WannaCry on vakava kryptohaittaohjelma, joka osui Internet-yhteisöön perjantaina 12. toukokuuta 2017. Aluksi sitä on kutsuttu nimellä Wana Decrypt0r lukitusnäytössä olevan sisäisen nimen vuoksi. Tietoturvaasiantuntijat huomasivat kuitenkin pian, että sillä on enemmän muunnelmia, mukaan lukien Wana Decrypt0r, WannaCryptor, WannaCrypt, Wcry tai WNCRY, ja vaihteluiden odotetaan jatkuvan ilmaantuvan.
Ensimmäinen WannaCry-versio, Wana Decrypt0r 2.0, havaittiin 12. toukokuuta 2017 sen jälkeen, kun se osui espanjalaisiin Telefonicaan, Portugal Telecomiin ja NHS: n sairaaloihin Englannissa.[1] Kiristysohjelmat eivät kuitenkaan rajoittuneet organisaatioihin vaan hyökkäsivät vanhempiin kotitietokoneisiin Windows-versiot, joista puuttuvat Microsoft-korjaukset, jotka on indeksoitu MS17-010, CVE-2017-0146 ja CVE-2017-0147.[2] Tämä haittaohjelma onnistui saastuttaa muutamassa päivässä yli 230 000 tietokonetta 150 maassa, ja nämä luvut tekevät WannaCryn linjassa pahamaineisimpien kiristysohjelmatartuntojen kanssa Kuten Locky tai Cerber.
WannaCryptor tunkeutuu järjestelmään EternalBlue-haavoittuvuuden kautta, joka havaittiin Windows Vista-, 7-, 8-, 10- ja Windows Server -versioissa. Tämä haavoittuvuus on korjattu tietoturvapäivityksillä MS17-010, CVE-2017-0146 ja CVE-2017-0147, mutta monet tietokoneet ohittivat päivityksen ja jättivät haavoittuvuuden avoimeksi.
Valitettavasti, jos WannaCry ransomware salaa tiedot (käyttää AES- ja RSA-algoritmeja), tiedostojen salausta ei ole mahdollista purkaa ilmaiseksi. Ihmiset voivat maksaa lunnaita hakkereista, palauttaa tiedot varmuuskopioiden avulla tai unohtaa kyseiset tiedostot.[3]
Päivitys 2018
Tätä virusta pidettiin vanhana uhkana, joka on ollut suhteellisen hiljainen, mutta vuoden 2018 kolmannella neljänneksellä julkaistiin uutisia WannaCryn viimeaikaisesta toiminnasta ja tartunnoista ympäri maailmaa. Tämä kryptovirus on vaikuttanut jo useimpiin laitteisiin heinäkuussa 2018 alkaneiden nykyisten tapausten jälkeen.
Estettyjen WannaCry-lähetysten kokonaismäärä vuoden 2018 kolmannella neljänneksellä on raportoitu 947 027 517, ja toimintaa on havaittu vähintään 203 maassa. Toiminta osoittaa, että tämä kryptovirus ei ole kuollut ja vaara on todellinen. Varsinkin kun kiristysohjelmahyökkäykset vaikuttavat yhä enemmän suuriin yrityksiin ja palveluihin.[4]
WannaCryllä on myös salauksenpurkulaitteita, jotka useat tutkijat ovat kehittäneet näiden hyökkäysten vuoden aikana. GitHub julkaisi salauksenpurkutyökalut eri versioille, ja ne saattavat toimia uusissa ja aktiivisissa uhkaversioissa.
WannaCryn menestys antoi mahdollisuuden kopioida taktiikkaa
Valitettavasti WannaCryn valtava "menestys" pakotti kiristysohjelmien kehittäjät luomaan ja julkaisemaan kopiot haittaohjelmista. Kirjoitushetkellä tietoturva-asiantuntijat rekisteröivät kahdeksan WannaCry-kopiota, joista osa on kehitysvaiheessa, osa on jo julkaistu. Ole siis erittäin varovainen ja varmista, että suojaat tietokoneesi kunnolla. Nämä ovat Wana Decrypt0r -kopiot:
Nro 1. DarkoderCrypt0r
DarkoderCrypt0r salaa tietokoneiden työpöydällä olevat tiedostot, käyttää lunnaita varten vaadittua WannaCryptor-lunnasohjelmiston kaltaista lukitusnäyttöä ja suorittaa kaikki muut edeltäjälle tyypilliset toiminnot. Suoritettava tiedosto on nimetty @[sähköposti suojattu] Kaikki salatut tiedot saavat .DARKCRY-tiedostotunnisteen ja PC-käyttäjää kehotetaan maksamaan 300 Yhdysvaltain dollarin lunnaita. Tällä hetkellä se käyttää HiddenTear-koodia, mikä tarkoittaa, että sen salaamat tiedostot voidaan helposti purkaa.
Nro 2. WannaCrypt v2.5
WannaCrypt v2.5 lunnasohjelma on tällä hetkellä kehitysvaiheessa. Jos se saastuttaa tietokoneen, se ei lukitse tiedostoja, paitsi että se näyttää lukitusnäytön ja vaatii maksamaan 600 dollarin lunnaita. Se ei ole vielä vaarallista, mutta voi pelotella ihmisiä kuoliaaksi.
Nro 3. WannaCrypt 4.0
WannaCrypt 4.0 on jälleen yksi WannaCry-viruskopio, joka voidaan vielä luokitella ei-haitalliseksi. Se leviää aivan kuten mikä tahansa muu kiristysohjelma, paitsi että se ei salaa tiedostoja. Lunnasilmoitus, lukitusnäyttö ja muut tiedot tarjotaan thai-kielellä, mikä tarkoittaa, että se on kohdistettu Thaimaan käyttäjille.
Nro 4. Aron WanaCrypt0r 2.0 Generator v1.0
Aron WanaCrypt0r 2.0 Generator v1.0:aa kutsutaan mukautettavaksi WannaCry Ransomware -generaattoriksi. Sen avulla ihmiset voivat valita tekstin, värit, kuvat, fontin ja muut WannaCry-lukitusnäytön asetukset. On arveltu, että hakkerit käyttävät myös Wana Decrypt0r -suoritettavaa tiedostoa ja levittävät sitä lunnaiden tuottamiseksi. Onneksi tämä "palvelu" ei ole vielä saatavilla. Ihmiset voivat luoda vain mukautetun WannaCry-lukitusnäytön, mutta ransomware-suoritettavaa tiedostoa ei levitetä.
Nro 5. Wana Decrypt0r 2.0
Wana Decrypt0r 2.0 -suoritettava tiedosto on MS17-010.exe. Lukitusnäyttö ja lunnaat ovat samanlaisia kuin WannaCry. Indonesialainen versio viruksesta on saatavilla.
Nro 6. @kee
@kee ransomware salaa henkilökohtaiset tiedostot ja tarjoaa lunnaita koskevan huomautuksen "Hei! Fellow @kee User!.txt" -tiedosto.
Nro 7. WannaDecryptOr 2.0
WannaDecryptOr 2.0 ei ole vielä täysin kehitetty. Se pystyy saastuttamaan tietokoneita, mutta ei voi salata tiedostoja. Lisäksi se on lukitusnäyttö, eikä lunnaita koskeva huomautus anna tietoa viruksesta eikä ohjeita lunnaiden maksamiseen. Siitä huolimatta on erittäin tärkeää poistaa virus, koska se voidaan päivittää pian ja salata tiedostot myöhemmin.
Nro 8. Haluatko tilata 1.0
Ei vielä paljoa tietoa saatu. Tämä on Java-kielellä kirjoitettu uhka, jonka väri on harmaa, kuten aiemmin tunnettu lunnaat-ikkuna.
Kuten näet, WannaCry-viruksella on monia klooneja, joista osa on jo jaettu ja osa kehitysvaiheessa. On kuitenkin tärkeää päivittää ja suojata tietokoneesi oikein. Sisään Tämä ja Tämä Viestistä löydät tietoa siitä, mihin varotoimenpiteisiin sinun tulee ryhtyä suojautuaksesi WannaCry-hyökkäykseltä ja mihin toimiin tulisi ryhtyä, jos tietokoneesi on jo saanut tartunnan. Näiden ennaltaehkäisevien toimenpiteiden avulla suojaat järjestelmää kaikilta WannaCry-versioilta, mukaan lukien sen jäljittelijät.