No WannaCry cietušā ekrāns

2017. gada 12. – 14. maija nedēļas nogalē ažiotāžu izraisījusī naudas izspiedēja „Trojas zirga” WannaCry un tā paveidu straujā un plašā izplatība, ir ieguvusi jaunu pavērsienu.

Ir sagaidāms, ka patērētāji, kuri nav saņēmuši preces un pakalpojumus sakarā plašo „Trojas zirga” WannaCry un tā paveidu izplatību, var celt civilprasības pret pārdevējiem un pakalpojumu sniedzējiem.

Taču šeit sākās pats interesantākais.
Firma Microsoft savu radīto programmnodrošinājumu pārdod ar tādiem licences līgumiem, kas noņem no Microsoft atbildību par jebkādiem klienta izdarītajiem datordrošības pārkāpumiem. Un Microsoft juristi ir pārliecināti, ka pret to nekādas prasības netiks celtas.

Tas nozīmē vienu – ka uzņēmēji, kuri sakarā ar naudas izspiedēja „Trojas zirga” WannaCry un tā paveidu invāziju, nespēja piegādāt preces vai sniegt pakalpojumus saskaņā ar agrāk noslēgtajiem līgumiem, paliekās vieni pret iespēju, ka pret viņiem var tik celtas civilprasības par savu klientu zaudējumu piedziņu, ko ir radījusi šo uzņēmēju nespēja savlaicīgi piegādāt preces vai sniegt pakalpojumus.
Bez iespējas celt regresa prasības pret firmu Microsoft.

Kā raksta InternationalBusinessTime, firmas Microsoft pārstāvji ir paziņojuši, ka uz datoriem, kuri ir cietuši no ļaundaru uzbrukumiem, vai nu vispār nebija uzstādīti drošības atjauninājumi, vai arī tie darbojās ar operētājsistēmām, kas ir vecākas par Windows XP un kuras firma Microsoft vairs neatbalsta.

Kā bija agrāk ziņots, naudas izspiedējs „Trojas zirgs” WannaCry un tā paveidi, kurš šifrē uz savu upuru datoriem esošos lietotāju datus un par to atšifrēšanu prasa izpirkuma maksu, parādījās 2017. gada februārī, kad bija publiskoti Microsoft Windows drošības nepilnības ekspluatējošie ASV izlūkošanas dienestu hakeru instrumenti EternalBlue un DoublePulsar. Sākumā WannaCry un tā paveidu „Trojas zirgu” aktivitāte bija neliela. Taču tā strauji pieauga ap 2017. gada 11. – 12. maiju.

Atšķirībā no citiem „Trojas zirgiem”, WannaCry un tā paveidi ir daudz negantāki.
Jo tiem ir arī tā saucamā „datortīklu tārpu” funkcionalitāte, kas ļauj tam izplatīties uzreiz pa visu upura lokālo datortīklu, inficējot visus tajā esošos datorus, kuri strādā ar Microsoft Windows operētājsistēmām, ja uz tiem nav tikuši regulāri uzstādīti šo operētājsistēmu drošības atjauninājumi.
Sākotnēji arī antivīrusu datorprogrammas tur maz ko varēja līdzēt.
Jo hakeri, kuri nodarbojās ar ļaunatūras radīšanu, ir radījuši īpašu programmēšanas tehniku komplektu, kas traucē antivīrusu programmām automātiskā režīmā pazīt, ka dotais fails vai datorprogramma satur ļaunatūru, kā arī traucē datoru drošības ekspertiem rokas režīmā analizēt šo ļaunatūru.

Pašlaik ir zināmas arī no WannaCry un tā paveidiem cietušo liecības.
No tām izriet, ka starp elektroniskā pasta sūtījuma atvēršanu ar pielikumā esošajiem failiem, kuri satur WannaCry vai kādu citu tā paveidu „Trojas zirgu” un loga atvēršanos uz datora ekrāna ar noziedznieku prasībām, parasti pagāja aptuveni 4 stundas. Kuru laikā šis „Trojas zirgs” lietotājam nemanāmi šifrēja tā failus.
Šajā laikā arī Windows Task menedžerī kāds no šiem „Trojas zirgiem” neparādījās kā Microsoft Windows operētājsistēmā palaists process.

WannaCry datu šifrēšanas un atšifrēšanas princips

Ar naudas izspiedējiem „Trojas zirgiem” WannaCry un tā paveidiem ir saistītas vēl 2 nepatīkamas situācijas:

Noziedznieki, kuri pieprasa izpirkuma maksu par savu šifrēto failu atšifrēšanu, gaida tikai 1 nedēļu. Pie kam pēc pirmajām 3 dienām izpirkuma maksa tiek divkāršota.
Ja Jūs nevēlaties maksāt noziedzniekiem un ja šajā laikā noziedznieku laika skaitītājs netiek apturēts, gaidīšanas laikam beidzoties, šīs saimes „Trojas zirgi” nodzēš sevi kopā ar visu vietējo šifrēšanas atslēgu, tādā veidā liedzot cerības jebkad atšifrēt savus failus.
(Runa iet par šifrēšanas metodi ar 2 atslēgām.)
Noziedznieki, kuri naudas izspiešanai izmanto „Trojas zirgs”s „Trojas zirgus”, izpirkuma maksu liek maksāt Bitcoin kriptovalūtā, kas nodrošina darījumu anonimitāti. Tādā veidā apgrūtinot viņu notveršanu.

Praktiski visas mūsdienās izmantotajās Microsoft Windows versijas ir iespējams atjaunināt automātiskā režīmā. Bet ikdienā tas var izrādīties problemātiski. Ir vairāki, jūtīgi iemesli, kāpēc datoru īpašnieki to nav gribējuši vai nav varējuši to izdarīt.

Ko darīt, ja iespējamo Microsoft Windows operētājsistēmas atjauninājumu skaits ir liels, bet tajā pat laikā ir steidzīgi nepieciešams ievērojami samazināt risku, ka Jūsu dators tiks inficēts ar kādu no naudas izspiedēja „Trojas zirga” WannaCry paveidiem?
Izrādās, ka lai izplatītos, WannaCry izmanto arī kritisku Microsoft Windows SMB (Samba) servera ievainojamību, kura jau tika labota 2017. gada martā. SMB jeb Samba serveri arī uz vienkāršu Windows lietotāju datoriem nodrošina darbu ar Windows datortīklu.

Tāpēc šajā gadījumā Jums ir ļoti steidzami nepieciešams uzstādīt Jūsu datora operētājsistēmai atbils=tošu 2017. marta Microsoft Windows atjauninājumu paku:

Microsoft Security Bulletin MS17-010 – Critical

Security Update for Microsoft Windows SMB Server (4013389)

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Published: March 14, 2017

Šī ievainojamība ir tik ļoti kritiska, ka Microsoft izlaida drošības atjauninājumus pat savām vecajām, vairs neatbalstāmajām operētājsistēmām, sākot no Windows XP SP2 64 bitu / SP3 32 bitu versijām.

Dešifrētājs, kurš bez vajadzības maksāt noziedzniekiem varētu spēt atšifrēt naudas izspiedēja „Trojas zirga” WannaCry un tā paveidu šifrētos failus, diemžēl pašlaik atrodās vēl tādas eksperimentālās izstrādes stadijā, kad iespēja atgūt savus failus ir vēl ļoti atkarīga no paša datora lietotāja kvalifikācijas, apķērības un arī veiksmes. Līdz ar to vienīgā reālā iespēja sevi pasargāt, ir stiprināt datora aizsardzību un būt ļoti uzmanīgam un nevērt vaļā aizdomīgus e-pastu pielikumus! It īpaši no tādiem korespondentiem, par kuriem ir pamatotas aizdomas, ka tie ir tā saucamie „pikšķerētāji”. Bet tas jau ir cits stāsts!

Ņemot vērā neseno situācijas attīstību saistībā ar WannaCry paveidiem un viņiem līdzīgajiem „Trojas zirgiem” ši , lai pasargātu sevi, ir vērts apdomāt atslēgt iespēju izmantot vecos SMBv1 Windows datortīkla sakaru protokolu, kuri jaunajās Microsoft Windows operētājsistēmās ir uzstādīti tikai, lai nodrošinātu iespēju strādāt 1 Windows datortīklā kopā ar tādiem datoriem, kuri izmanto ļoti vecas Microsoft Windows operētājsistēmas.
Ir zināms, ka WannaCry paveidi un viņiem līdzīgie „Trojas zirgi” skenē datortīklu, meklējot tajā datorus ar arvērtu 445. portu, kas nodrošina Windows datortīkla darbību, izmantojot SMBv1 Windows datortīkla sakaru protokolu. Gadījumā, ja šī veida „Trojas zirgs” atrod tādu datoru, tas cenšās izmantot 2017. gada martā novērsto Microsoft Windows drošības nepilnību EternalBlue. Ja tas izdodās, „Trojas zirgs” uz tāda datora nesankcionētas pieejas vajadzībām uzstāda DoublePulsar, ar kā palīdzību datorā tiek ielādēts un palaists „Trojas zirga” kaitnieciskās programmas kods.

Eksperti atgādina, ka kaitnieciskās programmas parasti tiek izplatītas ar īpaši sagatavotu teksta vai PDF dokumentu palīdzību un tiek nosūtītas pa elektronisko pastu.

Der atzīmēt, ka WannaCry un tā paveidu „Trojas zirgu” izpirkuma maksu prasošais saskarsmes logs ar saviem upuriem ir iedvesmojis arī citu veidu izpirkuma maksu prasošo „Trojas zirgu” autorus, ka tie ir sākuši pārņemt WannaCry šī saskarsmes loga noformējuma dizainu.
Redzot „panākumus”, kā WannaCry un tā paveidi „Trojas zirgi” izmanto jau agrāk, ar Microsoft Windows operētājsistēmu atjauninājumiem novērstās operētājsistēmu drošības nepilnības, meklējot „laimi” sarosījušies ir arī citu veidu ļaunatūras autori.
Tā 2017. gada 18. maijā bija ziņas par jauna naudas izspiedēja „Trojas zirga” UIWIX parādīšanos, kas tāpat kā WannaCry paveidi „Trojas zirgi” šifrē uz datora esošos lietotāju failus, prasa izpirkuma maksu par to atšifrēšanu un lai iekļūtu datorā, izmanto to pašu 2017. gada martā novērsto Microsoft Windows drošības nepilnību EternalBlue…

PAPILDINĀJUMI:

1.

2017. gada 19. maijā.

Pirmo reizi vēsturē medicīnas aparatūra tika inficēta ar naudas izspiedēju ļaunatūru

Bayer Medrad izgatavotās, ar datoru vadāmās ierīces monitora ekrāna attēls, kuru izmanto magnētiskās rezonanses izmeklēšanā lietotās kontrastvielas ievadīšanai pacienta organismā

Kā redzms attēlā, kurš nonāca izdevuma Forbes žurnālistu rīcībā, naudas izspiedējs „Trojas zirgs” bija inficējis magnētiskās rezonanses medicīniskajos izmeklējumos lietotā, ar datoru vadāmā aparāta Windows Embedded saimes operētājsistēmu. Tas bija noticies ar Bayer Medrad izgatavoto aparātu, kuru nepieciešamības gadījumā izmanto magnētiskās rezonanses izmeklēšanā lietotās kontrastvielas ievadīšanai pacienta organismā.

Tas ir pirmais gadījums pasaules vēsturē, kad ar datoriem vadāmā medicīnas aparatūra tika inficēta ar naudas izspiedēju ļaunatūru.

Pašlaik vēl nav ticis ziņots kurās tieši ārstniecības iestādēs bija notikušies medicīnas aparatūras vadības datoru inficēšanās gadījumi ar WannaCry paveidu naudas izspiedējiem „Trojas zirgiem”. Pēc Bayer Medrad pārstāvja vārdiem, firma no ASV teritorijas saņēma 2 ziņojumus par savas izgatavotās aparatūras inficēšanos (ar ļaunatūru). (Un ka ar ļaunatūru) inficētās aparatūras aparatūras darbība tika atjaunota 24 stundu laikā. Kā skaidroja Bayer Medrad pārstāvis, (ar ļaunatūru) inficētas varēja tikt tās (ar datoru vadāmās) ierīces, kuras bija pieslēgtas (WannaCry paveidu naudas izspiedēju „Trojas zirgu”) sakompromitētajiem ārstniecības iestāžu datortīkliem. (Firmas) Microsoft izlaistais „ielāps”, kas novērš (Windows datortīklu sakaru protokola) SMBv1 drošības nepilnības, ārstniecības iestādēm tiks nosūtīts „visdrīzākaja laikā”.

Paziņojumus par potenciālo apdraudējumu tāpat ir publicējuši arī citi medicīnas aparatūras ražotāji kā Smiths Medical, Medtronic и Johnson & Johnson, lai gan paziņojumi par kiberuzbrukumiem viņu ražotajai medicīnas aparatūrai vēl nav ienākuši vai arī nav tikuši publiskoti.

Šajā sakarā mēs – Tiesību Risinājumu LEX komanda, aicinām ārstniecības iestāžu darbiniekus būt īpaši piesardzīgiem, pirms vērt vaļā ar elektronisko pastu atsūtītos dokumentus. Rūpīgi apskatīt PILNAS korespondentu elektroniskās adreses, lai pārliecinātos, ka tie ir uzticami korespondenti, nevis tā saucamie „pikšķerētāji”.
Ir zināms, ka ārstniecības iestādes, it īpaši nelielie doktorāti ir iecienīti tā saucamo „pikšķerētāju” uzbrukumu mērķi.
Tāpat mēs aicinām parūpēties, lai uz ārstniecības iestāžu datoriem un medicīnas aparatūras vadības datoriem tiktu savlaicīgi uzstādīti operētājsistēmu drošības atjauninājumi.