Globalny atak wirusa WannaCry. Wstrzymana produkcja w Renault, odwołane pociągi w Niemczech

Robert Kędzierski
Wczoraj doszło do jednego z największych ataków z użyciem ransomware. Zainfekowano nim kilkadziesiąt tysięcy komputerów na całym świecie. Ten niebezpieczny kod szyfruje dysk, blokuje dostępu do komputera i żąda okupu. W wyniku infekcji Renault ogłosił wstrzymanie produkcji. Globalne straty sięgną setek milionów dolarów.

Jak informowaliśmy w piątek wieczorem rozpoczęło się coś, przed czym eksperci związani z bezpieczeństwem cyfrowym ostrzegali od miesięcy. W kilkudziesięciu krajach przeprowadzono skoordynowany atak na komputery.

Czytaj też: Czym jest ransmoware i czy w sieci istnieją jakieś inne zagrożenia? Wyjaśniamy. 

Co wiemy po kilkunastu godzinach od jego rozpoczęcia?

1. To jeden z największych ataków w historii

Najważniejsza jest skala. Cyberprzestępcy uderzyli w jednej chwili w kilkudziesięciu krajach. W ciągu godzin za pomocą złośliwego kodu typu ransomware zablokowali ok. 75 tys. komputerów. Zaatakowali przede wszystkim duże sieci - firmy i szpitale. Ofiarą ataku padł m.in. Renault, który oficjalnie poinformował, że musi wstrzymać produkcję. Wirus doprowadził też do opóźnień i odwołania niektórych niemieckich pociągów. Na liście ofiar znaleźli się też: hiszpański operator Telefonica, kurier FedEx, rosyjskie ministerstwa. 

Atak nie jest wymierzony w konkretne firmy - przestępcy próbują zainfekować jak najwięcej maszyn, działają "na ślepo". Ich priorytetem są przedsiębiorstwa i instytucje publiczne, bo w sieciach tego typu jest wiele komputerów. Często wystarczy, że jeden pracownik otworzy zainfekowany załącznik, a po chwili zainfekowane są wszystkie maszyny

2. Czym jest ransomware i kto stworzył WannaCry?

To specjalny rodzaj złośliwego oprogramowania, którego celem jest zablokowanie dostępu do komputera. Dysk jest szyfrowany - nie można otworzyć ani skopiować plików. Użytkownik widzi tylko planszę z instrukcją: nie próbuj usunąć wirusa i zapłać okup. 

WannaCry - jeden z najgroźniejszych ataków ransmowareWannaCry - jeden z najgroźniejszych ataków ransmoware Fot. WannaCry

W przypadku WannaCry wynosi on 300 dolarów za pojedynczą maszynę. Łatwo sobie więc wyobrazić, jak dużym kosztem jest infekcja w przypadku np. dużego szpitala czy firmy. 

Przestępcy chcą opłaty w walucie bitcoin, bo jest ona najłatwiejsza do ukrycia przed służbami. WannaCry wykorzystuje kod EternalBlue stworzony pierwotnie przez amerykańską agencję wywiadowczą NSA. Wyciekła stamtąd najprawdopodobniej za sprawą grupy hakerskiej Shadow Brokers. 

2. Straty mogą sięgnąć setek milionów dolarów

Gdyby wszyscy właściciele zainfekowanych maszyn zdecydowali się zapłacić okup, przestępcy "zyskaliby" ok 20 mln dolarów. Nawet jeśli okup zapłaci tylko część ofiar ataku, przestępcy zyskają fortunę, co tylko zachęci innych do podobnych ataków.

Niestety straty w wyniku działania wirusa mogą być znacznie większe. Trudno je jednoznacznie określić, należy jednak wziąć pod uwagę koszty wstrzymania prac w fabrykach, odwołania operacji, problemów na dworcach etc. Część właścicieli firm będzie zapewne zmuszona do zmiany komputerów, wprowadzenia dodatkowych zabezpieczeń, wynajęcia ekspertów. Chodzi zatem o setki milionów dolarów. 

3. WannaCry częściowo unieszkodliwiono

Na szczęście dla użytkowników twórcy wirusa popełnili błąd. Z nieznanych powodów wbudowali w robaka pewne zabezpieczenie. Specjalny wyłącznik. WannaCry zaczyna bowiem od próby wejścia na dziwaczną stronę: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Jeśli nie uda się na nią wejść, rozpoczyna się proces szyfrowania dysku. Jeśli strona odpowie - atak zostaje przerwany. Jak wyjaśnia Malwerbyte, specjaliści od bezpieczeństwa cyfrowego już po wykryciu ataku postanowili więc... samodzielnie zarejestrować tan dziwaczny adres. Skutek był natychmiastowy - WannaCry stał się częściowo nieszkodliwy.

Jeśli wirus zdążył zaszyfrować komputer przed zarejestrowaniem domeny, dysk nadal jest zaszyfrowany - tego procesu nie da się odwrócić bez uzyskania kluczy deszyfrujących od przestępców. Jeśli jednak ktoś otworzył złośliwy załącznik po rejestracji domeny, wirus nie aktywuje się i nie zaszyfruje dysku. To dobra wiadomość, bo osoby, które uruchomią komputer dziś, jutro lub w poniedziałek nie utracą danych, nawet jeśli ich komputer zaatakował WannaCry.  

Nie wiadomo dlaczego WannaCry dezaktywuje się właśnie w taki sposób - być może osoby tworzące złośliwy kod przeoczyły istnienie tego zabezpieczenia, zanim rozpoczęły proces infekcji. 

4. Najbardziej zagrożone komputery z Windows XP, ale nie tylko

Po raz kolejny okazało się, że cyberprzestępcy idą po linii najmniejszego oporu i nie próbują wyważyć otwartych drzwi. Dlatego ransomware atakował przede wszystkim komputery z przestarzałym systemem - głównie Windows XP. To dlatego szpitale czy terminale informacyjne na dworcach zostały tak szybko zablokowane. Windows XP nie ma bowiem wsparcia już od trzech lat. 

5. Zagrożenie nadal istnieje - pobierz łatki, zaktualizuj system

Badacze zarejestrowali domenę, która dezaktywuje atak, a zatem, jak już pisaliśmy, nawet jeśli ktoś dziś otworzy e-mail zawierający zainfekowany załącznik, nie powinien utracić danych. Zagrożenie jednak wcale nie minęło. Unieszkodliwiono wyłącznie WannaCry, ale nie inne wersje złośliwego kodu. W każdej chwili może pojawić się ransomware, który nie będzie już posiadał wady w postaci "wyłącznika". 

Użytkownicy Windows muszą upewnić się, że ich komputery pobrały łatkę bezpieczeństwa MS17-010 wydaną 14 marca. Posiadacze Windows XP i Vista, również muszą pobrać aktualizację.  Została wydana wczoraj, w reakcji na atak. Wydanie łatki na niewspierane systemy należy uznać za duży ukłon Microsoftu w stronę użytkowników. 

6. Spodziewaj się kolejnej infekcji

Skala ataku potwierdza przewidywania ekspertów od cyberbezpieczeństwa - podobnych prób wyłudzenia dużych pieniędzy będzie przybywać. Ransomware od dłuższego czasu jest bowiem ulubionym sposobem przestępców na kradzież dużych sum pieniędzy. Całkiem możliwe, że spora część właścicieli zainfekowanych maszyn zdecydowała się jednak zapłacić. 

7. Przestrzegaj tych zasad, by uniknąć problemów

Skoro ataki ransomware będą się powtarzać należy przestrzegać zasad, które łagodzą jego skutki. Po pierwsze należy zadbać o bezpieczeństwo swojego komputera. Warto na bieżąco pobierać aktualizację, korzystać z wbudowanego w Windows Defendera albo używać programu antywirusowego. Nie wolno też otwierać nieznanych załączników i wchodzić na podejrzane strony. Korzystanie z pirackich programów i systemów operacyjnych również może skończyć się infekcją ransomware.

Niezbędne jest też wykonywanie kopii bezpieczeństwa i to na nośnikach odłączanych od systemu. 

Przed zapłaceniem okupu warto skonsultować ze specjalistyczną firmą, czy możliwe jest odzyskanie danych. 

***

Więcej o:
Komentarze (145)
Globalny atak wirusa WannaCry. Wstrzymana produkcja w Renault, odwołane pociągi w Niemczech
Zaloguj się
  • highlander44

    Oceniono 9 razy 3

    Jaki ukłon. Ktoś KUPIŁ system, system działa a Microsoft ogłasza, że to kupienie już jest nieważne i teraz musisz sobie kupić nowy system, który będzie ważny. Ale tylko do czasu do kiedy Microsoft będzie chciał. To niczym się nie różni od tych, którzy blokują komputery. Też wymuszają okup siłą.

  • felicjan.dulski

    Oceniono 2 razy 2

    Porady jak dla tej dziewczyny, nie chodziła sama wieczorem przez park albo nie jeździła sama do krajów islamskich, a tak w ogóle, by się skromnie odziewała,to może atak jej nie spotka. Najlepiej jednak by zrobiła zatrudniając bodyguarda za te głupie 30PLN za godzinę.

  • cinek11

    Oceniono 2 razy 2

    Złapcie ich i zabijcie.

  • onduma

    Oceniono 2 razy 2

    A jak USA i Izrael atakowali komputery w Iranie bylo tak pieknie. Tak koncza sie marzenia kazdej potegi o "wunderwaffe"

  • Lester Greelack

    Oceniono 2 razy 2

    "Blokuje dostępu do komputera". Widać że wirus zaatakował też słowniki redaktorów portalu.

  • central2

    Oceniono 2 razy 2

    To zapewne część promocji Microsoftu przed premierą najnowszego systemu.

Aby ocenić zaloguj się lub zarejestrujX