WannaCry

Από τη Βικιπαίδεια, την ελεύθερη εγκυκλοπαίδεια
Μετάβαση σε: πλοήγηση, αναζήτηση
Χώρες που δέχτηκαν επίθεση από το σκουλήκι αυτό.

Το σκουλήκι υπολογιστών WannaCry ήταν μια κυβερνοεπίθεση λυτρισμικού (ransomware) σε υπολογιστές σε όλο τον κόσμο που τρέχουν το λειτουργικό σύστημα Windows, με την οποία κρυπτογραφούνταν αρχεία και ζητούνταν λύτρα 300-600 δολαρίων μέσω Bitcoin για να αποκτήσει ο χρήστης και πάλι πρόσβαση στα αρχεία του. Η επίθεση κράτησε τρεις μέρες, από τις 12 Μαΐου μέχρι τις 15 Μαΐου 2017.

Το WannaCry είναι βασισμένος από το EternalBlue της NSA, ένα exploit του πρωτοκόλλου SMB των Windows. Έγινε leak από τους Shadow Brokers στις 9 Απριλίου, ένα μήνα πριν την επίθεση. Η Microsoft, στις 14 Μαρτίου, έβγαλε μια ενημέρωση που προστατεύει τα λειτουργικά της συστήματα απ' αυτό το exploit. Η ενημέρωση αυτή είναι γνωστή και ως MS17-010.

Επιθέσεις και αντίμετρα[Επεξεργασία | επεξεργασία κώδικα]

Κάποιες από τις πρώτες επιθέσεις, στις 12 Μαΐου, συνέβησαν στο Εθνικό Σύστημα Υγείας στο Ηνωμένο Βασίλειο, σε υπηρεσία κινητής τηλεφωνίας στην Ισπανία, στην εταιρεία μεταφορών FedEx και σε εταιρία τρένων.

Ο Μάρκους Χάτσινς, ένας 22χρονος προγραμματιστής από το Βόρειο Ντέβον της Βρετανίας, βρήκε ένα αποτελεσματικό kill-switch (δηλαδή έναν τρόπο να απενεργοποιεί το WannaCry) γράφοντας το όνομα domain που βρήκε στον κώδικα του λυτρισμικού με την οποία έκανε την διάδοση του σκουληκιού πιο αργή. Αργότερα, κυκλοφόρησε μια καινούργια έκδοση, η οποία δεν διαθέτει kill-switch.

Τα λειτουργικά συστήματα Windows, στα οποία έχει λήξει η υποστήριξη, όπως τα Windows XP και Windows Server 2003, έμπαιναν σε κίνδυνο, οπότε η Microsoft έβγαλε επείγοντες ενημερώσεις για τα λειτουργικά αυτά. Σχεδόν όλα τα θύματα της επίθεσης αυτής έτρεχαν Windows 7.

Μια μέρα μετά την εκκίνηση της επίθεσης, το Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης δέχτηκε επίθεση από το σκουλήκι αυτό.[1]

Σχετικά με την κυβερνοεπίθεση[Επεξεργασία | επεξεργασία κώδικα]

Το WannaCry ξεκίνησε να διαδίδεται πολύ γρήγορα σε υπολογιστές απ' όλο τον κόσμο περίπου από τις 7:44 π.μ. (UTC). Πρώτα ο ίος ελέγχει αν υπάρχει το kill-switch domain και, εάν δεν βρεθεί, αρχίζει και κρυπτογραφεί αρχεία σε υπολογιστές θυμάτων. Στη συνέχεια προσπαθεί να σπάσει το SMB κάθε υπολογιστή για να διαδώσει τον ιό σε τυχαίους υπολογιστές, αλλά και σε όλο το δίκτυο του θύματος. Όπως όλα τα ransomware εμφανίζει ένα μήνυμα το οποίο έχει διάφορες πληροφορίες, όπως πληροφορίες πληρωμής, με το ποσό να ξεκινά από τα 300 δολάρια. Μετά από τρεις ημέρες, το ποσό αυξάνεται κατά 300 δολάρια. Επτά μέρες μετά την επίθεση του θύματος, ο ιός διαγράφει τα αρχεία που βρίσκονται στον υπολογιστή. Ο τρόπος πληρωμής γίνεται μέσω Bitcoin. Ως τις 14 Ιουνίου είχαν γίνει πάνω από 300 πληρωμές με ποσό που έφτασε συνολικά τα 130.000 δολάρια.

Παραπομπές[Επεξεργασία | επεξεργασία κώδικα]