Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy

dodał 12 maja 2017 o 21:09 w kategorii Złośniki  z tagami:
Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy

Firmy telekomunikacyjne, banki, szpitale i ministerstwa w całej Europie padają dzisiaj jak muchy za sprawą relatywnie prostego, ale nad wyraz skutecznego ransomware, wykorzystującego dawno załataną lukę w Windowsie.

Na liście prawdopodobnych ofiar znajdują się hiszpańska firma Telefonica, instytucje finansowe w tym samym kraju, angielskie związki szpitali oraz rosyjskie MSW. Skala infekcji w zaatakowanych organizacjach jest masowa, a ransomware wykorzystuje załatany od paru miesięcy błąd w systemie Windows by rozsiewać się po kolejnych komputerach w sieci lokalnej.

Niespotykana skala ataków

Choć pierwsze informacje o infekcjach pojawiły się dopiero około piątkowego południa, to po kilku godzinach Kaspersky mówi już o odkryciu 45 000 infekcji w 74 krajach a Avast wspominał o 57 000 infekcji w zasięgu swojego systemu. Wg Avasta ransomware komunikuje się z zainfekowanymi osobami w 28 różnych językach a pierwszą aktywność tej wersji obserwowano dzisiaj ok. 8 rano.

Do mediów powoli trafiają informacje o poszczególnych ofiarach ataków. Hiszpańskie gazety wskazują, że szczególnie ucierpiał operator telekomunikacyjny Telefonica, w którym pracownikom kazano wyłączyć wszystkie komputery i iść do domów. Rzekomo zainfekowana została większość maszyn w biurach firmy. Na liście ofiar w Hiszpanii wymienia się także wiele innych, bardzo poważnych firm, ale wobec braku dowodów wstrzymamy się z przytaczaniem kolejnych marek. [Aktualizacja] Wg BBC infekcję potwierdziły m.in. FedEx, Portugal Telecom i Megafon (rosyjska sieć komórkowa).

Bez wątpienia sytuacja jest poważna także w Wielkiej Brytanii, gdzie sieci szpitali są już tradycyjnym celem ransomware. Szesnaście związków, z których każdy zrzesza po kilka szpitali, zgłosiło już infekcje swoich sieci i wydało komunikaty o tymczasowym ograniczeniu funkcjonowania (można powiedzieć, że w końcu dane pacjentów są przechowywane w zaszyfrowanej formie…). Co ciekawe, ofiarą infekcji podobno zostało także rosyjskie Ministerstwo Spraw Wewnętrznych. Niestety na mapie aktualnych infekcji widać także ślady z Polski.

Efekty i przebieg infekcji

Zainfekowane komputery otrzymują nową tapetę oraz okno z informacją o ataku. Przykładów w sieci nie brakuje – wygląda to najczęściej tak:

Zaszyfrowane pliki otrzymują rozszerzenie .WNCRY, ciąg WANACRY! zapisywany jest na początku pliku. Program prosi o wpłatę 300 dolarów (w bitcoinach) za każdą zainfekowaną stację. Cena ma wzrosnąć dwukrotnie po trzech dobach, a po tygodniu odzyskanie plików ma być już niemożliwe.

Do tej pory brak wiarygodnych informacji o sposobie przeprowadzenia pierwszej infekcji komputerów. Kilku badaczy wskazuje, że ransomware generuje ruch sieciowy odpowiadający sygnaturom exploita NSA na usługę SMB ujawnionego przez ShadowBrokers a załatanego przez Microsoft w łacie MS17-010 jeszcze w marcu tego roku. Nam udało się potwierdzić, że istotnie próbki ransomware zawierają kod mających coś wspólnego z Sambą. Istnieje podejrzenie, że pierwsza infekcja następuje poprzez załącznik z wiadomości poczty elektronicznej. Następnie złośliwy program uruchamia dwa wątki, z których jeden skanuje sieć lokalną, a drugi internet pod kątem dostępnego portu 445 i próbuje infekować odnalezione komputery.

[AKTUALIZACJA]

Oto wygląd zainfekowanego komputera w Polsce, a poniżej treść komunikatu.

Co się zdarzyło z moim komputerem?
Twoje ważne pliki są szyfrowane.
Wiele dokumentów, zdjęć, filmów, baz danych i innych plików nie jest już dostępnych, ponieważ zostały zaszyfrowane. Być może szukasz sposobu na odzyskanie plików, ale nie marnuj czasu. Nikt nie może odzyskać plików bez naszej usługi odszyfrowywania.

Czy mogę odzyskać moje pliki?
Pewnie. Gwarantujemy, że można odzyskać wszystkie pliki bezpiecznie i łatwo. Ale nie masz tyle czasu.
Możesz odszyfrować niektóre z plików za darmo. Spróbuj teraz klikając <Decrypt>.
Ale jeśli chcesz odszyfrować wszystkie pliki, musisz zapłacić.
Masz tylko 3 dni na przesłanie płatności. Następnie cena zostanie podwojona.
Ponadto, jeśli nie zapłacisz za 7 dni, nie będziesz w stanie odzyskać plików na zawsze.
Będziemy mieli wolne wydarzenia dla użytkowników, którzy są tak biedni, że nie mogli zapłacić za 6 miesięcy.

Jak mam zapłacić?
Płatność jest akceptowana tylko w programie Bitcoin. Aby uzyskać więcej informacji, kliknij przycisk <About bitcoin>.
Sprawdź bieżącą cenę Bitcoin i kup trochę bitcoinów. Aby uzyskać więcej informacji, kliknij opcję <How to buy bitcoins>.
Wyślij odpowiednią kwotę na adres podany w tym oknie.
Po dokonaniu płatności kliknij <Check Payment>. Najlepszy czas na sprawdzenie: 9:00 – 11:00 GMT od poniedziałku do piątku.
Po sprawdzeniu płatności można natychmiast odszyfrować pliki.

Kontakt
Jeśli potrzebujesz naszej pomocy, wyślij wiadomość klikając <Contact Us>.

Zalecamy, aby nie usuwać tego oprogramowania i nie wyłączyć go przez pewien czas, dopóki nie zapłacisz, a płatność zostanie przetworzona. Jeśli program antywirusowy zostanie zaktualizowany i automatycznie usunie to oprogramowanie, nie będzie można odzyskać plików, nawet jeśli zapłacisz!

A na dworcu we Frankfurcie…

Co ciekawe, wygląda na to, że program wyświetla na zmianę tylko trzy różne portfele BTC. To może oznaczać, że autorzy nie będą mogli odróżnić, kto bitcoiny wpłacił, a kto nie. Adresy portfeli to:

Obecnie znajduje się na nich 4,58 BTC, czyli nieco ponad 30 000 PLN.

Co robić, jak przeżyć

Wygląda na to, że sieci, w których komputery posiadają aktualne łaty od Microsoftu, są w dużej mierze bezpieczne – a przynajmniej nie powinno w nich dojść do wybuchu epidemii. Przykładem braku aktualizacji mogą być sieci brytyjskich szpitali, w których ciągle pokutują maszyny z Windows XP, które nie otrzymały już łaty.

Nie wątpimy, ze na całym świecie trwa właśnie wyścig, kto pierwszy opublikuje kompleksową analizę ransomware oraz odkryje metodę szyfrowania i wskaże, czy dane da się odzyskać. Czekamy zatem na kolejne doniesienia i liczymy na to, że przynajmniej w Polsce straty będą mniejsze.

Jeśli szukacie IOC to polecamy ten link. Dobrą analizę opublikował także Kaspersky, Malwarebytes, McAfee, Fox-IT oraz Talos.

Aktualizacja 2017-05-13 08:00

Wczoraj prawdopodobnie udało się zatrzymać automatyczne procesy rozprzestrzeniania się złośliwego robaka, który instalował ransomware. Jeden z badaczy zauważył, że próbka na początku swojego uruchomienia próbuje łączyć się do serwera pod adresem

W razie otrzymania informacji, ze taki serwer istnieje, próbka się wyłączała i nie przeprowadzała infekcji. Mógł to być mechanizm wyłączania opracowany przez autorów lub prosty test, czy jest uruchamiana w środowisku laboratoryjnym w celu analizy. Badacze zarejestrowali domenę i w ten prosty sposób sprawili, że wirus na całym świecie przestał infekować komputery.

Aktualizacja 2017-05-13 09:00

Microsoft jednak zaskoczył wszystkich i wydał aktualizację błędu używanego w tym ataku dla Windows XP (także Vista, 2003 i 2008).