Video: Reversing WannaCry Part 1 - Finding the killswitch and unpacking the malware in #Ghidra (September 2024)
Hundratusentals datorer attackerades av ransomware känt som WannaCry på fredag och kastade statliga myndigheter och privata företag runt om i världen i oordning. Om du har undrat vad som egentligen hände, här är lowdown.
Vad är WannaCry?
WannaCry är namnet på en allvarlig stam av ransomware som drabbade Windows-datorer över hela världen och började på fredag. De som var infekterade hittade sina datorer låsta, med hackare som krävde en lösning på $ 300 för att låsa upp enheten och dess filer.
Hur smittades människor?
Liksom många infektioner med skadlig kod verkar det som om mänskliga fel är skylden. Enligt The Financial Times laddade någon i Europa ned en komprimerad zip-fil som var kopplad till ett e-postmeddelande och släppte WannaCry på den personens dator. Många andra gjorde detsamma, och när allt sagt och gjort påverkades minst 300 000 enheter globalt.
Det suger, men det är deras problem, eller hur?
Inte exakt. Bland de drabbade datorerna var de som användes av Storbritanniens National Health System (NHS). Med datorer låsta kunde personalen inte komma åt patientjournaler och andra grundläggande tjänster. Utnämningar och operationer avbröts och medicinska anläggningar stängdes när NHS försökte stoppa spridningen av WannaCry. Påverkades också: Tysklands järnvägssystem, Renault- och Nissan-fabriker, FedEx, spanska telekom Telefonica och till och med Rysslands centralbank.
Under en pressmöte på måndag sade hemsäkerhetsrådgivare Tom Bossert att WannaCry inte hade drabbat några amerikanska regeringssystem.
Är min PC i fara?
Om du kör Windows 10 är du säker, eftersom WannaCry inte riktar sig mot Microsofts senaste operativsystem.
Om du kör andra, versioner av Windows som stöds (Vista, Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016), har en patch som Microsoft släppte i mars adresserat den sårbarhet som WannaCry riktar sig till. Så förhoppningsvis installerade du eller ditt kontors IT-avdelning den uppdateringen.
Det finns dock vissa människor som fortfarande kör åldrande versioner av Windows; 7 procent kör fortfarande Windows XP trots att Redmond inte längre ger ut säkerhetsuppdateringar för det. Så Microsoft tog det ovanliga steget att släppa ett WannaCry-patch för gamla versioner av Windows som det inte längre stöder, inklusive Windows XP, Windows 8 och Windows Server 2003.
Oavsett vilken version av Windows du har, se till att du är uppdaterad med dina säkerhetsuppdateringar.
Ransomware är inte nytt; varför är det så stort?
WannaCry använder en exploit känd som EternalBlue utvecklad av US National Security Agency (NSA), som använde den för att följa sina egna mål. Tyvärr läckte EternalBlue och andra NSA-hackverktyg online förra året av en grupp känd som Shadow Brokers och placerade dessa kraftfulla verktyg i händerna på alla som kan använda dem.
Är det fortfarande en fråga?
Helt av en slump lyckades en brittisk forskare, känd som MalwareTech, hobbla spridningen av WannaCry under helgen. Han skaffade ett prov av skadlig kod på fredagen och körde det som en virtuell miljö. Han märkte att det pingade ett oregistrerat domän, så han registrerade det själv, som han ofta gör i dessa typer av situationer. Tur för honom (och otaliga offer), WannaCry låste bara datorer om det inte kunde ansluta till den aktuella domänen. Innan MalwareTech registrerade domänen fanns den inte, så WannaCry kunde inte ansluta och system röstades om. Med domänen inställd, anslöt WannaCry och dödade i huvudsak och skyddade datorer.
Bra, så är vi klara här?
Inte så snabbt. Rapporter om nya WannaCry-varianter dyker upp, så var uppmärksam och se var du klickar.
Vad händer om min dator var omlöst?
Även om det verkar som att många har betalat det lös som krävs av hackarna, varnar säkerhetsexperter mot att överlämna dina kontanter.
"Från och med detta skrivande har de 3 bitcoin-kontona som är kopplade till WannaCry ransomware samlat mer än $ 33 000 mellan dem. Trots detta har inte ett enda fall rapporterats om någon som har fått sina filer tillbaka, " varnade Check Point i en söndags blogginlägg. "WannaCry verkar inte ha ett sätt att associera en betalning till den som gör det."
Bossert ekade det idag och sa att cirka 70 000 dollar hade betalats ut sedan fredagen, men det finns inga bevis för dataåterhämtning.
Om du har drabbats är ditt bästa alternativ att återställa från säkerhetskopiering. välrenommerade säkerhetsföretag har också ransomware-dekrypteringsverktyg. Du kan också använda ett verktyg som FixMeStick; sätt bara in enheten, starta i sin Linux-baserade miljö och låt den ta hand om problemet. Det kommer inte att återställa filer, men det kommer (förhoppningsvis) att rensa skadlig programvara. När din dator är igång igen, se till att du har ett robust antivirusprogram och det bästa ransomware-skyddet.
Mer information finns i Hur du skyddar och återhämtar ditt företag från Ransomware.
Hur kan vi hindra att detta händer igen?
Var uppmärksam på e-postmeddelanden med bilagor eller länkar; även om meddelandet verkar komma från någon du känner, dubbelkolla e-postadressen och leta efter några udda formuleringar eller bilagor du inte förväntar dig från den personen. Vid tveksamhet, meddela personen separat för att fråga om de verkligen skickade ett e-postmeddelande som kräver att du laddar ner en bilaga.
Mer allmänt tog Microsoft under tiden NSA till uppgift för att "lagra" dessa sårbarheter.
"Detta är ett växande mönster under 2017. Vi har sett att sårbarheter lagrade av CIA dyker upp på WikiLeaks, och nu har denna sårbarhet som stulits från NSA påverkat kunder runt om i världen, " skrev Microsofts president och chefsjurist, Brad Smith, i ett blogginlägg som liknade läckorna till den amerikanska militären "med några av sina Tomahawk-missiler stulna."
