WannaCry: התולעת שאכלה את העולם
אגדות נורדיות עתיקות מדברות על נחש ענקי בשם ג'ורמונגאנדר, כה גדול שהוא מקיף את העולם ומחזיק את זנבו בתוך שיניו.
אגדות פנטסטיות כאלה מתוארות רק במיתוסים, אבל ביום שישי האחרון היינו עדים להולדת "נחש עולמי" דיגיטלי אמיתי, תולעת שהתפשטה עד כה, עד שהיא הקיפה את העולם, מדביקה שירותים כמו הממלכה המאוחדת שירותי בריאות וחברות גדולות בחלקים אחרים של העולם כמו Telefónica בספרד.
למרות המומחים עדיין מנסים להבין איך תולעת זו ממשיכה להתפשט וכיצד להתמודד עם האיום, יש לנו מושג טוב על מה שקרה ואיך אתה יכול לנקוט פעולה כדי למנוע נזק למערכת שלך.
מה קרה?
ב -12 במאי 2017, התקפת סייבר מסיבית התקיימה על ידי חתיכת לא ידועה של ransomware (קרא עוד על ransomware כאן). בסופו של דבר בשם WannaCry, היא הצליחה להדביק 230, 000 מערכות חסר תקדים על פני 150 מדינות באמצעות שילוב של דיוג וניצול של מערכות undatched באמצעות בלוקים מקומיים שרת הודעות (SMB).
את ransomware היה לנעול אותך מתוך הקבצים שלך ולהראות לך מסך (המוצג להלן) כי דרש 300 $ ב Bitcoin בתוך שלושה ימים כדי לקבל בחזרה את הגישה אליהם או אחר המחיר יהיה כפול.
למרות שזה בדרך כלל פועל ransomware, היה קצת תקלה שגרם לה להתפשט אפילו מהר יותר. WannaCry ניצל את הפגם ב- SMB (האחראי על שיתוף קבצים ומדפסות), שאיפשר לה להתפשט למחשבים אחרים באותה תת רשת. זה רק לקח את הזיהום של מחשב אחד בודד לפרוק את הרשת כולה. זה בעצם מה גרם את הזיהום סיוט עבור NHS ומוסדות גדולים אחרים.
אולי דבר אחד נוסף ראוי לציון כאן הוא העובדה כי לנצל SMB נלקח מתוך NSA פריצה Toolkit Toolkit לפני יותר מחודש. דיווחנו על דליפה דומה של קבצים Vault 7 של ה- CIA, אשר גם הכיל מגוון של ניצול לרעה תפקודית שניתן להשתמש בכל רגע נתון על ידי האקרים לכתוב תוכנות זדוניות דומה.
מתג ההרג
כמה חוקר אבטחה ידוע הולך על ידי הכינוי "MalwareTech" רשום תחום שנמצא בתוך הקוד של WannaCry אשר עצר את התפשטות התוכנה. אתה רואה, בכל פעם תוכנות זדוניות יפעל במחשב, זה היה לבדוק אם התחום קיים (זה iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, אגב). אם זה יהיה רשום, תוכנות זדוניות יוכלו להתחבר אליו ובעשותו זה יפסיק מיד להתפשט. נראה כי האקר שכתב את זה רצה לבדוק את המים יש תוכנית חירום במקרה הדברים הולכים להשתולל לחלוטין. זה רגע serendipitous עצר את ransomware מ wreaking יותר הרס ... לפחות לעת עתה.
הנה האמת הקודרת: אין כאן סוף טוב. הידור מחדש את הקוד, ואתה יכול בקלות למצוא את החלקים שבהם היישום קורא פונקציות WinAPI "InternetOpenURLA ()" או "InternetOpenA ()." בסופו של דבר, תוכל לערוך את קטע שבו הוא מנסה להתחבר להרוג דומיין. זה לא דורש מתכנת מיומן באופן יוצא דופן לעשות את זה, ואם כמה האקר מקבל את הרעיון המבריק לעשות גרסה חדשה של WannaCry עם המתג להרוג נערך לפני כולם תיקונים המערכות שלהם, התפשטות ימשיך. עוד האקרים יוזמה אפילו לערוך את החשבון Bitcoin כי התשלומים חייבים ללכת ולעשות רווח חסון.
גרסאות של WannaCry עם תחליפים שונים של החלפת קישורים כבר אותרו בטבע, ועדיין לא אישרנו אם גרסה ללא מתג הפעלה הופיעה.
מה אתה יכול לעשות?
לאור מה שקרה, מיקרוסופט הגיבה במהירות עם תיקונים, אפילו כיסוי גירסאות מערכת ההפעלה לא נתמך כמו Windows XP. כל עוד אתה שומר על המערכת שלך מעודכן, אתה לא צריך לחוות את הזיהום ברמת SMB. עם זאת, עדיין תוכל לסבול מזיהום אם תפתח הודעת התחזות. זכור לעולם לא לפתוח קבצי הפעלה שנשלחו כקובץ מצורף לדוא"ל. כל עוד אתה לממש קצת זהירות אתה צריך להיות מסוגל לשרוד את המתקפה.
באשר למוסדות הממשלה שנתקעו, זה לא יקרה אם הם פשוט יפרידו בין המערכות הקריטיות למשימה שלהם.
האם עלינו לצפות להתקפות נועזות יותר לאחר שהאקרים ינקטו פעולות מנצלות בדליפות האבטחה האחרונות של ארה"ב? ספר לנו מה אתה חושב על תגובה!