Berta Sándor

Wanna Cry - már váltságdíj-fizetés nélkül is kikódolhatók a fájlok

A hiba régóta ismert és dokumentált volt, és a befoltozásra már Windows XP esetében is már a vírus megjelenése előtt lehetőség volt.

A Wanna Decryptor (Wanna Cry) nevű zsarolóvírus száz országban számos vállalat, hivatal és felhasználó több tízezer konfigurációját fertőzte meg, köztük voltak brit kórházak, a spanyol Telefónica, a Német Vasút, a Renault és az amerikai FedEx PC-i. A zsarolóvírus egy olyan biztonsági hibát használt ki, amelyet eredetileg az Amerikai Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) fedezett fel, majd néhány hónappal ezelőtt hackerek hoztak nyilvánosságra. A sebezhetőséget a Microsoft már márciusban befoltozta, de csak azok a konfigurációk voltak védettek, amelyekre feltelepítették az adott frissítést. Brad Smith, a Microsoft elnöke és jogi igazgatója blogbejegyzésében azt írta, hogy a hatóságok nem hívták fel kellő mértékben a figyelmet az általuk felfedezett szoftverhibákra. Az amerikai titkosszolgálatok - például a Központi Hírszerző Ügynökség (CIA) és a Nemzetbiztonsági Ügynökség (NSA) - megtartottak maguknak olyan szoftverkódokat, amelyeket a hackerek kihasználhatnak.

A The Financial Times most azt írta, hogy a Windows SMB-ben lévő nulladik napi sebezhetőség javítása a Windows XP számára már egy héttel a Wanna Cry felbukkanása előtt kész volt, de a társaság visszatartotta azt és csak azoknak az ügyfeleinek kínálták fel azt, akik fizetős terméktámogatási szerződéssel rendelkeztek. Ez utóbbi számítógépenként 1000 dollárba kerül. A társaság a Windows 7, 8 és 10 operációs rendszerekhez már márciusban kiadta a szükséges frissítést.

A Windows XP terméktámogatása 2014-ben megszűnt, azonban a fizető ügyfelek továbbra is kaphatnak javításokat. A támogatás ára 2014-ben még eszközönként 200 dollár volt, majd 2015-ben az összeg 400 dollárra emelkedett, jelenleg pedig 1000 dollár. Emellett a Microsoft egy plusz díjat is elkér, amely minimum 750 000 dollár, maximum 25 millió dollár. A magas összegek egyik oka, hogy rávegyék az ügyfeleket az újabb operációs rendszerekre való átváltásra és hogy pénzügyileg ne legyen vonzó a Windows XP további alkalmazása. A másik oka, hogy a biztonsági frissítések fejlesztésének költségei is magasabbak, mint például a Windows 7 vagy 10 esetében.

Michael Cherry, a Directions elemzője kiemelte, hogy a Microsoft ismerte a sebezhetőséget és mindenkinél tudott arról is, hogyan lehet azt kihasználni. Szerinte a javítás megfelelő időpontban való elérhetővé tételével korlátozni lehetett volna a Wanna Cry elterjedését. A Microsoft egyik szóvivője úgy reagált, hogy a tovább nem támogatott operációs rendszerekre kötött terméktámogatási megállapodások csupán vészmegoldások. Szeretnék előnyben részesíteni a vállalatok operációs rendszereinek frissítését az individuális támogatás helyett. Egyetértenek a biztonsági szakértőkkel abban, hogy a legjobb védelmet az aktuális operációs rendszer jelenti, amelyet ellátnak a legfontosabb biztonsági technikákkal. A régi rendszerekben hiányoznak ezek a funkciók, akkor is, ha ellátják azokat az összes frissítéssel.

A mindennapi munkához egy-egy szervezetnél számtalan különféle rendszert és szoftvert használnak, amelyekhez napi szinten érkeznek hibajavítások. Ezeket az informatikai szakemberek először tesztelik, hogy a frissítés után is valóban megfelelően működnek-e a megoldások. Majd telepíteniük kell a javítást minden egyes rendszeren és végponton, ahol az adott szoftvert használják. Mindez időigényes feladat, ráadásul a működésben is kiesést okoz. Ezért számít bevett gyakorlatnak, hogy a szervezeteknél nem gondoskodnak azonnal a patchek kiosztásáról. Ezzel viszont a biztonságot áldozzák fel az időtakarékosság és az üzletfolytonosság oltárán, amint arra a WannaCry esete is rávilágított.

Azóta elérhetővé váltak az első dekódoló megoldások a Wanna Cry segítségével titkosított fájlokhoz. Az első tesztek alapján az eszközök a Windows XP-n és 7-esen egyaránt működnek. Adrien Guinet francia biztonsági kutató a Wannakey nevű programot alkotta meg, amely nem a dekódoló kulcsot keresi, hanem a memóriát kutatja át prímszámok után, amelyekből kiszámítható a kód. Fontos azonban, hogy a fertőzés után nem szabad újraindítani a számítógépet. Benjamin Delpy, egy másik francia biztonsági kutató pedig a Wanakiwi nevű megoldást fejlesztette ki.

Szintén halad a nyomozás az elkövetők irányában, Neel Mehta, a Google egyik kutatója hasonlóságot vélt felfedezni a WannaCry programsorában a 2015-ben a Lazarus csoport által használt kódjával. A Lazarus csoportot teszik felelőssé többek között a Sony elleni támadásért, valamint a bangladesi központi bank elleni 23 milliárd forint (81 millió dollár) összértékű rablásért, azaz szerinte profi észak-koreai csapatról van szó. A G Data szerint néhány megfertőzött áldozat számára a támadók üzeneteket is küldtek. Ebben felhívják az áldozatok figyelmét arra, hogy adják meg egyedi Bitcoin azonosítójukat egy órával azelőtt, hogy kifizetnék a váltságdíjat. Ez a zsarolók szerint megkönnyíti az „ügyintézést”. A G DATA szerint a bűnözők akciója annyira jól sikerült, hogy ez felkészületlenül érte őket, és most problémáik vannak azzal, hogy lépést tartsanak a feloldókulcsok kiadásával.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Ender Wiggin #2
    Olyan ez, mint az a fasza kis sms üzi a belügytől pár éve télen: "Ne hagyja el a gépjárművét! Ha elfogy az üzemanyaga, üljön át másik gépjárműbe!" :-)))
  • wollnerd #1
    "Fontos azonban, hogy a fertőzés után nem szabad újraindítani a számítógépet."
    Hát akkor ez haszontalan megoldás ez...
    Csomó WannaCry-os hír arról szólt hogy: "Ha megfertőzött, akkor gépet KAPCSOLJA KI!...."
    Így ez a két "megoldás" semmit se ér...