Sosem örültem még ennyire annak, hogy zsarolóvírus áldozata lettem. Képzeljenek el egy felnőttet, ahogy izgatottan ugrál egy szobában. Na, ez voltam én!
– írta blogbejegyzésében @MalwareTech, avagy a brit Nemzeti Kiberbiztonsági Központ szakértője, akit a sajtó és a közvélemény csak úgy emleget, mint a véletlen hőssé vált megmentő.
Neki köszönhető ugyanis, hogy szombat reggelre felére csökkent a zsarolóvírus terjedésének mértéke, majd 24 órával a világszintű támadáshullám után csend állt be: egyelőre leállt a terjedés.
Finding the kill switch to stop the spread of ransomware https://t.co/ehBLayurqZ pic.twitter.com/ZwE83HREiX
— NCSC UK (@ncsc) May 13, 2017
A brit kiberbiztonsági szakértő szerint ugyanakkor korai lenne örülni, még messze nincs vége a történetnek.
Az elkövetők (vagy akár más bűnözők) rájönnek, hogyan állítottuk meg a rohamot, változtatnak a kódon, s kezdődik minden elölről. Aki még nem fertőzödött meg, az frissítse a Windowst és a programokat, s indítsa újra a gépet minél előtt.
⇒ Itt megtalálja, hogy a melyik Windowshoz mit kell telepíteni, frissíteni ⇐
Ahogy én magam is végigkövettem laikusként, ahogy mintegy 100 országban szedi áldozatait a WannaCry zsarolóvírus, addig a profik szakértői szemmel estek neki a nyomozásnak.
A 22 éves szakértő eredetileg a vírus terjedését akarta elemezni, akkor fedezett fel egy “beépített kikapcsolót” (kill switch), melyet a készítő azért hoz létre, hogy ha szükséges, meg tudja állítani a kártevő terjedését. Eszerint a kód tartalmazott egy domaint, melyhez a kártevő megpróbál csatlakozni – csak úgy, mint amikor meg akarunk nyitni egy honlapot – ha sikerül, akkor leállítja magát, és nem terjed tovább, ha azonban nem sikerül a kapcsolódás, akkor megfertőzi az adott gépet.
(Nehezítés, hogy elég egyetlen gépre eljutnia, hogy utána a hálózat többi eszközét is megfertőzze, azaz nem kell minden felhasználónak megnyitnia egy fertőzött csatolmányt tartalmazó levelet vagy oldalt.)
A brit szakértő leellenőrizte az elképesztő hosszúságú, fura címet, s beregisztrálta 10,69 dollárért, azaz körülbelül 3 ezer forintért. Mint posztjában írja, akkor még fogalma sem volt, hogy milyen domaint is regisztrált. “Csak azt láttuk, hogy bárki, akit a zsarolóvírus megfertőzött, az ehhez a címhez próbál csatlakozni.”
» www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com «
Ez alapján tudták aztán létrehozni azt a folyamatosan frissülő világtérképet, melyet Twitteren osztott meg, s melyről a The New York Times készített látványos animációt. Ekkor már látszódott, hogy világszintű problémáról van szó, s hogy a legnagyobb elszenvedője a támadáshullámnak Oroszország és Európa – köztük hazánk sem úszta meg.
Pár órával később újra leellenőrizték a kártevő kódját. Előfordulhat ugyanis, hogy egy algoritmus segítségével változik az abban szereplő domain, a szakértő pedig tudni szerette volna, mit kell legközelebb regisztrálni, hogy tovább követhessék a vírus terjedésének útját. Azonban az URL továbbra is ugyanaz volt.
épp az ellenkezőjét állította: a regisztrációval megállítják a zsarolóvírust, s lassul annak terjedése.
a brit szakember azt az információt kapta kollégájától, hogy a regisztráció által mindenki fájlait titkosítják, aki megpróbál a domainhez csatlakozni. Ehhez képest Darian Huss, a ProofPoint biztonsági cégtől@MalwareTech úgy döntött hát, ellenőrzött körülmények között maga próbálja ki, mi az igazság. A végeredmény pedig tudjuk: ujjongva örült, hogy a zsarolóvírus megfertőzte, azaz sikerült a regisztrációval megállítani a terjedést.
Üröm az örömben
Ne feledkezünk el azonban azon cégekről és magánszemélyekről, akiknél már beütött a krach. A zsarolóvírus ugyanis zárolta a gépen található, sokszor bizalmas, vagy éppen érzékeny adatokat. Egy felugró ablakban 28 nyelven zsarolja meg a felhasználót, s követel váltságdíjat: 300 és 600 dollár közötti összeget, azaz 85-171 ezer forintot.
Annak a felhasználónak rögtön törlik az összes zárolt adatát, aki a figyelmeztetés ellenére megpróbálja frissíteni az oprendszert, vagy a vírusirtót telepíteni.
A biztonsági szakértők szerint a megadott számlára péntek délután óta folyamatosan csorog be a sok bitcoin, ők maguk azonban azt vallják: ne fizessünk a bűnözőknek, főleg, hogy semmi sem garantálja, így visszakapjuk szeretett dokumentumainkat.
Az elkövetők május 19-20-at adták meg határidőnek, ameddig fizethetünk, miközben folyamatosan strompfolják feljebb az árat, majd ezt követően törlik az összes zárolt adatot. Azaz
A nyilvánosságra hozott adatok alapján a pénzt útvonalát próbálják követni, hogy a bűnöző nyomára bukkanjanak, de ez a bitcoin miatt nem egyszerű feladat.