A hétvégén a fél, majd aztán rövidesen kiderült, voltaképpen az egész világot megszívatta az NSA kódja. Pénteken indult egy minden eddiginél brutálisabb ransomware-támadás, amit egy olyan zsaroló programmal hajtottak végre, amelynek forrása állítólag az NSA-tól került ki, amikor máig ismeretlen hackerek tokkal-vonóval elvitték az NSA kiberarzenálját. Amit akkor írtunk, hogy ez nagy baj lehet, be is igazolódott.

Pénteken elszabadult egy olyan – az NSA-tól kikerült – vírus, amely vasárnapra több mint 200 ezer rendszer állományait titkosította annak ellenére, hogy már a fertőzés második napján rátaláltak egy lehetséges ellenszerére. A helyzet annyira súlyos, hogy még a magyar kormány is riasztást adott ki, sőt egy blogbejegyzésben is részletezte a problémát.

Minden eddiginél brutálisabb támadás

A WannaCry sikeréhez persze az is kellett, hogy a hackerek találtak egy olyan rést a Windowsban, ami segített neki (a zsaroló programmal találkozhatunk WanaCrypt0r, WannaCrypt, Wcry vagy Wana Decrypt0r néven is). A vírus kétféle módon terjed: vagy a DOUBLEPULSAR nevű károkozót használja, vagy kihasznál egy windowsos hibát. Csakhogy egy olyant, hívja fel a figyelmet a Biztonságportál, amit a Microsoft már márciusban javított (MS17-010-es közlemény).

A WannaCry sok szempontból tipikus zsaroló program: fájljainak létrehozása – sok .wnry kiterjesztésű állományt hoz létre – és a regisztrációs adatbázis átírása után megkeresi a számára érdekes fájlokat, és azokat titkosítja. A WannaCry szinte mindent kódol: dokumentumokat, multimédia fájlokat és adatbázisok állományait (pl. dbf, mdb) egyaránt. Utána pedig megjeleníti a követeléseit. A vezérlőszerverével a Tor adta lehetőségek kihasználásával kommunikál, így nem is nyomozható vissza.

A zsaroló annyira sikeres, hogy pár napon belül az "árfolyama" is emelkedett: eredetileg 300 dollárnak megfelelő bitcoint követelt a titkosítás feloldásáért, de aztán vértszemet kapott, és most már a dupláját kéri. De hogy még jobban fizetésre serkentse áldozatait, adott határidőt is, amíg lehet fizetni, utána a titkosított állományok végleg használhatatlanná válnak.

Egyelőre nincs hatékony ellenszere

A fertőzés elképesztő tempóban terjedt. A MalwareTech térképének különböző bontásokba kapcsolása érzékletesen mutatja, hogy 24 óra alatt hogyan árasztotta el gyakorlatilag az egész világot a WannaCry. Szombaton már több mint 150 ezer fertőzött rendszer volt, vasárnapra számuk a 200 ezret is meghaladta, és a támadás több mint 150 országra terjedt ki, mondhatni abszolút globális volt. Áldozatul esett például a brit egészségügyi szolgálat – miközben a britek irdatlan összegeket költenek a kibervédelmükre –, Magyarországon pedig a Telenor egyes rendszerei, bár a távközlési szolgáltató közleményben tudatta, hogy ügyfelei semmit sem fognak érzékelni a támadásból. Az áldozatok között volt a FedEx, a spanyol Telefonica és a a Portugal Telecom is.

Szombaton úgy tűnt, hogy egy brit biztonsági kutató olcsó és gyors ellenszert talált a károkozó további terjedésére: a vírus ugyanis minden esetben lekérdezett egy hosszú, és értelmetlen karaktersorozatból álló domaint (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). A The Register szerint egy kutató talált rá a kódot vizsgálva a domain-névre, és bár nem tulajdonított nagyobb jelentőséget neki, potom 11 dollárért lefoglalta. Végül kiderült, ez egyfajta leállító gombként funkcionál: a vírus ugyanis a titkosítás elvégzése után megpróbál csatlakozni a kacinfántos nevű weboldalhoz, és ha az sikerül is, nem terjeszti magát tovább.

A módszert a Cisco is validálta, de maga a brit kutató arra figyelmeztetett, hogy az általa talált módszer legfeljebb lassítja, de nem állítja meg a fertőzés terjedését, és persze a már megfertőződött rendszereken sem segít. Sajnos a terjedést tekintve is igaza lett, hiszen vasárnap már 200 ezret is meghaladta a fertőzött rendszerek száma.

Akkora a para, hogy az XP is kapott frissítést

A zsaroló egy olyan Windows-hibát használni ki, amit a Microsoft már két hónapja befoltozott. Bár a cég átalakította a frissítési procedúráját, hogy a felhasználók kevésbé bliccelhessék el a hibajavítások telepítését, a WannaCry kétes dicsőséfe is mutatja: a módszer még nem tökéletes.

Ráadásul belépett egy olyan – korábban csak elméleti lehetőségként emlegetett szituáció –, hogy a Windows XP lett a leggyengébb láncszem (meg persze azok az újabb Windowsok, melyek forrása esetleg kétes). A Microsoft mindenesetre a világméretű pánikot érzékelve kivéterlesen gyorsan lépett: még XP-re is elkészítette a javítást ahhoz a hibához, amit a WannaCry ki tud használni. A javítás innen tölthető le – és XP-zőknek erősen javallott is, hogy ezt ne blicceljék el.

Emellett – ha még nem kapta be a vírust – most tényleg megragadhatja az alkalmat: csinálja meg végre azt a biztonsági mentést!

Merthogy maguktól nem állnak le

Egy ilyen sikeres támadás után semmi sem kényszeríti arra a kiberbűnözőket, hogy leálljanak, sőt – ahogy a közben bekövetkező "áremelkedés" is mutatja – inkább fokozzák a nyomást. Emiatt kiszámíthatatlan, hogy mi történik hétfőn reggel, amikor például Európánban milliók mennek be a munkahelyükre és kapcsolják be első mozdulatukkal a számítógépüket.

Az Europol mindenesetre retteg ezerrel. Rob Wainwright, a szervezet vezetője a BBC-nek nyilatkozott arról, hogy bár a vírus terjedése némileg lassult, az újra nekilódulhat, amikor hétfőn az emberek munkába állva elindítják a gépüket. Az Europol már felvette a kapcsolatot az amrikai szövetségi nyomozókkal (FBI), hogy mielőbb kiderüljön, ki áll a támadás mögött.

Mielőtt valaki (amúgy joggal) az oroszokra gyanakodna: a két legfertőzöttebb ország Nagy-Britannia és Oroszország. Többek között az orosz belügyminisztérium és az áldozatok között van.