Vyděračský WannaCry se podobá severokorejskému viru, důkaz zatím není

  17:05
Stopy vyděračského viru WannaCry možná vedou do komunistické Severní Koreje. Uvedly to v pondělí společnosti Symantec a Kaspersky Lab, podle nichž je sice předčasné připisovat autorství Pchjongjangu, ale jisté indicie podobné těm z minulosti škodlivý software obsahuje.

Pátrání po původu viru WannaCry (ilustrační snímek) | foto: montáž: Pavel Kasík - Technet.cz

Zpráva vyděračského viru WannaCry, která vyžaduje platbu.

Vyděračský virus WannaCry se začal po světě šířit v pátek 12. května. Přestože se díky zásahu britského bezpečnostního výzkumníka podařilo šíření tohoto viru zastavit, napadl přes 200 tisíc počítačů ve 150 zemích a odborníci varují před dalším podobným útokem, který by tak snadno zastavit nešel.

Zároveň pokračuje pátrání po autorech tohoto viru, který využil zranitelnosti ve starších systémech Windows. Vývojář společnosti Google Neel Mehta, který se proslavil v roce 2014, když při pečlivém procházení opensourcového OpenSSL odhalil chybu v šifrování SSL/TLS známou jako Heartbleed (více v našem článku), se nyní vrátil do centra mediální pozornosti. Na svém twitterovém účtu upozornil na podobnost viru WannaCrypt s virem Lazarus.

15.května 2017 v 19:02, příspěvek archivován: 16.května 2017 v 15:26

9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598 ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4 #WannaCryptAttribution

Jeho vodítko později potvrdila firma Kaspersky Lab: „Tato kryptická zpráva odkazuje na podobnost mezi dvěma vzorky, respektive jejich zdrojovými kódy. Těmi vzorky jsou starší verze WannaCry z února 2017, která vypadá jako velmi raná varianta, a kódu skupiny Lazarus APT z února 2015,“ uvádí globální analytický tým Kaspersky Lab.

Porovnání starší varianty viru WannaCry a viru od skupiny Lazarus APT

Severokorejská skupina Lazarus byla mimo jiné zodpovědná za útok na společnost Sony v roce 2014, v roce 2016 se zase pokusila vykrást Central Bank of Bangladesh.

Mapa útoků ransomwaru WannaCry

„Pokud by se takové obvinění potvrdilo, byl by WannaCry první známý státem sponzorovaný ransomware,“ píše Matt Suiche, bezpečnostní výzkumník pracující v Dubaji, který na svém blogu podobnost podrobně rozebírá „Autorství skupiny Lazarus by dávalo smysl, už v minulosti usilovali o krádež finančních prostředků.“

Souhlasí s ním i firma Symantec, podle ní autorství skupiny Lazarus napovídá šifrování, která WannaCry používá. „Předchozí verze WannaCry používala nástroje, které byly dosud využívány pouze severokorejskou skupinou Lazarus.“

Falešná stopa, nebo naopak mazání stop?

V elektronickém světě je však často snadné podvrhnout něčí podpis. Sluší se tedy dodat, že takováto podobnost v kódu zdaleka neznamená důkaz autorství.

To potvrzuje i David Emm, hlavní bezpečnostní analytik týmu GReAT společnosti Kaspersky Lab: „Naši analytici jsou si vědomi toho, že se v případě této podobnosti může jednat o záměrnou falešnou stopu (false flag).“

Jedním z vodítek, že se o falešnou stopu nejedná, je ovšem načasování a rozšíření jednotlivých verzí. V novější verzi WannaCry je totiž tato část kódu odstraněna „Tento krok tak může být pokusem o zahlazení stop vedoucích ke strůjcům kampaně WannaCry,“ domnívá se Emm. „Tato podobnost sama o sobě neposkytuje dostatečně přesvědčivý důkaz o napojení ransomwaru WannaCry na skupinu Lazarus. Může ale vést k dalším zjištěním, která přinesou více informací o původu WannaCry, který je doposud záhadou.“

O vícero nepřímých důkazech ukazujících na KLDR dnes hovořil i Simon Čche (v anglické transkripci Simon Choi), šéf jihokorejské antivirové společnosti Hauri. Čche poukázal na to, že způsob provedení připomíná dřívější útoky připisované KLDR. Dodal, že komunistický režim není žádným nováčkem, pokud jde o kryptoměnu bitcoin, ve které vyděračský software vyžaduje platbu. Připomněl, že Pchjongjang k takzvané těžbě, tedy získávání bitcoinů, používá škodlivé počítačové programy nejméně od roku 2013.

Časté otázky a odpovědi

Základní informace o ransomware, který se šíří pod jmény Wanna Decryptor, WannaCry, WCRY nebo WannaCrypt0r.

  • Jak se ransomware WannaCry šíří?
    Ransomware se šíří e-mailem, který obsahuje přílohu tvářící se jako ZIP archiv. Uživatelé, kteří tuto přílohu otevřou, si do svého počítače nainstalují virus. V lokální síti se pak virus šíří skrze nezáplatované systémy. Zároveň se virus šíří skrze svou vlastní botnetovou síť, pomocí které skenuje dostupné IP adresy a hledá další zranitelné počítače.
  • Co WannaCry udělá na napadeném počítači?
    Jakmile WannaCry napadne daný počítač, začne šifrovat soubory a složky na počítači. Zašifrované soubory mají příponu .WCRY. Šifrovány jsou soubory například těchto typů: dokumenty DOC, PPT, XLS, obrázky JPG, PNG nebo TIFF, některé videosoubory, některé zálohy, některé programátorské projekty a řada dalších.
  • Kolik stojí dešifrování souborů?
    Ransomware přidá do napadeného adresáře soubor s návodem, jak zaplatit výkupné za soubory. Cena za dešifrování je 300 dolarů (asi 7 300 Kč) v bitcoinech. Po třech dnech je cena dvojnásobná. Po týdnu bude dekódování údajně navždy znemožněno.
  • Jak zjistit, zda jsem před tímto virem chráněn(a)?
    Ověřte si, že máte aktualizovaný operační systém a antivirový program. Ověřte si na stránkách výrobce svého antivirového programu, že umí rozpoznat tuto novou hrozbu.
  • Co když mám verzi operačního systému, která již nedostává záplaty?
    Microsoft v tomto případě uvolnil záplaty i pro starší systémy Windows, viz jejich článek.
  • Jak se mohou uživatelé podobným útokům preventivně bránit?
    Základní obranou je mít aktualizovaný operační systém a aktualizovaný antivir/antimalware. Protože žádná obrana není stoprocentní, důrazně doporučujeme vytvářet pravidelné zálohy důležitých souborů, které jsou zálohovány mimo počítač, aby se k nim ransomware nemohl dostat.
Autor:
  • Nejčtenější

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

v diskusi je 110 příspěvků

14. března 2024

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí...

Nejsilnější raketa úspěšně prošla prvním testovacím letem do vesmíru

v diskusi je 138 příspěvků

14. března 2024  12:12,  aktualizováno  15:31

Společnost SpaceX poprvé dostala svůj Starship do vesmírného prostoru. Po dvou předchozích...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Svět uznal nároky Beneše. Československo vyhrálo spor s Polskem o Javorinu

v diskusi je 42 příspěvků

12. března 2024

Před 100 lety se Československo dočkalo mezinárodního uznání ve sporu s Polskem o Javorinu....

Tato novinka ve vyhledávání Googlu lidi pěkně vytáčí. Máme řešení

v diskusi je 153 příspěvků

12. března 2024  10:45

Jedna z novinek, kterou přineslo evropské Nařízení o digitálních trzích, je změna v tom, jak Google...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Polopás není polovičaté řešení. Třetí říše byla mistrem v oboru

v diskusi je 9 příspěvků

18. března 2024

Druhá světová válka byla zlatým věkem polopásových vozidel. Vyráběli je především Němci a...

VIDEO: Střílej po mně! Kameraman natočil téměř celý útok v centru Prahy

Premium Ve čtvrtek zemřelo rukou střelce Davida K. 14 obětí, 25 lidí je zraněných, z toho deset lidí těžce. Jedním z prvních na...

Máma ji dala do pasťáku, je na pervitinu a šlape. Elišku čekají Vánoce na ulici

Premium Noční Smíchov. Na zádech růžový batoh, v ruce svítící balónek, vánoční LED svíčky na baterky kolem krku. Vypadá na...

Test světlých lahvových ležáků: I dobré pivo zestárne v obchodě mnohem rychleji

Premium Ležáky z hypermarketů zklamaly. Jestli si chcete pochutnat, běžte do hospody. Sudová piva totiž dopadla před časem...

Kuličková myš, VHS a další technologické skvosty nedávné minulosti

v diskusi je 12 příspěvků

19. března 2024

S některými bylo možné se běžně setkat ještě před deseti lety, jiné je možné koupit a používat...

Od Amazonu po Voyo. Velký test streamovacích služeb našel obří rozdíly

v diskusi je 22 příspěvků

19. března 2024

Premium V jedné můžete vybírat z dvou set filmů a seriálů, ve druhé z osmi tisíc. V jedné je speciální...

Zemřel astronaut Stafford, který si ve vesmíru „podal“ ruku s Leonovem

v diskusi nejsou příspěvky

18. března 2024  19:10

Ve věku 93 let po dlouhé nemoci zemřel někdejší astronaut Thomas Stafford, který byl zapojený do...

Apple přidá do svých zařízení generativní AI, využije k tomu Google

v diskusi nejsou příspěvky

18. března 2024  13:34

Apple jako jedna z mála technologických společností nezachytil příchod vlny generativní umělé...

Rozdáváme hygienické pomůcky ZDARMA!
Rozdáváme hygienické pomůcky ZDARMA!

Hledáte udržitelnou a kvalitní hygienickou péči pro sebe i vaše miminko? Už dál nemusíte. Zapojte se do testování a vyzkoušejte produkty ECO by...

Nutný výchovný pohlavek, souhlasí Bouček i Havlová s přerušením projevu na Lvu

Moderátor Libor Bouček ostře zareagoval na kauzu ohledně délky proslovu režisérky Darji Kaščejevové na předávání cen...

Švábi, vši a nevychované děti. Výměna manželek skončila už po pěti dnech

Nová Výměna manželek trvala jen pět dní, přesto přinesla spoustu vyhrocených situací. Martina ze Znojma se pokoušela...

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí HDD. Ve třech...

Chtěli, abych se vyspala s Baldwinem kvůli jeho výkonu, říká Sharon Stone

Herečka Sharon Stone (66) jmenovala producenta, který jí řekl, aby se vyspala s hercem Williamem Baldwinem (61). Měla...

Byla to láska na první pohled, říká hvězda Gilmorek o manželství s modelkou

Milo Ventimiglia (46), představitel Jesse ze seriálu Gilmorova děvčata nebo Jacka Pearsona ze seriálu Tohle jsme my, je...