Wanna Cry, една недела подоцна

Една недела по најраспространетите ransomware напади досега, конечнo имаме малку повеќе податоци.

Добра вест е дека сите кои се инфицирани можат да си ги вратат назад податоците. Станува збор за алатка базирана на кодот на WanaKey, WanaKiwi. Алатката користи познат безбедносен пропуст во криптирањето на Microsoft.

„Wanakiwi може да пребарува по меморијата на инфицираните XP компјутери и да ги пронајде p и q променливите кои го креираат клучот. Потоа може да го рекреира истиот клуч. Алатката потоа го користи клучот да ги дешифрира податоците заклучени со WCry“, објаснува ArsTechnica.

Лоша вест е дека за алатката која го креира клучот потребно е компјутерот да не е рестартиран. Дури и во случај кога компјутерот не е рестартиран постои опасност да не функционира алатката. Ако е пребришана мемориската локација во која бил сместен клучот нема да може да се декриптираат податоците.

Ова можеби изгледа неважно со оглед на тоа дека нападите се запрени, но Wired јавува дека има обиди за реактивирање на црвот. Најголемиот недостаток на Wanna Cry, е што за деактивирање се користи активна интернет адреса. Доколку адресата не постои тогаш кодот е активен, кога адресата не постои Wanna Cry функционира. Засега алатката со сигурност функционира на XP, иако тестовите покажуваат дека неколку Windows 2004 и Windows 7 се спасени.

Со самото рушење на страниците кои ги отворија неколку безбедносни експерти, црвот ќе стане повторно активен. Во напорите е вклучена и Mirai бот-мрежата. Целта е преку DDoS напади да се срушат страниците.

Маркус Хатчинс е 22 годишен британски безбедносен експерт кој го запре првиот напад со регистрација на првиот домен. Она што го кажува е загрижувачко.

„Штом јавноста дозна што се случи Mirai ботнет започна со напад. Оттогаш има секојдневни напади од првата бот-мрежа, но и од нови мрежи изградени со истата платформа. Нападите постојано растат“, вели Маркус Хатчинс.

Компјутерите кои веќе имаат „хибернирана“ верзија на кодот, нема веднаш да бидат почнат со криптирањето. Вирусот се крие кога ќе биде „sandboxed“, а проверките софтверот ги прави на секое стартување.

Со оглед на тоа дека првичните напаѓачи можат само да го променат кодот, изгледа дека новиот напад доаѓа од друга група. Г. Хачинс додава дека кој и да го прави ова, нема никаква финансиска заработка и го прави единствено да го прошири хаосот.

Можеби најважниот податок е дека најголем дел од нападнатите системи не требаа да бидат подложни на нападот. Првично се зборуваше дека Windows XP и Windows 2003 се во најголема опасност. Податоците од Kaspersky велат дека околу 98% од нападнатите компјутери се со Windows 7.

Оперативниот систем кој беше во најголема опасност XP, во овој напад учествува со едвај 1% од нападнатите компјутери. Безбедносна закрпа за Windows 7 е издадена неколку месеци пред нападот, па ИТ тимовите во компаниите чии мрежи се нападнати, немаат никакво оправдување.

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии