[Aktualizacja #3] Podpowiadamy jak zabezpieczyć komputery przed ransomware WannaCry

15 maja 2017

Jeżeli słyszeliście już o najnowszym krypto-ransomware WannaCry (znanym także jako: WannaCrypt, WanaCrypt0r, WCrypt, Wcry) to lektura ta będzie dla Was konsolidacją zebranych informacji. W przeciwnym razie artykuł ten możecie potraktować jako niezbędną rekomendację dla każdego użytkownika, administratora, informatyka, dyrektora IT. Jednym słowem dla każdej osoby, która odpowiedzialna jest za bezpieczeństwo środowiska pracy w biurze i w domu.

Oto nasze wskazówki, w jaki sposób zabezpieczyć komputery w domu oraz w firmie.

WannaCry

Komunikat o zaszyfrowanych plikach w języku polskim.

Co się zdarzyło z moim komputerem?

Twoje ważne pliki są szyfrowane.Wiele dokumentów, zdjęć, filmów, baz danych i innych plików nie jest już dostępnych, ponieważ zostały zaszyfrowane. Być może szukasz sposobu na odzyskanie plików, ale nie marnuj czasu. Nikt nie może odzyskać plików bez naszej usługi odszyfrowywania.

Czy mogę odzyskać moje pliki?

Pewnie. Gwarantujemy, że można odzyskać wszystkie pliki bezpiecznie i łatwo. Ale nie masz tyle czasu.Możesz odszyfrować niektóre z plików za darmo. Spróbuj teraz klikając <Decrypt>.Ale jeśli chcesz odszyfrować wszystkie pliki, musisz zapłacić.Masz tylko 3 dni na przesłanie płatności. Następnie cena zostanie podwojona. Ponadto, jeśli nie zapłacisz za 7 dni, nie będziesz w stanie odzyskać plików na zawsze. Będziemy mieli wolne wydarzenia dla użytkowników, którzy są tak biedni, że nie mogli zapłacić za 6 miesięcy.

Jak mam zapłacić?

Płatność jest akceptowana tylko w programie Bitcoin. Aby uzyskać więcej informacji, kliknij przycisk <About bitcoin>.Sprawdź bieżącą cenę Bitcoin i kup trochę bitcoinów. Aby uzyskać więcej informacji, kliknij opcję <How to buy bitcoins>. Wyślij odpowiednią kwotę na adres podany w tym oknie.Po dokonaniu płatności kliknij <Check Payment>. Najlepszy czas na sprawdzenie: 9:00 – 11:00 GMT od poniedziałku do piątku. Po sprawdzeniu płatności można natychmiast odszyfrować pliki.

Kontakt

Jeśli potrzebujesz naszej pomocy, wyślij wiadomość klikając <Contact Us>.

Zalecamy, aby nie usuwać tego oprogramowania i nie wyłączyć go przez pewien czas, dopóki nie zapłacisz, a płatność zostanie przetworzona. Jeśli program antywirusowy zostanie zaktualizowany i automatycznie usunie to oprogramowanie, nie będzie można odzyskać plików, nawet jeśli zapłacisz!

Początkowy wektor infekcji nie jest do końca znany. Niektóre źródła donoszą o „tradycyjnym” socjotechnicznym ataku z użyciem zainfekowanego załącznika. Nie jest to jednak najistotniejsza informacja. Z punktu widzenia osób odpowiedzialnych za stan integralności, poufności i zabezpieczenia danych ważną kwestią jest to, w jaki sposób rozprzestrzenia się WannaCry:

  • Ransomware wykorzystuje exploit (który wyciekł do sieci) o nazwie EternalBlue na lukę w protokole SMBv1.
  • WannaCry w czasie infekowania plików skanuje sieć LAN w poszukiwaniu kolejnych „komputerów-ofiar” po czym kopiuje się doń i uruchamia szyfrowanie.
  • Uruchomiony w maszynie wirtualnej wykrywa wirtualizację VirtualBoxa i Qemu.
  • Dodaje okno z informacją o okupie do auto-startu.
  • Z rejestru systemowego odczytuje informacje o lokalizacji systemu operacyjnego i dostosowuje komunikaty do języków:
m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese
  • Każda infekcja komputera generuje unikalny klucz RSA-2048. Klucz publiczny i prywatny zapisywane są lokalnie. Każdy plik o poniższym rozszerzeniu szyfrowany jest przy użyciu szyfrów AES-128-ECB.
  • Szyfrowane są następujące pliki:
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
  • Wykryte do tej serwery C&C:
gx7ekbenv2riucmf.onion

57g7spgrzlojinas.onion

xxlvbrloxvriy2c5.onion

76jdd2ir2embyv47.onion

cwwnhwhlz52maqm7.onion
  • Okupy wysyłane są do 3 różnych portfeli BTC na które dokonano już ponad 150 płatności:
blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
  • Pierwsze warianty ransomware WannaCry próbują nawiązać połączenie z domeną:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Domena w czasie pierwszych godzin działania szkodnika nie była jeszcze zarejestrowana. Zrobił to niezależny badacz, któremu udało się odkryć ową zależność. I faktycznie tak się stało – po zarejestrowaniu domeny zaimplementowany w ransomware „kill switch” natychmiast przerywał próby infekowania komputerów. Niestety, ale warunek ten spełniany był tylko dla pierwszej wersji WannaCry. Kolejne, ulepszone klony są już wykrywane przez niezależnych badaczy i dostawców rozwiązań zabezpieczających, ale co najgorsze, nie posiadają takiej zależności. Dla użytkowników końcowych oznacza to, że na chwilę obecną muszą się sami zadbać o swoje bezpieczeństwo.

Okazuje się, że niektóre rozwiązania bezpieczeństwa blokują powyższą domenę skutecznie odcinając połączenie wirusa ze „zdalnym wyłącznikiem”. W efekcie, ransomware WannaCry w wersji podstawowej nie przerywa szyfrowania plików.

Jak się zabezpieczyć?

Ransomware WannaCry rozprzestrzenia się na inne komputery w sieci lokalnej za pomocą transferu plików przez podatny protokół SMB w wersji pierwszej.

  • Wszystkie wersje systemów Windows są podatne na ten atak, jeśli nie zawierają aktualizacji opublikowanych w biuletynie MS-17-010.
  • Biuletyn MS-17-010 został opublikowany jeszcze w marcu 2017 roku i zawiera aktualizacje dla w Windows 10, Windows 8.1, Windows 7, Windows Vista oraz Windows Serwer 2016, Windows Serwer 2012, Windows Serwer 2008 i wersji Embedded. Aktualizacje dostępne są w Windows Update.
  • Skala rozprzestrzenienia się ransomware WannaCry okazała się tak wielka, że Microsoft wydał aktualizację dla niewspieranego już Windows 8, Windows XP oraz Windows Serwer 2003 oraz odpowiedników Embedded. Na tej stronie możliwe jest pobranie i zainstalowanie łatki.
Wizualizacja zagrożenia na czas pisania tego artykułu.

W tej chwili, nawiązywanie połączeń z sieciami Wi-Fi bez odpowiedniej ochrony nie jest najlepszym pomysłem. Aby ochronić się przed atakiem WannaCry zalecamy wyłączenie protokołu SMBv1 w panelu sterowania poprzez dezaktywację opcji „Obsługa udostępniania plików SMB1.0” w sekcji „Włącz lub wyłącz funkcje systemu Windows”.

Praktyka pokazuje, że aktualizacje systemu operacyjnego i oprogramowania oraz kopie zapasowe plików są szalenie ważne w kwestii bezpieczeństwa.

Na zainfekowanie oczekuje ponad półtora miliona urządzeń na świeciekilkanaście tysięcy w Polsce. Nie warto wpatrywać się w działania przestępców. Jeśli jeszcze nie wiecie, które oprogramowanie antywirusowe jest najskuteczniejsze w walce z ransomware, powinniście się zapoznać z naszym wielkim testem, w którym to sprawdziliśmy.  

WannaCry w praktyce

Dla pełnej przejrzystości artykułu:

  • Poniższy materiał wideo został opracowany w celach szkoleniowych. 
  • Za jego opracowanie nie wzięliśmy wynagrodzenia od Arcabit.
  • Folder zawierający próbkę wannacry.exe został dodany do wykluczeń ze skanowania (antywirus wykrywał zagrożenie sygnaturą).
  • W sytuacji wykrycia zagrożenia, w opcjach skanowania wybrano opcję automatycznego przenoszenia zainfekowanych plików do kwarantanny. Pozwoliło to zredukować wszystkie komunikaty antywirusa.
  • Moduł SafeStorage działa w korelacji z silnikiem antywirusowym. Wyłączenie ochrony w czasie rzeczywistym czyni ten moduł bezuzytecznym.
  • Ze względu na długie skanowanie całego systemu operacyjnego pominięto proces usuwania zagrożenia i pokazano wyłącznie etap przywracania plików.

Arcabit, polski dostawca rozwiązań zabezpieczających opracował specjalny mechanizm SafeStorage pozwalający przywrócić pliki po ich zaszyfrowaniu. Szybkie i bezproblemowe odzyskanie danych możliwe jest nawet wówczas, kiedy ransomware jest całkowicie niewykrywalne dla silnika antywirusowego, a także w sytuacji, kiedy zaszyfrowane pliki znajdują się w lokalizacjach sieciowych.

WannaCry nie robi na Arcabit Internet Security żadnego wrażenia:

Podobne mechanizmy, które pozwalają odzyskać pliki posiadają także inne rozwiązania antywirusowe. Nie są one jednak domyślnie włączone, więc wymagają dodatkowej konfiguracji, do której większość użytkowników nietechnicznych rzadko kiedy zagląda.   

Aktualizacja #2 [15 maj 2017]

Pojawiły się wzmianki o kolejnej próbce, która posiada „zdalny wyłącznik” dla innej domeny:

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Aktualizacja #3 [15 maj 2017]

Przeanalizowano kolejną nową próbkę, która zawiera „wyłącznik” w domenie najwyższego poziomu (TLD) „.testing”. Jest to na dzień dzisiejszy niepoprawna domena. Ze względu na brak możliwości zarejestrowania „domeny.testing” dezaktywacja tego wariantu ransomware nie jest możliwa. Ale…

… istnieje wyjątek od tej reguły – wewnętrzny serwer DNS. Tylko w taki sposób możliwa jest zmiana nazwy mnemonicznej (zrozumiałej dla człowieka) na odpowiadający jej adres IP. 

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
26 komentarzy
Inline Feedbacks
View all comments
Jolek
Jolek
3 lat temu

Z tego co wiem to Comodo też sobie poradziło z tym zagrożeniem, nie tylko Arkabit. Niestety mimo, że jest napisane „Za jego opracowanie nie wzięliśmy wynagrodzenia od Arcabit” to i tak z kilometra śmierdzi reklamą

Damian
Damian
3 lat temu

Ta cała afera wokół tego ransomwara jest niepotrzebna. Szyfrowanie zdarzało się i będzie się zdarzać a zabezpieczenia zawszę będą do poprawy. Jedyna lekcja z tej historii jest taka że tak samo jak sektor prywatny atakowany jest i słabo zabezpieczony sektor publiczny (dworce, terminale, szpitale, komputery policji). I tutaj należy szukać problemów – czyli nie jakieś zaawansowane i specjalistyczne oprogramowanie i zapory tylko utwardzenie systemów operacyjnych tych nowych i starych. Może czasami jest lepiej migrowac na Linuksa niż siedzieć na starych wersjach Windowsa.

Tadziu
Tadziu
3 lat temu

Mam Windows 7 (64-bit). Wchodzę w te ustawienia, które są podane na zrzucie ekranu i nie mam tej opcji w systemie o nazwie „Obsługa udostępniania plików SMB 1.0”. Gdzie tego w takim razie szukać ?. Pozdrawiam

Zibi
Zibi
3 lat temu

Na filmiku , już po fakcie, widać zamiast tapety – uuuups, jesteś zaszyfrowany. Po czym Adrian klika w ArcaBit , a na tym całym panelu zielono , twój system jest bezpieczny. he he
A swoją drogą , naród nie chce przechodzić na najlepszy z systemów, to MS postanowił to przyśpieszyć, strasząc. Takie czasy , wszystko jest możliwe. 🙂

Piotr N.
Piotr N.
3 lat temu

Co prawda już te sugestie wysłałem do Arcabita, ale tutaj może powtórzę. Moim zdaniem Arcabit mógłby z safestorage zrobić osobny program i oferować go jako uzupełnienie innych antywirusow np. wtedy, gdy jakas firma nie chce zmienić AV ale chce mieć zabezpieczenie przed atakiem ransomware.

Daniel
Daniel
3 lat temu

Witajcie! Z racji tego, że jest to mój pierwszy komentarz pragnę się przywitać. Salut! Wracając do tematu. Tyle się mówi o wyciekach, o dziurawym oprogramowaniu, niebezpiecznych prywatnych chmurach. Jednym z zabezpieczeń jest właśnie szyfrowanie plików. Ot dochodzi do sytuacji, gdzie atakującemu bardziej zależy na plikach niż właścicielowi sprzętu. Za marne 300 dolców nie dość, że odszyfrujecie pliki, to jeszcze skłonni będziecie zainwestować w backup (może cloudowy) i skuteczne rozwiązanie AV. Same plusy. Dla sprzedawców i VAR w szczególności 😉

Marek
Marek
3 lat temu
Marcin
Marcin
3 lat temu

Witam,
Jak wygląda sytuacja , w której w sieci infekowany jest komputer z Linuxem (rozumiem, że taki system nie zostanie zaszyfrowany), następnie ktoś taki przychodzi od mnie podpina się i co wtedy? Mając kompa z Win 10 zostaje zainfekowany ponieważ z Linuksa dalej się rozprzestrzenia czy rozbije się to o linuxa i dalej nie będzie atakował w sieciach ?

Marcin
Marcin
3 lat temu

OK dzięki za informację. Czyli rozumiem że jak ktoś na Linuxie złapie to w sieci (sieć publiczna np lotniska), następnie przyjdzie do mnie do domu i pod moją sieć się podepnie to nie rozprzestrzeni tego w mojej sieci?

ichito
ichito
3 lat temu

Z tego, co mi wiadomo WannaCry może zadziałać skutecznie pod Wine i choć skopiowany na „linuksowy”dysk może się samodzielnie nie uruchomić bez tego środowiska, to przez przypadek może zostać „zasiany” na inne maszyny/napędy. Poza tym wydaje mi się, że znacznie skuteczniejszym mechanizmem zabezpieczającym może być ochrona/kontrola dostępu do wrażliwych lokalizacji jaką ma np. SpyShelter czy przeznaczony do tego Secure Folders. Albo może coś całkiem nowego czyli 360 Document Protector od Qihoo.

Contral
Contral
3 lat temu

Comodo poradził sobie z tym problemem. Dostałem od antywirusa komunikat i wysłał mnie na stronę gdzie było wideo, które pokazywało jak to wygląda.

ichito
ichito
3 lat temu

@#17
No nie wiem…zacytuję fragment posta z „linuksowego” forum
„2. Can I get affected by using Wine?

Short answer: Yes. Since Wine emulates almost every behavior of the Windows environment, the worm can actually try to find ways on how it can affect you. The worst case scenario is that depending on the direct access wine has to your Ubuntu system, some or all parts of your home will be affected ”
https://askubuntu.com/questions/914623/what-is-the-wanna-cry-ransomwares-possible-impact-on-linux-users

Daniel
Daniel
3 lat temu

@#9 Skuteczność to cel nie cecha. Skuteczny jest np Eset czy GData, COMODO w porównaniu do ochrony (nie)zapewnianej przez Windows Def. Dobrze, skuteczniejszy, bezpieczniejszy, nie bezpieczny.

Daniel
Daniel
3 lat temu

@#20 Użytkowników Windows z kontem standardowym prawie się nie spotyka. W takim razie pragnę zapisać swoją skromną osobę do tej nielicznej grupy 😉

ichito
ichito
3 lat temu

@#21 Kolega coś za bardzo filozoficznie podszedł do tematu…skuteczność to jednak cecha i raczej oznacza w tym przypadku poziom realizacji założeń…celów. Celem jest w przypadku AV czy innych zabezpieczeń jest maksymalizowanie ochrony systemu/danych z wykorzystaniem dostępnych w aplikacji rozwiązań i tak skuteczność jest właśnie postrzegana, kiedy takie softy się testuje. Nikt nie ocenia tego „co by było, gdyby było” czyli zamierzonych celów spełniających oczekiwania producenta, ale stan faktyczny czyli to, co faktycznie program daje użytkownikowi.

ichito
ichito
3 lat temu

@#20
Owszem…masz rację, ale moim celem było wskazanie faktu, że WC może wejść skutecznie na systemy linuksowe…pewnie, że pod pewnymi warunkami, ale jednak. Infekcje na Windowsy też muszą „dostać” pewne „okienko”, żeby dostać się i zadziałać, nawet gdy tym „okienkiem” jest użytkownik. i jego decyzje 🙂

Indy
Indy
3 lat temu

Nie znalazłem informacji czy zagrożony jest komputer. który ma uruchomiony serwer SMB z wersją 1 czy też wystarczy klient? Jeśli mam w Windowsie wyłączone udostępnianie plików w systemie i dla konkretnego interfejsu, ale włączonego klienta MS Networks, to czy trzeba wyłączać SMB1 i stracić możliwość łączenia się z serwerami plików, które tylko SMB1 obsługują?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ