Co jest gorsze niż oprogramowanie ransomware, które szyfruje wszystkie twoje pliki i żąda pieniędzy za klucz, aby je odblokować i odzyskać? WannaCry to spełnienie najgorszych koszmarów: połączenie procesu szyfrowania danych z samorozprzestrzeniającym się kodem wirusa komputerowego. Oprogramowanie WannaCry może automatycznie przedostać się przez twoją sieć, potencjalnie zaszyfrowując setki lub nawet tysiące komputerów podczas jednego ataku – nawet, jeśli tylko jeden użytkownik otworzył załącznik-pułapkę lub pobrał plik z zawirusowanej strony internetowej!

Oszuści, stojący za SamSam ransomware przyjęli odmienną strategię: zamiast próbować dotrzeć do tysięcy, a nawet dziesiątek tysięcy ofiar na całym świecie z kampanią spamową o wielkim zasięgu i żądać od każdego z nich setek, a nawet tysięcy dolarów, SamSamerzy podczas ataku obierają za cel jedną firmę. Hackerzy zwykle pozostają anonimowi, dopóki nie włamią się do sieci i używając technik podobnych do testów penetracyjnych nie odkryją listy komputerów, o których wiedzą, że mogą zaszyfrować wszystkie za jednym razem. Następnie pozwalają na jednoczesne odfiltrowanie wszystkich zidentyfikowanych urządzeń, co daje im znacznie większą szansę na zaszyfrowanie przynajmniej niektórych komputerów, które są kluczowe dla przepływu pracy w firmie. Wreszcie, żądają zapłaty – zwykle kilku tysięcy dolarów za każdy komputer, który chcesz odblokować, ale oferują także stawkę 50 000 $ za odszyfrowanie wszystkich urządzeń jednocześnie.

Strategia haraczu jest także odmienna od dotychczasowej: oszuści nie mówią już: „Jeśli nie zapłacisz, nie odszyfrujemy twoich plików”, ale zamiast tego: „Jeśli zapłacisz, nie będziemy ich szyfrować”. Mówiąc najprościej, jest to wymuszenie okupu:

From: WannaCry-Hack-team
To: **************
Subject: !!!Warning Wannacrypt!!!
Witaj! WannaCry powrócił! Wszystkie twoje urządzenia zostały uszkodzone przez zainstalowany na nich program. Udoskonaliliśmy jego działanie, więc nie będziesz w stanie odzyskać danych po ataku. Wszystkie informacje zostaną zaszyfrowane, a następnie usunięte. Oprogramowanie antywirusowe nie będzie w stanie wykryć naszego programu, a zapory sieciowe będą bezsilne wobec naszego unikalnego kodu.
Jeśli twoje pliki zostaną zaszyfrowane, stracisz je na zawsze. Nasz program infekuje również sieć lokalną, nie tylko kasując dane na wszystkich komputerach podłączonych do sieci i zdalnych serwerów, lecz także wszystkie dane przechowywane w chmurze, zamrażając działania witryny. Już wdrożyliśmy nasz program na Twoich urządzeniach. Usunięcie danych zaplanowano na czerwiec **, 2018 r., na godzinę **: ** – **: **. Wszystkie dane przechowywane na komputerach, serwerach i urządzeniach mobilnych zostaną zniszczone. Urządzenia działające w dowolnej wersji systemu Windows, iOS, macOS, Android i Linux podlegają eliminacji danych.
Aby zabezpieczyć się przed zniszczeniem danych, możesz wpłacić 0,1 BTC (~ 650 $) do portfela bitcoin: ****************

Zła wiadomością jest taka, że e-mail WannaCrypt z żądaniem okupu jest bardzo rozpowszechniony – dlatego też postanowiliśmy napisać ostrzeżenie. Dobra wiadomością jest taka, że ci konkretni oszuści realnie nie mają żadnego narzędzia, by spełnić swoje groźby. W rzeczywistości ich twierdzenie, że „oprogramowanie antywirusowe nie będzie w stanie wykryć [programu]” jest jedną z niewielu prawd w tym oszustwie, z prostego powodu: na szczęście w tym przypadku nie ma żadnego złośliwego programu do wykrycia. Dla jasności: czyszczenie dysku złośliwym oprogramowaniem – pomyśl o nim jako o oprogramowaniu ransomware bez klucza odszyfrowywania, z pewnością jest potencjalnym zagrożeniem. Oszuści teoretycznie mogliby dać Ci kilka godzin na wytropienie i wyłączenie kodu ataku, zanim twoje dane zostaną zniszczone. Jednak w tym konkretnym przypadku cała sprawa jest oszustwem, łącznie z istnieniem złośliwego oprogramowania.

„Przedstawiona na powyższym przykładzie próba wyłudzenia pieniędzy od zastraszonych administratorów to tylko jedne z wielu przykładów działań podejmowanych aktualnie na rynku. Obserwujemy także coraz częstsze próby wykorzystywania różnego rodzaju socjotechnik (np. odwoływanie się do obowiązujących regulacji) mających na celu nie tylko uzyskanie dostępu do zasobów firmowych przez podesłanie zainfekowanego załącznika lub odnośnika URL prowadzącego do zainfekowanej strony, ale także do osiągnięcia korzyści finansowych przy jak najmniejszym nakładzie pracy ze strony osób atakujących” – mówi Grzegorz Nocoń, System Engineer w Sophos Polska.

Co robić?
• Nie płać. Jeśli chodzi o Blockchain Bitcoin, nikt jeszcze nie wysłał żadnych funduszy [stan na 12:00 dnia 22.06.2018], przynajmniej do adresu Bitcoin w próbkach spamu, które widzieliśmy do tej pory.
• Nie kontaktuj się z oszustami „na wszelki wypadek”. Poinformowanie ich, że tam jesteś i się martwisz, to niepotrzebne ujawnianie informacji o sobie.
• Upewnij się, że Twoja sieć jest kompleksowo zabezpieczona. Przeprowadzenie takiego ataku oznaczałoby najpierw zainfekowanie, a potem danie ci szansy na wytropienie szkodliwego oprogramowania przed jego odzyskaniem (w przeciwieństwie do tego oprogramowania ransomware wysyła powiadomienia jedynie po uruchomieniu), więc bądź przygotowany.

Pamiętaj, że oprogramowanie ransomware, oprogramowanie do czyszczenia dysków, oprogramowanie ochronne i inne złośliwe oprogramowanie niszczące dane to tylko kilka z wielu sposobów na utratę cennych treści cyfrowych – błędy oprogramowania, pożar, powódź, kradzież i wiek sprzętu także mogą doprowadzić do nagłej i katastrofalnej w skutkach utraty danych… więc posortuj kopie zapasowe i zrób to już dziś!

O SOPHOS:
SOPHOS jest liderem ochrony sieci oferującym rozwiązania nowej generacji typu endpoint. Jako pionier zsynchronizowanej ochrony rozwija gamę innowacyjnych narzędzi do ochrony urządzeń końcowych, sieci, poczty i urządzeń mobilnych oraz narzędzi szyfrowania, które współpracując ze sobą zapewniają kompleksowe zabezpieczenie online. Ponad 100 milionów klientów w ponad 150 krajach zaufało rozwiązaniom Sophos i wskazuje je jako najlepsze do ochrony przed wyrafinowanymi zagrożeniami i utratą danych. Produkty Sophos są dostępne za pośrednictwem globalnego kanału dystrybucji obejmującego 26 tysięcy partnerów. Sophos, z siedzibą w Oxford w Wielkiej Brytanii, jest notowany na Londyńskiej Giełdzie Papierów Wartościowych pod symbolem „SOPH”. Więcej informacji na www.sophos.com.
Biuro prasowe Sophos:

Aleksandra Klimowicz
tel: + 48 692 532 659
e-mail: aleksandra.klimowicz@cluepr.pl