Neklikejte! Jak na agresivní vyděračský program, který se objevil i v Česku |
Expert na kybernetiku Varun Badhwarm označil páteční incident kvůli bleskovému a masovému zásahu firem a kritických institucí za „kybernetickou apokalypsu“.
Možné rozsáhlejší katastrofě způsobené škodlivým programem, který během několika hodin stihl paralyzovat britské nemocnice a ovlivnil chod řady dalších firem a institucí, včetně evropských automobilek či ruských ministerstev, nejspíš stihl předejít 22letý Brit.
Na Twitteru vystupuje pod přezdívkou MalwareTech a pracuje jako kybernetický expert bojující se škodlivým softwarem, který podle serveru deníku Guardian pracuje pro firmu Kryptos logic se sídlem v americkém Los Angeles.
Podle britského Národního centra pro kyberbezpečnost svým činem zabránil spuštění programu v minimálně dalších 100 tisících počítačů. Již zablokovaná zařízení se však neodblokovala.
Nečekaný konec dovolené
MalwareTech popsal páteční události v blogovém příspěvku na webu britského centra. Dle svých slov si užíval týdenní dovolené, která mu nečekaně skončila už v pátek. Probudil se v 10 hodin dopoledne, podíval se na diskuze o aktuálních bezpečnostních rizicích, v nichž ho až na pár zmínek o několika organizacích zasažených vyděračským softwarem nic nezaujalo.
Zašel si tedy s kamarádem na oběd, a když se kolem 14.30 vrátil domů, diskuzní platforma byla „zaplavena“ zprávami o kolabujících systémech v britských zdravotnických zařízeních. „To mě přesvědčilo o tom, že to bude velké,“ přibližuje nečekaný hrdina.
Za pomoci dalšího bezpečnostního odborníka, osmadvacetiletého Dariena Husse, získal MalwareTech „vzorek“ škodlivého programu. Při pročítání zdrojového kódu, který si bere za „rukojmí“ data uživatelů, po nichž chce výkupné, si hned všiml toho, že se vyděračský program snaží spojit s na první pohled nesmyslnou a na nikoho nezaregistrovanou webovou doménou. Pokud se nenačetla žádná webová stránka, začal škodit.
Sám si ji za necelých 11 dolarů (v přepočtu kolem 250 korun) zaregistroval, aby mohl sledovat šíření viru po světě. Údaje promítal na interaktivní mapě.
Program se ale po registraci domény začal chovat nečekaně a neprovedl žádnou škodlivou operaci. A protože se nespustil, nerozšířil se ani do dalších systémů.
„Legrační je, že v tomto momentu jsem nevědomě zabil malware (škodlivý software, pozn. red.),“ popsal bezpečnostní expert. Jeho krok nejprve vyvolal zmatené reakce od kolegy, kterému vzorek nefungoval stejně jako dříve. MalwareTech se zděsil, že registrace domény spustila program ve všech infikovaných počítačích, od dalších bezpečnostních expertů se však dozvěděl, že se děje přesný opak.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) 13. května 2017
Na zkoušku upravil kód tak, aby se program nebyl schopen připojit k doméně, a na obrazovce se okamžitě objevila zpráva: „Výkupné.“ Utvrdila jej v tom, že jeho krok funguje. „Asi si teď nedovete představit dospělého člověka, který skáče vzrušením po pokoji proto, že po něm právě někdo chce výkupné, ale přesně to jsem dělal. Selhání ransomwaru (vyděračského softwaru, pozn. red.) v prvním případě a úspěch v druhém znamenal, že jsem ve skutečnosti registrací domény zabránil jeho dalšímu šíření a zablokování počítačů,“ popsal expert.
Hrdina médií
Díky rychlému zásahu si od webu BBC vysloužil titul „hrdina kybernetického útoku“. Ačkoliv se mu prozatím podařilo současnou verzi vyděračského programu porazit, nevyloučil, že se útok může opakovat. Domnívá se totiž, že autoři škodlivého softwaru nevytvořili propojení s doménou jako záměrná zadní vrátka, ale udělali podle něj chybu, kterou mohou snadno napravit.
„Autor WannaCry může v příští verzi onen ‚kill switch‘ (doslova vypínací tlačítko, funkci, která deaktivovala program; pozn. red.) vypnout či výrazně pozměnit, takže aktuální ‚trik‘ nebude už šíření bránit,“ myslí si i bezpečnostní expert českého antivirového programu Avast Jakub Křoustek. Nejdůležitější teď podle něj je, aby uživatelé plně aktualizovali své systémy.
WannaCrypt je navíc i ve své původní podobě stále nebezpečný pro počítače, které nejsou schopné načíst již registrovanou doménu. V ohrožení tak mohou být ve firemních sítích, které nějakým způsobem omezují přístup jednotlivých počítačů k internetu. Bezpečnostní experti se tak obávají pondělního rána, kdy zaměstnanci usednou ke svým počítačům a začnou otevírat došlé e-maily. Doporučují nespouštět žádné neprověřené programy a neotevírat žádné nevyžádané přílohy.
Kybernetický útok paralyzuje britské nemocnice. Napadeno bylo 99 zemí, i ruské ministerstvo vnitra |
Škodlivým programem WannaCry byla napadena zařízení se staršími systémy Windows, která neměla nainstalované nejnovější aktualizace. Společnost Microsoft rychle zareagovala na šíření viru, v sobotu vydala záplatu i pro již nepodporovaný operační systém Windows XP a na svých webových stránkách uveřejnila kroky potřebné k ochraně počítačů nových i starších verzí systému.
Terčem útoku viru se staly počítače britských nemocnic, ruského ministerstva vnitra, nebo globálních společností, jako je FedEx a Renault. Výpadek ochromil zdravotnická zařízení natolik, že zaměstnanci museli přesměrovat pacienty na jiné nemocnice, které útok nezasáhl.
Uživatelé napadených zařízení byli vyzváni, aby zaplatili ve virtuální měně bitcoin částku 300 dolarů za odkódování dat, přičemž cena se měla za tři dny zdvojnásobit. Pokud by uživatel nezaplatil, program měl údajně smazat všechna data z počítače.
