MojWindows

Týždeň po tom, čo ransomvér WannaCry zasiahol po celom svete obrovské množstvo počítačov, výskumníci z bezpečnostných spoločností získavajú lepší prehľad o tom, ako sa vlastne dokázal tak rýchlo šíriť. Súdiac z analýzy a štatistík spoločnosti Kaspersky Lab boli pritom najviac ohrozenými a infikovanými zariadenia s operačným systémom Windows 7. Zo všetkých nakazených zariadení, ktoré obsahovali bezpečnostné riešenie spoločnosti Kaspersky, bolo až 98% tých, ktoré využívajú práve niektorú verziu Windows 7.

Len nepatrné množstvo infikovaných zariadení (0,1%) využívalo Windows XP, ktorý už síce nie je podporovaný, no Microsoft kvôli výskytu WannaCry vydal núdzovú opravnú aktualizáciu. Aj keď k tomu došlo až dodatočne, keď už bola napáchaná väčšina škôd, aj tak najhoršie skončil Windows 7, pre ktorý bola paradoxne opravná aktualizácia vydaná ešte 2 mesiace pred útokom.

Windows 7 je stále najpoužívanejšou edíciou operačných systémov Windows. Podľa štatistík je približne dvakrát používanejšou verziou ako najnovší Windows 10. Prvotné tvrdenia, že za rýchle šírenie infekcie môžu starý „nezaplátaný“ Windows XP sa ale ukázali ako nesprávne.

Naopak najlepšie sa WannaCry šíril cez Windows 7, kde zneužíval systémovú zraniteľnosť, ktorá umožňovala šírenie po lokálnej sieti. Práve týmto spôsobom sa veľmi jednoducho nakazili veľké podniky a inštitúcie s množstvom vzájomne prepojených počítačov. Bezpečnostná aktualizácia, ktoré zraniteľnosť eliminovala bola síce označená ako kritická, a preto sa štandardne cez Windows Update mala dostať na všetky ohrozené počítače, no realita bola iná.

Možných vysvetlení, prečo sa predmetná aktualizácia nenachádzala na obrovskom počte počítačov je viacero. Najpravdepodobnejšia bude kombinácia využívania nelegálnych verzií systému a blokovania služby Windows Update zo strany používateľov. V prípade infikovaných podnikov zase išlo pravdepodobne o zlyhanie ľudského faktoru – IT správcu.

Práve Windows 10 mal byť podľa vyjadrení Microsoftu jediným zo systémov Windows, ktorý bol úplne chránený proti ransomvéru WannaCry. Zariadenia s týmto systémom, ktoré figurujú v prehľade od spoločnosti Kaspersky mali byť infikované ručne pre ďalšie testovanie a skúmanie správania škodlivého kódu.

Posledné známe čísla hovoria o takmer 420-tisíc zdokumentovaných prípadoch napadnutia ransomvérom WannaCry. Reálne toto číslo bude podstatne vyššie, no presný počet sa s veľkou pravdepodobnosťou nikdy nedozvieme. To, že Windows 7 patril medzi najviac infikované systémy potvrdzujú aj informácie od bezpečnostnej firmy BitSight, ktorá analyzovala údaje zo 160 000 napadnutých počítačov. Na 67% z nich bol používaný Windows 7. Spoločnosť ďalej uvádza, že zariadenia s Windows XP neboli schopné WannaCry šíriť po sieti a celkovo tak v útokoch zohrávali len nepatrnú rolu.

Prvé pomoc už dorazila, no je veľmi limitovaná

Medzičasom bol zverejnený aj nástroj, ktorý dokáže pomôcť niektorým obetiam zákerného ransomvéru. Francúzsky bezpečnostný expert Adrien Guinet odhalil slabinu, vďaka ktorej je možné zašifrované súbory za určitých podmienok obnoviť bez zaplatenia výkupného.

Toto zistenie ďalej využil Benjamin Delpy, ktorý vytvoril nástroj WanaKiwi pre systémy Windows XP až 7. Využiť ho pre odomknutie zašifrovaných súborov je možné v prípade, že počítač nebol od momentu infikovania zatiaľ reštartovaný a vyhradené miesto v pamäti (kde sú uložené informácie o privátnom kľúči) zatiaľ nebolo prepísané.

Pomôcť tak síce dokáže len veľmi obmedzenému okruhu obetí, no stále ide zatiaľ o najväčšiu nádej. Použitie je pritom intuitívne, nástroj stačí stiahnuť a spustiť.

WannaCry kaspersky

Zdroj: Reuters

23.05.2017

+