Najgroźniejszy atak w historii komputerów powstrzymał jeden człowiek. Wydał 42 zł. Eksperci ostrzegają: to nie koniec

Robert Kędzierski
W piątek rozpoczęła się jedna z największych kampanii typu ransomware w historii. W jednej chwili dziesiątki tysięcy komputerów na całym świecie zostało zaszyfrowanych. Dziś wiemy już, że wirusa powstrzymał jeden człowiek. Media okrzyknęły go bohaterem.

Trojan WannaCry, który w piątkowe popołudnie zaszyfrował kilkadziesiąt tysięcy komputerów na całym świecie, przejdzie do historii jako jeden z najgroźniejszych w historii. Nigdy wcześniej nie mieliśmy bowiem do czynienia ze skoordynowaną kampanią ransomware przeprowadzonym na taką skalę. 

Ransomware to specjalny rodzaj złośliwego oprogramowania, którego celem jest zablokowanie dostępu do komputera. Dysk jest szyfrowany - nie można otworzyć ani skopiować plików. Użytkownik widzi tylko planszę z instrukcją: nie próbuj usunąć wirusa i zapłać okup. Ofiary miały wpłacić aż 300 dolarów za pojedynczą stację roboczą. Przestępcy grozili, że po trzech dniach wysokość okupu wzrośnie aż do 600 dolarów. 

WannaCry - jeden z najgroźniejszych ataków ransmowareWannaCry - jeden z najgroźniejszych ataków ransmoware Fot. WannaCry

Przypadkowy bohater ratuje świat za 42 złote

Dziś WannaCry jest częściowo unieszkodliwiony. Zatrzymanie groźnej infekcji zawdzięczamy jednemu człowiekowi. Jak donosi The Guardian chodzi o 22-letniego informatyka z Wielkiej Brytanii. To on odkrył w kodzie wirusa dziwny wyłącznik.

Zanim trojan rozpoczynał proces szyfrowania dysku sprawdzał dostępność domeny iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Jeśli domena nie odpowiadała kod zaczynał szyfrowanie. Brytyjczyk za ok. 10 dolarów zarejestrował więc domenę. To było komendą dla wirusa, by nie szyfrować nowych komputerów. Brytyjskie media okrzyknęły już mężczyznę "przypadkowym bohaterem". 

Najpierw błyskawiczna infekcja, potem atak

Wiadomo też, że WannaCry rozprzestrzeniał się przez otwarte sieci WiFi. Infekował komputery, ale nie uruchamiał procesu szyfrowania. Czekał, aż właściciele maszyn zalogują się np. w firmowej sieci, by rozprzestrzenić się w sieci wewnętrznej - ekspresowe rozprzestrzenianie się jest jedną z najważniejszych cech trojana. Możliwe więc, że wirus infekował maszyny od tygodni lub miesięcy. 

Duża część winy po stronie użytkowników? 

WannaCry wykorzystuje kod EternalBlue stworzony pierwotnie przez amerykańską agencję wywiadowczą NSA. Wyciekł stamtąd najprawdopodobniej za sprawą grupy hakerskiej Shadow Brokers. Microsoft spodziewając się tego, że ktoś może użyć wykradzionego kodu wydał odpowiednią łatkę. Wypuścił ją jednak wyłącznie na wspierane systemy. Dlatego celem ataku padły przede wszystkim maszyny z Windows XP. Ten system, podobnie jak Vista, został załatany dopiero w piątek - Microsoft wypuścił łatkę w drodze wyjątku. Windows XP nie ma bowiem wsparcia technicznego od trzech lat. 

Możliwe, że Microsoft mógł ograniczyć skalę infekcji gdyby wydał jednak łatę na stary Windows razem z łatą na Windows 7 czy 10. WannaCry jest dowodem na to, że używanie przestarzałego systemu jest znacznie bardziej ryzykowne.

To nie koniec

Eksperci informują , że pojawiła się już wersja robaka odporna na wyłącznik.

Potwierdzam, że od wczoraj dysponujemy już próbką WannaCry, która nie reaguje na zarejestrowaną domenę"

- wyjaśnił jeden z ekspertów portalowi HackerNews

Tym bardziej istotne jest więc pobranie aktualizacji Windows. Jest nadzieja, że część komputerów, które same pobrały poprawki, uodporniły się na tę wersje złośliwego kodu. 

Atak ransomware WannaCry to powtórka z przeszłości. Niestety, organizacje przez długi czas ignorowały podstawowe zasady bezpieczeństwa, takie jak konieczność użycia firewalla i dlatego WannaCry szybko wymknął się spod kontroli. To, co się stało nie jest najgorszym scenariuszem – szczęście w nieszczęściu atak nie był aktem terrorystycznym, czy działaniem na zlecenie rządu. Cyberprzestępcy w tym przypadku kierują się chęcią zarobienia pieniędzy, a skutki ataku są odwracalne. Skala przedsięwzięcia to jednak niebezpieczny dowód na to, że potencjalnie możliwy byłby atak o nieodwracalnych skutkach, przeprowadzony przez hakerów na rzecz któregoś z państw.

- ocenia Sean Sullivan, doradca ds. cyberbezpieczeństwa w F-Secure.

Eksperci z kilku firm specjalizujących się w cyberbezpieczeństwie pracują nad narzędziami, które pozwoliłyby odszyfrować dyski. 

Więcej o: