről. A felhasználók minket kérdeznek, hogyan terjed, hogyan védekezhetünk, egyáltalán ki a felelős ezért.

A vírus egyetlen hétvége alatt nagyjából 200 000 Windows rendszert futtató gépet tett használhatatlanná. Próbálok segítséget nyújtani, hogy se most, se a jövőben ne ess áldozatául egy hasonló támadásnak.

Mi a WannaCry? Hogyan védekezzünk ellene?

Nem ez az első és nem is az utolsó hasonló támadás a világban. De megelőzhető, hogy a jövőben ne ess áldozatául.

Először is kezdjük az alapoktól.

Mi a Ransomware?

A ransomware egy speciális vírus, amely általában SPAM emailekben és kártékony letöltési linkek által terjed. A vírus titkosítja a fájlrendszert, általában a felhasználók számára fontos fájlokat tesz használhatatlanná.

Érintett fájlok

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

Szóval, főleg a felhasználók dokumentumaira, munkájukhoz tartozó fájlokra utazik a vírus. Ezek a fájlok a fertőzés után .wcry kiterjesztést kapnak és egy erős titkosítási módszerrel használhatatlanná válnak, melyet csak a titkosításkor használt kulcs megadásával tudunk feloldani. A ransomware-t pénzszerzési céllal készítik, így a feloldáshoz egy nagyobb összegű, legalább $300-500 értékű befizetést kérnek Bitcoin számlára.

Míg az átlagos vírust a felhasználó telepíti a gépére, addig a WannaCry ettől kicsit okosabb, képes a hálózaton keresztül fertőzni. Emiatt lett az egyik legveszélyesebb vírus. A fertőzést egy a Windowsban található hiba kiaknázása okozza. Ha egyszer megfertőződött egy gép a hálózaton, a program automatikusan keres másik, még nem fertőzött gépeket a hálózaton, emellett folyamatosan véletlenszerű kiszolgálókat keres a neten, hogy gyorsabban tudjon elterjedni.

Mi történt eddig?

Péntek óta, mikor először megjelent a vírus, több kórházat is elért, a teljes informatikai rendszerüket használhatatlanná téve, ezzel is akadályozva a betegfelvételt és a műtétek végrehajtását.

Több szervezetet is térdre kényszerített a vírus.

    1. nap Több mint 90 000 számítógép fertőződött meg 99 országban.
    1. nap Egy biztonsági szakértő sikeres módot talált a fertőzés lelassítására, a Microsoft biztonsági frissítést adott ki - az előző, már nem támogatott rendszerekre is
    1. nap Új WannaCry változatok jelentek meg, melyeket nehezebb megfékezni, így még nehezebb lesz a terjedést megállítani néhány hétig.

Még nincs vége...

Egyáltalán nincs. Ez csak a kezdet. Az első verziókat sikerült megfékezni, de később megjelentek olyan változatok is, melyeket nehezebb megállítani. Emellett aggasztó tény, hogy a későbbi változatokat teljesen más hackerek készítették. Az első támadás "örömére" más csoportok és a "szomszéd Pistikék" is kiadták a saját verzióikat.

Hogyan védekezzünk?

Mindig telepítsd a legújabb frissítésket!

Ha Windows 10-nél korábbi rendszert használsz, akkor a támadásért felelős SMB protokoll engedélyezve van alapértelmezetten. Mindig telepítsd a legújabb frissítéseket, ezáltal a rendszered védve lesz a legújabb felfedezett támadásokkal szemben.

Telepítsd az SMB hibát javító frissítést!

Mivel a vírus pont ezt a hibát képes kihasználni érdemes minél előbb a Microsoft által kiadott frissítést feltelepíteni. A javításokat kiadták minden érintett rendszerre, így a Microsoft által nem támogatott, biztonsági frissítéseket nem kapó rendszerek is megkapták a javítást, beleértve az XP-t, Vistát, 8-at és a Server 2003 és 2008-at is.

Ha windows 10-et használsz, akkor a rendszered védve van ettől a fertőzéstől.

Tiltsd le az SMB protokollt!

Annak ellenére is, hogy telepítetted a javítást, érdemes letiltani az SMBv1 (Server Message Block) protokollt, ami alapértelmezetten engedélyezve van a Windows rendszerekben.

Engedélyezd a tűzfalat és tiltsd le az SMB portokat!

Mindig hagyd bekapcsolva a tűzfalat. Tudom, hogy sokszor egy idegesítő rossz a rendszerben, de sok hasonló támadástól véd meg.

Ha az SMBv1 protokollt bekapcsolva kell hagynod valamilyen oknál fogva, akkor egyszerűen tiltsd le a hozzáférést a porthoz az internetről.

A protokoll a TCP 137, 139 és 445 portokon és az UDP 137 és 138 portokon figyel.

Használj vírusírtót!

Egy jó vírusírtó szoftver, a tűzfalhoz hasonlóan rengeteg támadástól és vírustól képes megvédeni. Itt is, mint a rendszernél mindig fontos, hogy a vírusdefiníciós adatbázisod és a vírusírtó szoftvered folyamatosan frissen legyen tartva.

Majdnem minden vírusírtó fejlesztő cég szoftvere képes blokkolni a WannaCry-t és megvédeni a háttérben való telepítésektől.

Mindig kételkedj!

Ez a mai világban az egyik legfontosabb. Ne bízz meg senkiben az interneten, főleg ismeretlen emailek feladóiban és láthatóan átverésen alapuló hirdetésekben ne.

Rengetegszer elmondom én is, hogy soha ne nyiss meg olyan dokumentumot, programot, melyet emailben váratlanul kaptál. Legtöbbször ezeket nagyobb cégek nevében küldik valamit ígérve vagy számlának álcázva. Mindig ellenőrizd, pontosan kitől kaptad a levelet, az email cím valósnak és a céghez kapcsolhatónak tűnik-e. Én legtöbbször a gmail csapatától kapok emaileket pl xy@dinghuowang.vip email címről. Mindig figyelj a feladóra, és ha úgy érzed, nem kellett volna az adott cégtől email kapnod, vagy nincs rendben valami, ne nyisd meg.

Emellett fontos megjegyezni, hogy soha ne tölts és telepíts olyan programot, vagy appot, ami nem megfelelő forrásból származik.

Mindig készíts biztonsági mentéseket!

A fontos dokumentumaidról mindig készíts biztonsági mentést jól elkülöníthető helyen. Ez annyit jelent, hogy a mentéseid mindig egy külső helyre kerüljenek, mely nem csatlakozik folyamatosan a gépedhez. Mondjuk egy külső merevlemezre ments.

Így, ha megfertőződik a géped, nem fog hozzáférni a biztonsági másolataidhoz.

Mindig légy naprakész

Nem telik el nap anélkül, hogy ne próbálnának meg valamilyen biztonsági rést kihasználni a különböző rendszerekben. Folyamatosan támadják az Android, iOS, Windows, Linux és Mac rendszereket. Emiatt nem csak rendszereinket, de a saját tudásunkat is naprakészen kell tartanunk, így legalább az alap támadások ellen védve lehetünk.

Mit tehetsz, ha megfertőzött a WannaCry?

SEMMIT!

Ha a vírus megfertőzte a gépet, semmit nem tudsz tenni, kivéve, ha kifizeted az adott összeget. Ekkor megkapod a visszaállításhoz szükséges kulcsot.

Bár ez sem biztos

Mindig tartsd szem előtt, hogy ezeket a vírusokat általában pénzszerzési céllal készítik. Tehát nincs rá garancia, hogy megkapod a kulcsot. Erre minden biztonsági szakember felhívja a figyelmet. Mivel a Bitcoin működéséből adódóan a kifizetés azonnali és visszavonhatatlan így nincs rá semmilyen garancia, hogy a kódokat meg is kapjuk. A pénzünket és adatainkat is elveszíthetjük, nincs mód a címzett felkutatására, nem tudjuk a pénzünket visszakérni.

Soha ne fizess!

A fertőzött cégtől függ, hogy az adott adatok számára mennyire értékesek, így mindenki magának dönti el, hogy fizet-e.

De mielőtt meghozod a döntést, tartsd szemelőtt a fentieket. Nincs semmilyen garancia, hogy tényleg visszakapod az adataidat.

Emellett a fizetéssel megerősíted a vírus készítőit, hogy ez a módszer működik. Így még több pénzhez akarnak majd jutni.

Jelenleg már legalább 170-an fizettek, körülbelül 28 Bitcoin értékben, ami nagyjából 48 ezer dollárnyi összegnek felel meg.

Ki felelős a WannaCry támadásáért?

A kérdés nem egyszerű és még több kérdést vet fel.

  • A Microsoft a felelős, mert egy olyan rendszert épített, ami tele van sebezhetőségekkel?
  • Az NSA (Amerikai nemzetvédelmi hivatal) a felelős, mert nem jelentette a megtalált hibát a Microsoftnak, hanem saját célra akarta felhasználni az SMB protokoll sebezhetőségét?
  • Esetleg a Shadow Brokers, a hacker csapat, aki feltörte az NSA szervereit, de nem jelentette a Microsoftnak a talált hibákat, hanem kiadta a saját eszközeit és a sebezhetőségeket publikálta?
  • Vagy a Windows felhasználók, akik nem telepítik a javításokat vagy régi, már nem támogatott rendszereket használnak?

Tényleg nem egyszerű kérdés és több változós, hogy ki az igazi felelős.

A Microsoft az NSA-t/CIA-t hibáztatja

Ezt már többször is olvashattuk, hallhattuk, hogy az NSA nem épp a legetikusabb módon próbálja feltörni a felhasználók számítógépeit.

Az NSA biztonsági szakemberei különböző sebezhetőségeket kutatnak fel, mellyel a háttérből figyelhetik meg a felhasználókat. A WannaCry megalkotásának egyik fő tényezője volt, hogy magát az NSA-t is megtámadták és ellopták a megtalált biztonsági réseket kihasználó eszközöket.

Ezeket a hibákat soha nem jelentik a Microsoftnak, hanem megpróbálják a saját céljaikra felhasználni.

Leoamros

X

Üdv! Ha még személyesen nem ismerjük egymást, Smajda László vagyok, de szólíts csak egyszerűen Laccának vagy Leoamrosnak. Olyan netbúvároknak osztom az észt, akik szárnyaikat próbálgatják a PHP, MySQL, JavaScript világában, és elakadnak valamelyik folyamat során. Főleg a saját tapasztalatokat írom le, ettől függetlenül kérdezhetsz bátran, lehetőségeimhez mérten válaszolok.

Kategóriák
Címkék
Social Media
Eszközök