Zaregistrovať sa

Heslo vám bude zaslané na vás.

Za 24 hodín dokázal ransomware WannaCry zablokovať 75000 počítačov v 99 krajinách sveta. Napriek závažnosti a veľkosti útoku vyzerá riešenie problému docela jednoducho. Stačí ak niekto zaregistruje konkrétnu webovú doménu.

Ransomware je typ malwaru, ktorý zablokuje počítač a za odblokovanie väčšinou požaduje zaplatiť. Jeho popularita priamo stúpala s popularitou BitCoinu, keďže platby decentralizovanou menou sú skoro nevystopovateľné a transakcie sa nedokážu priamo priradiť k určitej osobe. Ransomware WannaCry sa nevyhol ani kritickým systémom. Infikované boli počítače v nemocniciach po celom Spojenom Kráľovstve, alebo systémy distribúcie vody a plynu v Španielsku. Bezpečnostní odborníci však našli takzvaný killswitch v kóde ransomwaru WannaCry.

Počas inštalácie sa totiž pýta pomocou HTTP požiadavky na existenciu konkrétnej, dosť obskurnej webovej domény. Doména mala podobu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com a jedná sa pravdepodobne o náhodnú hodnotu, alebo nejaký hash. Pokiaľ doménu nájde, preruší sa inštalácia. Toto je závažná informácia, keďže to dokáže zastaviť šírenie škodlivého kódu aj na systémoch bez zabezpečenia.

Odborníci špekulujú či tam túto funkciu implementoval autor kvôli kontrole nad šírením vírusu, alebo to malo len čisto praktický dôvod. Odborník vystupujúci pod menom MalwareTech, ktorý slabinu vírusu odhalil vysvetlil pravdepodobný hlavný dôvod tejto funkcie. Tá mala totiž zabrániť antivírovým spoločnostiam odhaliť tento škodlivý kód.

net

Antivírové spoločnosti totiž testujú podozrivé súbory v izolovanom sandboxovom prostredí. Kvôli limitáciam takéhoto prostredia tak systém vracia dotaz na doménu ako pozitívny. Preto sa v laboratórnych podmienkach tento kód nespustí a WannaCry tak stihol infikovať veľké množstvo systémov než bol odhalený. Avšak odhalenie tejto chyby nemusí znamenať koniec tohoto vírusu, keďže boli nájdené ďalšie varianty tohoto kódu s rôznymi doménami.

Najväčšiu obavu vytvára hlavne agresívne šírenie tohoto vírusu. Ten sa totiž hneď po inštalácii snaží šíriť v lokálnej sieti, a to pomocou komunikácie SMB na porte 445. Využíva tak slabinu v systéme Windows. Aj keď registrácia domény na chvíľku zablokuje šírenie vírusu, jediná efektívna obrana je aktualizácia systému a antivírovej databázy.

Komentuj!

komentárov

O autorovi

Daniel

Herný vývojár pre pražské štúdio publikujúce pod EA. Hry som hrával prakticky od malička už skoro v predškolskom veku. Medzi moje konzoly patrili Sega Genesis, PlayStation, Xbox 360 a Xbox One. A samozrejme som vystriedal niekoľko herných počítačov. Inak som zapálený programátor a hráč a venujem sa aj hardvéru. Medzi moje obľúbené série patrí Bioshock, Batman, Mirror's Edge, Dead Space a Deus Ex.

Súvisiace príspevky