[Aktualizacja #3] Podpowiadamy jak zabezpieczyć komputery przed ransomware WannaCry

15 maja, 2017
k,

Jeżeli słyszeliście już o najnowszym krypto-ransomware WannaCry (znanym także jako: WannaCrypt, WanaCrypt0r, WCrypt, Wcry) to lektura ta będzie dla Was konsolidacją zebranych informacji. W przeciwnym razie artykuł ten możecie potraktować jako niezbędną rekomendację dla każdego użytkownika, administratora, informatyka, dyrektora IT. Jednym słowem dla każdej osoby, która odpowiedzialna jest za bezpieczeństwo środowiska pracy w biurze i w domu.

Oto nasze wskazówki, w jaki sposób zabezpieczyć komputery w domu oraz w firmie.

WannaCry

WannaCry 2
Komunikat o zaszyfrowanych plikach w języku polskim.

Co się zdarzyło z moim komputerem?

Twoje ważne pliki są szyfrowane.Wiele dokumentów, zdjęć, filmów, baz danych i innych plików nie jest już dostępnych, ponieważ zostały zaszyfrowane. Być może szukasz sposobu na odzyskanie plików, ale nie marnuj czasu. Nikt nie może odzyskać plików bez naszej usługi odszyfrowywania.

Czy mogę odzyskać moje pliki?

Pewnie. Gwarantujemy, że można odzyskać wszystkie pliki bezpiecznie i łatwo. Ale nie masz tyle czasu.Możesz odszyfrować niektóre z plików za darmo. Spróbuj teraz klikając <Decrypt>.Ale jeśli chcesz odszyfrować wszystkie pliki, musisz zapłacić.Masz tylko 3 dni na przesłanie płatności. Następnie cena zostanie podwojona. Ponadto, jeśli nie zapłacisz za 7 dni, nie będziesz w stanie odzyskać plików na zawsze. Będziemy mieli wolne wydarzenia dla użytkowników, którzy są tak biedni, że nie mogli zapłacić za 6 miesięcy.

Jak mam zapłacić?

Płatność jest akceptowana tylko w programie Bitcoin. Aby uzyskać więcej informacji, kliknij przycisk <About bitcoin>.Sprawdź bieżącą cenę Bitcoin i kup trochę bitcoinów. Aby uzyskać więcej informacji, kliknij opcję <How to buy bitcoins>. Wyślij odpowiednią kwotę na adres podany w tym oknie.Po dokonaniu płatności kliknij <Check Payment>. Najlepszy czas na sprawdzenie: 9:00 – 11:00 GMT od poniedziałku do piątku. Po sprawdzeniu płatności można natychmiast odszyfrować pliki.

Kontakt

Jeśli potrzebujesz naszej pomocy, wyślij wiadomość klikając <Contact Us>.

Zalecamy, aby nie usuwać tego oprogramowania i nie wyłączyć go przez pewien czas, dopóki nie zapłacisz, a płatność zostanie przetworzona. Jeśli program antywirusowy zostanie zaktualizowany i automatycznie usunie to oprogramowanie, nie będzie można odzyskać plików, nawet jeśli zapłacisz!

Początkowy wektor infekcji nie jest do końca znany. Niektóre źródła donoszą o „tradycyjnym” socjotechnicznym ataku z użyciem zainfekowanego załącznika. Nie jest to jednak najistotniejsza informacja. Z punktu widzenia osób odpowiedzialnych za stan integralności, poufności i zabezpieczenia danych ważną kwestią jest to, w jaki sposób rozprzestrzenia się WannaCry:

  • Ransomware wykorzystuje exploit (który wyciekł do sieci) o nazwie EternalBlue na lukę w protokole SMBv1.
  • WannaCry w czasie infekowania plików skanuje sieć LAN w poszukiwaniu kolejnych „komputerów-ofiar” po czym kopiuje się doń i uruchamia szyfrowanie.
  • Uruchomiony w maszynie wirtualnej wykrywa wirtualizację VirtualBoxa i Qemu.
  • Dodaje okno z informacją o okupie do auto-startu.
  • Z rejestru systemowego odczytuje informacje o lokalizacji systemu operacyjnego i dostosowuje komunikaty do języków:
m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese
  • Każda infekcja komputera generuje unikalny klucz RSA-2048. Klucz publiczny i prywatny zapisywane są lokalnie. Każdy plik o poniższym rozszerzeniu szyfrowany jest przy użyciu szyfrów AES-128-ECB.
  • Szyfrowane są następujące pliki:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
  • Wykryte do tej serwery C&C:
gx7ekbenv2riucmf.onion

57g7spgrzlojinas.onion

xxlvbrloxvriy2c5.onion

76jdd2ir2embyv47.onion

cwwnhwhlz52maqm7.onion
  • Okupy wysyłane są do 3 różnych portfeli BTC na które dokonano już ponad 150 płatności:
blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
  • Pierwsze warianty ransomware WannaCry próbują nawiązać połączenie z domeną:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Domena w czasie pierwszych godzin działania szkodnika nie była jeszcze zarejestrowana. Zrobił to niezależny badacz, któremu udało się odkryć ową zależność. I faktycznie tak się stało – po zarejestrowaniu domeny zaimplementowany w ransomware „kill switch” natychmiast przerywał próby infekowania komputerów. Niestety, ale warunek ten spełniany był tylko dla pierwszej wersji WannaCry. Kolejne, ulepszone klony są już wykrywane przez niezależnych badaczy i dostawców rozwiązań zabezpieczających, ale co najgorsze, nie posiadają takiej zależności. Dla użytkowników końcowych oznacza to, że na chwilę obecną muszą się sami zadbać o swoje bezpieczeństwo.

Okazuje się, że niektóre rozwiązania bezpieczeństwa blokują powyższą domenę skutecznie odcinając połączenie wirusa ze „zdalnym wyłącznikiem”. W efekcie, ransomware WannaCry w wersji podstawowej nie przerywa szyfrowania plików.

Jak się zabezpieczyć?

Ransomware WannaCry rozprzestrzenia się na inne komputery w sieci lokalnej za pomocą transferu plików przez podatny protokół SMB w wersji pierwszej.

  • Wszystkie wersje systemów Windows są podatne na ten atak, jeśli nie zawierają aktualizacji opublikowanych w biuletynie MS-17-010.
  • Biuletyn MS-17-010 został opublikowany jeszcze w marcu 2017 roku i zawiera aktualizacje dla w Windows 10, Windows 8.1, Windows 7, Windows Vista oraz Windows Serwer 2016, Windows Serwer 2012, Windows Serwer 2008 i wersji Embedded. Aktualizacje dostępne są w Windows Update.
  • Skala rozprzestrzenienia się ransomware WannaCry okazała się tak wielka, że Microsoft wydał aktualizację dla niewspieranego już Windows 8, Windows XP oraz Windows Serwer 2003 oraz odpowiedników Embedded. Na tej stronie możliwe jest pobranie i zainstalowanie łatki.
WannaCry 4
Wizualizacja zagrożenia na czas pisania tego artykułu.

W tej chwili, nawiązywanie połączeń z sieciami Wi-Fi bez odpowiedniej ochrony nie jest najlepszym pomysłem. Aby ochronić się przed atakiem WannaCry zalecamy wyłączenie protokołu SMBv1 w panelu sterowania poprzez dezaktywację opcji „Obsługa udostępniania plików SMB1.0” w sekcji „Włącz lub wyłącz funkcje systemu Windows”.

WannaCry 1
Praktyka pokazuje, że aktualizacje systemu operacyjnego i oprogramowania oraz kopie zapasowe plików są szalenie ważne w kwestii bezpieczeństwa.

Na zainfekowanie oczekuje ponad półtora miliona urządzeń na świeciekilkanaście tysięcy w Polsce. Nie warto wpatrywać się w działania przestępców. Jeśli jeszcze nie wiecie, które oprogramowanie antywirusowe jest najskuteczniejsze w walce z ransomware, powinniście się zapoznać z naszym wielkim testem, w którym to sprawdziliśmy.  

WannaCry w praktyce

Dla pełnej przejrzystości artykułu:

  • Poniższy materiał wideo został opracowany w celach szkoleniowych. 
  • Za jego opracowanie nie wzięliśmy wynagrodzenia od Arcabit.
  • Folder zawierający próbkę wannacry.exe został dodany do wykluczeń ze skanowania (antywirus wykrywał zagrożenie sygnaturą).
  • W sytuacji wykrycia zagrożenia, w opcjach skanowania wybrano opcję automatycznego przenoszenia zainfekowanych plików do kwarantanny. Pozwoliło to zredukować wszystkie komunikaty antywirusa.
  • Moduł SafeStorage działa w korelacji z silnikiem antywirusowym. Wyłączenie ochrony w czasie rzeczywistym czyni ten moduł bezuzytecznym.
  • Ze względu na długie skanowanie całego systemu operacyjnego pominięto proces usuwania zagrożenia i pokazano wyłącznie etap przywracania plików.

Arcabit, polski dostawca rozwiązań zabezpieczających opracował specjalny mechanizm SafeStorage pozwalający przywrócić pliki po ich zaszyfrowaniu. Szybkie i bezproblemowe odzyskanie danych możliwe jest nawet wówczas, kiedy ransomware jest całkowicie niewykrywalne dla silnika antywirusowego, a także w sytuacji, kiedy zaszyfrowane pliki znajdują się w lokalizacjach sieciowych.

WannaCry nie robi na Arcabit Internet Security żadnego wrażenia:

Podobne mechanizmy, które pozwalają odzyskać pliki posiadają także inne rozwiązania antywirusowe. Nie są one jednak domyślnie włączone, więc wymagają dodatkowej konfiguracji, do której większość użytkowników nietechnicznych rzadko kiedy zagląda.   

Aktualizacja #2 [15 maj 2017]

Pojawiły się wzmianki o kolejnej próbce, która posiada „zdalny wyłącznik” dla innej domeny:

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Aktualizacja #3 [15 maj 2017]

Przeanalizowano kolejną nową próbkę, która zawiera „wyłącznik” w domenie najwyższego poziomu (TLD) „.testing”. Jest to na dzień dzisiejszy niepoprawna domena. Ze względu na brak możliwości zarejestrowania „domeny.testing” dezaktywacja tego wariantu ransomware nie jest możliwa. Ale…

screenshot 1552017 20 H16 M53 S188ms
… istnieje wyjątek od tej reguły – wewnętrzny serwer DNS. Tylko w taki sposób możliwa jest zmiana nazwy mnemonicznej (zrozumiałej dla człowieka) na odpowiadający jej adres IP. 

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
26 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]