Güncelleme 5/14 17:17 PT: Microsoft, NSA'yı, ajansın Windows'daki bir zayıflığı silahlandırmadaki rolü olduğunu söylediği için eleştirdi ve en büyük fidye yazılımı saldırısını başlatmak için kullanıldığı bildirilen bilgisayar korsanları tarafından çalınmasına izin veriyor Tarih.

Tarafından bildirildiği gibi Los Angeles zamanlarıMicrosoft'un başkanı ve baş hukuk sorumlusu Brad Smith, "Bu saldırı, hükümetlerin güvenlik açıklarının neden bu kadar sorun oluşturduğuna dair bir başka örnek daha sağlıyor" diye yazdı.

Rusya, Batı Avrupa, Doğu Asya ve Kuzey Amerika'da bilgisayar sistemlerinin kilitlendiğine dair haberlerle 12 Mayıs'ta tüm dünyaya yayılan büyük bir fidye yazılımı saldırısı. İngiliz hastaneleri ve bir İspanyol telekomünikasyon şirketi en görünür kurbanlardı, ancak en fazla sayıda saldırı Rusya'da görünüyordu.

Fransız kötü amaçlı yazılım avcısı Kafeine tarafından yakalandığı şekliyle bir WanaCrypt fidye ekranı. Kredi bilgileri: Kafeine
(Resim kredisi: Fransız kötü amaçlı yazılım avcısı Kafeine tarafından yakalandığı şekliyle bir WanaCrypt fidye ekranı. Kredi bilgileri: Kafeine)

Ne yapmak gerekiyor: Mart, Nisan veya Mayıs Windows Update paketlerini yüklemediyseniz, hemen kurun. Bundan kaçınmak için bir şans veriyorsa, sisteminizi birkaç dakikalığına kapatmaya değer. Hala Windows XP kullanıyorsanız, şansınız kalmaz, ancak Mart ve Nisan güncelleştirme paketleri Windows Vista için mevcut olmalıdır. (

GÜNCELLEME: Microsoft'un bir yama yayınladı Windows XP ve sunucu karşılığı Windows 2003 için.)

WanaCryptor 2.0, WannaCry, WCry veya WCrypt olarak adlandırılan fidye yazılımı, ABD Ulusal Güvenlik Ajansı (NSA) tarafından yıllar önce geliştirildi ve en son bir veri dökümünde kamuya açıklandı ay. Microsoft, Mart ayında saldırıya karşı Windows'a gizlice yama uyguladı, ancak görünüşe göre büyük kuruluşlardaki birçok sistem güncellenmemişti.

DAHA: Fidye Yazılımı Nedir ve Kendimi Nasıl Koruyabilirim?

Küresel etki

İngiltere'deki birkaç hastane sistemi, bilgisayar ekranlarında Bitcoin'de 300 dolar isteyen bir mesaj görüntülediğini bildirdi. İspanyol telekomünikasyon devi Telefonica, sistemlerini fidye yazılımıyla kapattırdı. Gazetenin haberine göre fidye ekranı İngiliz hastanelerini vuranlarla neredeyse aynı El Mundo.

Bir canlı interaktif harita İngiliz teknoloji blogunda yayınlanan MalwareTech, Amerika Birleşik Devletleri, Kanada, Meksika ve Güney Amerika ve Doğu Asya'daki çoğu ülkede enfeksiyonları gösterdi. Ancak Rusya da dahil olmak üzere Avrupa, en yoğun konsantrasyona sahip görünüyordu.

ZDNet İngiltere'de en az 16 Ulusal Sağlık Hizmeti (NHS) hastane sisteminin fidye yazılımından etkilendiğini ve enfeksiyonların İskoçya'da da ortaya çıktığını bildirdi. BBC bu sayıyı 25 hastane sistemine yükseltti ve Başbakan Theresa May'in durumdan haberdar edildiğini söyledi. İngiliz ve İskoç hastanelerinin randevuları ertelediği ve hastaları etkilenmemiş tesislere yönlendirdiği bildiriliyor.

Rus antivirüs firması Kaspersky Lab 74 ülkede 45.000'den fazla enfeksiyon tespit ettiğini söyledi, bunların büyük çoğunluğu Rusya'da. Çek antivirüs firması dur en kötü etkilenen ülkeler Rusya, Ukrayna ve Tayvan olmak üzere 57.000 tespit etti. İngiltere'nin NHS ve İspanya'nın bilgisayar acil müdahale ekibi her kamuya açık uyarı yayınladı

Kendini çağıran bir bilgisayar korsanlığı grubuna ait olduğu iddia edilen bir Twitter yayını SpamTech saldırının sorumluluğunu üstlendi ve "'WannaCry / WCRY' üyelerimizden biri tarafından oluşturuldu. NHS bilgisayarlarını ve önemli mühendislik işlem bileşenlerini devraldık. "Grup iddiasını doğrulamak için herhangi bir kanıt sunmadı.

Kendi kendine yayılır

Fidye yazılımı "kurtulabilir" görünüyor. Başka bir deyişle, sistemden sisteme kendi kendine bir bilgisayar solucanıinsan etkileşimine güvenmek yerine Truva atıveya masaüstü uygulamalarına geleneksel bir bilgisayar virüsü.

Arkasındaki blog yazarı "Bunun gibi bir şey inanılmaz derecede önemli" diye tweet attı. MalwareTech. "P2P'yi görmedik" - bir "eş" bilgisayardan diğerine sıçrayan kötü amaçlı yazılımlar - "yaklaşık on yıl içinde bu ölçekte istismarlarla PC'ye yayılıyor."

Diğer uzmanlar, bugünkü enfeksiyonu, yararlandığı güvenlik açığının 2008'de yamalanmış olmasına rağmen, dünya çapında bilgisayar sistemlerine saldırmaya devam eden Conficker solucanıyla karşılaştırdı.

Ancak Conficker, istenmeyen ve sahte antivirüs yazılımları göndermek için bir "botnet" in parçası olarak virüslü bilgisayarları kullanabilmek için anında zarar vermez ve gizler. Bugün yayılan solucan, iki geri sayım saati görüntüleyerek kullanıcıyı hemen varlığına karşı uyarır: ilk olarak fidye miktarının artacağı bir son tarihe, ikincisi ise tüm şifrelenmiş dosyaların ne zaman olacağı silindi.

DAHA: En İyi Kimlik Koruma Hizmetleri

300 dolarlık fidye talebi - bazı durumlarda 600 dolar - hastanelerin ve diğer büyük kuruluşların hedef olarak seçilmediğini, bunun yerine rastgele enfekte olduğunu gösteriyor. Büyük kurumlara yönelik önceki fidye yazılımı saldırılarında, kötü amaçlı yazılımı çalıştıran siber suçlular Enfekte olanların değerini anladıklarında fidye taleplerini on binlerce dolara yükseltti sistemleri.

Şifreleme anahtarları içeren dosyalar gibi resim, film, e-posta, veritabanı ve Microsoft Office dosyaları da şifreleme için hedeflenenler arasındaydı.

Kurbanlardan bazıları iki Bitcoin cüzdanıyla ödüyor gibiydi - buraya ve buraya - fidye yazılımı ekranları tarafından bugün toplamda yaklaşık 4.675 $ olan 16 ödeme bildiren alıcı olarak belirtildi.

Veritabanı yazılım üreticisi Splunk'ın siber araştırma direktörü Rich Barger yaptığı açıklamada "Kesin olan bir şey var," dedi. "Birisi çok zengin olacak veya hapiste çok uzun süre geçirecek."

NSA ile bağlar

En az iki rapor, WanaCryptor fidye yazılımının, adlı bir NSA istismarını kullandığını söyledi. ETERNALBLUE bu, WikiLeaks tarafından çevrimiçi olarak yayınlanan bir dosya önbelleğinde ortaya çıktı. ShadowBrokers 14 Nisan'da. Şifrelenmiş dosyalara ".wncry" dosya soneki verilir.

ETERNALBLUE, Microsoft'un Sunucu İleti Bloğu (SMB) protokolünde önceden bilinmeyen bir kusurdan yararlanır. (SMB, aynı ağdaki makinelerin yazıcılara, dosyalara, ağ bağlantı noktalarına ve diğer nesnelere erişimi paylaşmasına izin verir) ShadowBrokers, geçen yaz grubun çalındığını söylediği büyük miktarda bilgiyi açık artırmada satmaya çalıştı ve başarısız oldu. NSA'dan.

ShadowBrokers tarafından ETERNALBLUE kodunun kamuoyuna ifşa edilmesi, Microsoft'un açıklamasına kadar bilgi güvenliği dünyasında orta düzeyde bir paniğe neden oldu. Bir ay önce, Mart "Salı Yaması" güvenliğiyle, KOBİ kusurunu sessizce düzelttiği - ve çöplükte bahsedilen diğer birkaç kişi - çöplüğün ertesi günü güncellemeler.

GÜNCELLEME: Fidye yazılımı saldırısı, WanaCryptor'da az çok kazayla kasıtsız bir "kill switch" çalıştıran bir İngiliz bilgi güvenliği uzmanı tarafından Cuma günü durduruldu.

MalwareTech adı altında blog yazan sahte BT uzmanı, WanaCryptor'ın kodunu analiz etti ve belirli bir web adresindeki bir sunucuya ulaştığını fark etti. Bu URL'de gerçek bir sunucu olmadığını gördü, bu nedenle adres adını satın aldı - teknik terimlerle, etki alanını kaydettirdi - ve kaç tane virüslü bilgisayarın bağlanacağını görmek için kendi "çukur" sunucusunu kurdu ona.

MalwareTech'i şaşırtacak şekilde, kendisinin ve diğer araştırmacıların analiz ettiği fidye yazılımı örnekleri, virüslü makineleri şifrelemeyi aniden durdurdu.

"Etki alanını kaydettirmenin kötü amaçlı yazılımı kaydettirene kadar durduracağını bilmediğimi itiraf edeceğim, bu nedenle başlangıçta yanlışlıkla oldu," MalwareTech tweet attı Cuma günü geç. "Bu yüzden özgeçmişime yalnızca 'yanlışlıkla uluslararası bir siber saldırıyı durdurdu' ekleyebilirim."

Detaylı olarak blog yazısıMalwareTech, "sonlandırma anahtarının" fidye yazılımından gizlemek için tasarlanmış olabileceğini açıklıyor. İnternet simülasyonu yapan kısıtlı ortamlarda sıklıkla kötü amaçlı yazılım çalıştıran antivirüs araştırmacıları bağlantılar. Kötü amaçlı yazılımın arkasındaki suçlular, kimsenin bu alanı kaydettireceğini düşünmemiş olabilir.

Microsoft ayrıca yayınlama sorununu da üstlendi Windows XP ve Windows Server 2003 için fidye yazılımına karşı yamalarher ikisi de 2014 yılında düzenli güvenlik yamaları almayı bıraktı. Büyük olasılıkla, vurulan İngiliz hastanelerinin birçoğu hala birçok eski tıbbi cihazın bağlı olduğu Windows XP kullanıyor.

Sistemlerinizi WanaCryptor bulaşmasını önlemek için güncellemediyseniz, bunu hemen yapın, çünkü MalwareTech'in kapatma anahtarı kalıcı bir çözüm değildir.

Blog gönderisinde, "Dikkat edilmesi gereken çok önemli bir şey, bataryamızın yalnızca bu numuneyi durdurmasıdır" dedi. "Etki alanı kontrolünü kaldırıp tekrar denemelerini engelleyen hiçbir şey yok, bu nedenle yamalanmamış sistemlere olabildiğince çabuk yama uygulanması inanılmaz derecede önemli."

  • PC, Mac ve Android için En İyi Antivirüs Koruması
  • Tüm Zamanların En Kötü 10 Veri İhlali
  • Yönlendiricinizin Güvenliği Kokuyor: İşte Nasıl Onarılır