WannaCry

WannaCry (WannaCrypt) je izsiljevalski virus, ki je maja leta 2017 povzročil enega največjih kibernetskih napadov v svetovnem spletu. Izkoristil je varnostne ranljivosti in pomanjkljivosti ne posodobljenih operacijskih sistemov, ter napadel računalnike, ki imajo nameščene Microsoftove operacijske sisteme (Vista, 7, 8, 10 in XP). Uporabnikom je zašifriral shranjene datoteke, za njihovo povračilo pa je zahteval plačilo odkupnine. Na tak način je prizadel je več kot 300.000 računalnikov, poleg posameznih uporabnikov so bila med žrtvami tudi številna podjetja. ^[1]

Izsiljevalski virus se je prvič pojavil 12. maja 2017, v obliki priponke v elektronski pošti. Širjenje zlonamerne programske kode je zaustavil 22-letnik Marcus Hutchins iz Velike Britanije znan tudi pod vzdevkom Malwaretechblog. Ta je v kodi virusa odkril zapisano ime domene, ki ob registraciji deluje kot mehanizem za zaustavitev širjenja. To pomeni, da je imel virus vdelano varnostno zavoro. Kljub temu, da je bilo širjenje zaustavljeno v dveh dneh se škoda ocenjuje na vrednost med 100 milijonov in milijardo USD. Virus danes ni več dejaven, vendar množica računalnikov po svetu še nima zakrpane varnostne luknje, ki pa jo za širjenje že izrabljajo drugi računalniški virusi.^[2]^[3]

Delovanje virusa WannaCry uredi

Virus je deloval tako, da je ob okužbi računalnika naredil kopije vseh datotek na trdem disku in izbrisal originalne datoteke. Te kopije pa je zakodiral, tako da je bil dostop možen le s ključem za dešifriranje. Uporabnik zato do teh datotek ni imel dostopa. V najhujšem primeru pa mu je bil celo onemogočen dostop do računalnika. Datoteke oziroma podatke so lahko uporabniki dobili nazaj le, če so imeli narejen backup oz. varnostno kopijo. Če varnostne kopije podatkov niso imeli, so lahko datoteke dobili nazaj s plačilom v vrednosti 300 USD oz. 275 evrov v virtualni valuti Bitcoin, vendar pa je virus po treh dneh zahtevani znesek podvojil. Če zneska uporabniki oz. žrtve niso poravnali v enem tednu, je virus izbrisal datoteke. Vendar pa tudi s plačilom odškodnine ni bilo zagotovila, da bodo žrtvam povrnjeni izgubljeni podatki.^[1]

Širjenje uredi

WannaCry je deloval kot črv (worm), to pomeni, da se je razširi avtomatsko brez vednosti uporabnika. Izkoristil je luknjo v varnostnem sistemu ter napadel računalnike in računalniške sisteme na internetu, ki niso imeli ustrezno posodobljenega antivirusnega programa. Za črve je značilno tudi, da se razširijo zelo hitro, WannaCry se je v enem dnevu razširil po celem svetu. Izvorna okužba je bila kasneje izsledena v Azijo. Prvi računalnik se je okužil preko protokola SMB, za skupno rabo in deljenje datotek. Virus se je nato samodejno razširil še na druge računalnike, ki so bili povezani na isto omrežje. Kasneje pa se je širil preko hiperpovezav (maili, dropbox linki, oglasi, spletne strani) in zlonamerne programske opreme. Računalnik se je lahko okužil tudi s klikom uporabnika na prejeto okuženo datoteko oz. z obiskom okužene spletne strani.^[1]^[3]

Zaščita uredi

Virus je za širjenje izkoriščal ranljivosti v varnostnem sistemu računalnika, ki pa so jih razvijalci programske opreme Microsoft Windows z varnostnim popravkom odpravili že po nekaj dneh od prve okužbe. Kasneje pa so izdali ustrezne varnostne posodobitve še za starejše operacijske sisteme (2003, 2008 in XP). Računalnik je pred zlonamerno programsko opremo mogoče zaščititi s posodobitvijo operacijskega sistema in antivirusnega programa, skrbjo za obnovo podatkov in previdnejšim odpiranjem neznanih datotek. ^[2] ^[4]

Storilec uredi

Po nekaterih podatkih naj bi bila izvorna država iz katere je bil razposlan virus WannaCry Severna Koreja, razvila pa naj bi jo poznana hekerska skupina The Shadow Brokers, ki je leta 2013 ukradla zaupne podatke ameriške agencije NSA. S tem so odkrili ranljivosti Microsoft Windows operacijskih sistemov, ki jih je ameriška agencija razvijala za namene državne varnosti. Kljub domnevam, uradno storilci oziroma razvijalci virusa WannaCry niso znani ^[4]^[5]

Žrtve in povzročena škoda uredi

WannaCry se je razširil v več kot 150 držav po celem svetu. Največ škode je povzročil v Rusiji, Ukrajini, ZDA, Indiji, na Kitajskem, Tajvanu in v Braziliji. Celotna škoda kibernetskega napada je nekje med 100 milijonov in milijardo USD. Prizadel je posameznike, še posebej nevaren pa je bil za večje organizacije, npr. letališča, banke, univerze, bolnišnice in druge vladne ter nevladne službe. Med žrtvami so bile na primer organizacije kot so UK’s National Health Service, Deutsche Bahn, Spanish company Telefónica, FedEx, Hitachi, Renault, ruski mobilni operater Megafon na Slovenskem pa tudi Revoz. Škoda, ki jo je povzročil virus je imela zelo velike posledice, še posebej v zdravstvenem sektorju. Zakodirane bolniške kartoteke, zapiski zdravnikov in baze podatkov so bili nedostopni in neuporabni. Tako je bilo tudi v drugih sektorjih. Zaradi virusa so proizvodnjo in delovanje za več ur zaprla tudi druga podjetja, saj je virus zašifriral vse njihove podatke. V Rusiji je bilo med žrtvami tudi Ministrstvo za notranje zadeve, ki posledično ni moglo izdajati vozniških dovoljenj in registrskih tablic. Na Slovenskem pa je svojo proizvodnjo zaprlo tudi podjetje Revoz v avtomobilski industriji, ki je zaradi tega proizvedla 400 avtomobilov manj. Pri ocenjevanju škode takšnih primerov je poleg finančne škode potrebno upoštevati tudi čas, ki se porabi za ponovno vzpostavitev sistemov, izgubljene datoteke, izpad poslovanja in druga posredna škoda. Strokovnjaki so po napadu uspeli spisati orodje imenovano WannaKiwi, ki je lahko v nekaterih primerih našel ključ za dešifriranje, vendar samo če računalnik po okužbi ni bil ponovno zagnan. To je naredil tako, da je v pomnilniku poiskal naključna števila, ki so bila uporabljena za generiranje šifrirnega ključa. V primeru, ko mu je to uspelo je lahko ugotovil ključ in dešifriral podatke. Na ta način so nekatera podjetja lahko zmanjšala škodo, vendar pa je bilo orodje WannaKiwi samo delna rešitev. Edina rešitev, ki obstaja v primeru okužbe z izsiljevalskimi virusi so varnostne kopije podatkov.^[6]^[7]

Sklici uredi

↑ ^1,0 ^1,1 ^1,2 »WannaCry«. Malware Wiki (v angleščini). Arhivirano iz prvotnega spletišča dne 19. januarja 2018. Pridobljeno 19. januarja 2018.
↑ ^2,0 ^2,1 Woollaston, Victoria. »WannaCry ransomware: what is it and how to protect yourself«. Pridobljeno 19. januarja 2018.
↑ ^3,0 ^3,1 »What you need to know about the WannaCry Ransomware« (v angleščini). Pridobljeno 19. januarja 2018.
↑ ^4,0 ^4,1 »Računalniške novice«. m.racunalniske-novice.com. Pridobljeno 19. januarja 2018.
↑ Schneier, Bruce. »Who Are the Shadow Brokers?«. The Atlantic (v ameriški angleščini). Pridobljeno 23. januarja 2018.
↑ »WannaCry ransomware – what it is and how to protect your PC | Avast«. www.avast.com. Pridobljeno 19. januarja 2018.
↑ Jegorov, Oleg (20. maj 2017). »Virus WannaCry: Zakaj je najbolj prizadel ravno Rusijo?«. Pridobljeno 23. januarja 2018.

Zunanje povezave uredi

[:0-1] 1,0 ^1,1 ^1,2 »WannaCry«. Malware Wiki (v angleščini). Arhivirano iz prvotnega spletišča dne 19. januarja 2018. Pridobljeno 19. januarja 2018.

[:1-2] 2,0 ^2,1 Woollaston, Victoria. »WannaCry ransomware: what is it and how to protect yourself«. Pridobljeno 19. januarja 2018.

[:3-3] 3,0 ^3,1 »What you need to know about the WannaCry Ransomware« (v angleščini). Pridobljeno 19. januarja 2018.

[:2-4] 4,0 ^4,1 »Računalniške novice«. m.racunalniske-novice.com. Pridobljeno 19. januarja 2018.

[5] Schneier, Bruce. »Who Are the Shadow Brokers?«. The Atlantic (v ameriški angleščini). Pridobljeno 23. januarja 2018.

[6] »WannaCry ransomware – what it is and how to protect your PC | Avast«. www.avast.com. Pridobljeno 19. januarja 2018.

[7] Jegorov, Oleg (20. maj 2017). »Virus WannaCry: Zakaj je najbolj prizadel ravno Rusijo?«. Pridobljeno 23. januarja 2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]