Ένα πολύ καλό παράδειγμα που μας δείχνει γιατί είναι απαραίτητο, να κάνουμε άμεσα όλες τις ενημερώσεις που υπάρχουν για το λειτουργικό μας σύστημα, είναι η τελευταία παγκόσμια επίθεση ransomware που συμβαίνει τις τελευταίες δύο μέρες. 

Για όσους δεν γνωρίζουν, το ransomware είναι μία μορφή επιβλαβούς λογισμικού, η οποία κλειδώνει αυτόματα όλα τα αρχεία που βρίσκονται στον υπολογιστή και εκβιάζει τον χρήστη ζητώντας του κάποια χρήματα ώστε να τα ξεκλειδώσει. Περισσότερα για το τι ακριβώς είναι τα ransomware, μπορείτε να διαβάσετε και εδώ.

Παρέλυσαν χιλιάδες ιδρύματα και οργανισμούς

Η τελευταία επίθεση με ransomware ξεκίνησε περίπου πριν 2 μέρες (12/05/17) και έχει την ονομασία WannaCry (Wanna Decryptor 2.0). Μέσα στις πρώτες κιόλας ώρες κατάφερε να παραλύσει μεγάλους τηλεπικοινωνιακούς κολοσσούς, νοσοκομεία, τράπεζες και γενικότερα δεκάδες χιλιάδες συστήματα παγκοσμίως.

Ένα από τα πιο μεγάλα θύματα αυτής της κυβερνοεπίθεσης ήταν και το εθνικό σύστημα υγείας της Βρετανίας (NHS), το οποίο κυριολεκτικά παρέλυσε με αποτέλεσμα πολλά νοσοκομεία της χώρας να μην μπορούν να κάνουν ούτε ακτινογραφίες.

Πως διαδόθηκε τόσο ραγδαία

Σε αντίθεση με άλλα ransomware που βασίζονται σε κάποιο λάθος ή αμέλεια του χρήστη, ο οποίος πάτησε ένα link από κάποιο email ή κατέβασε κάποιο πειρατικό πρόγραμμα ή ταινία, το συγκεκριμένο ransomware διαδίδεται αυτόματα ανάμεσα σε όλους τους υπολογιστές που χρησιμοποιούν κοινό τοπικό δίκτυο, εκμεταλλευόμενο μερικά κενά ασφαλείας των Windows.

Γιατί προτίμησε τους οργανισμούς και τα ιδρύματα αυτό το Ransomware

Μία από τις πρώτες εκτιμήσεις -λόγω της έκτασης και των προσβεβλημένων υπολογιστών- ήταν ότι η επίθεση ήταν στοχευμένη και είχε ως κύρια θύματα μεγάλους οργανισμούς και ιδρύματα του δυτικού κόσμου. Όμως, όπως φαίνεται, η πραγματικότητα είναι τελείως διαφορετική. 

Ο κύριος λόγος που τα περισσότερα θύματα αυτής της επίθεσης είναι μεγάλοι οργανισμοί και ιδρύματα, είναι γιατί -σε αντίθεση με τον μέσο χρήστη- δεν είχαν κάνει όλες τις απαραίτητες ενημερώσεις στο λειτουργικό τους σύστημα.

Για διάφορους λόγους, αρκετοί οργανισμοί αργούν αρκετά να κάνουν τις τελευταίες ενημερώσεις στον σέρβερ και τους υπολογιστές τους. Τις περισσότερες φορές αυτό συμβαίνει γιατί περιμένουν να δουν αν η ενημέρωση είναι ασφαλής ή θα τους δημιουργήσει κάποιο γενικότερο πρόβλημα. Έτσι συνήθως οι ενημερώσεις γίνονται με καθυστέρηση ημερών ή και εβδομάδων. Φυσικά δεν είναι πάντα αυτή η αιτία. Κάποιες φορές είναι «παρατημένα» ή απλά κανείς δεν πολύ-ασχολείται (ειδικά στην περίπτωση των κρατικών οργανισμών).

Θα μπορούσε να είχε αποφευχθεί αν…

Οι επιπτώσεις αυτής της επίθεσης θα μπορούσαν να είχαν αποφευχθεί, αν είχαν γίνει όλες οι ενημερώσεις στους υπολογιστές και τους server που χρησιμοποιούσαν το λειτουργικό των Windows. Πιο συγκεκριμένα, αν είχε γίνει η ενημέρωση  ms17-010, που κυκλοφόρησε τον Μάρτιο μετά την αποκάλυψη μίας τρύπας που είχαν τα Windows και χρησιμοποιούσε για χρόνια η Αμερικανική κρατική υπηρεσία πληροφοριών NSA, για να παρακολουθεί χιλιάδες υπολογιστές.

Το patch αυτό, κυκλοφόρησε τον Μάρτη, μία εβδομάδα πριν την δημόσια αποκάλυψη του bug και malware που χρησιμοποιούσε η NSA.

Οπότε, με απλά λόγια η λύση για το πρόβλημα προϋπήρχε εδώ και αρκετές εβδομάδες.

Κατά τύχη ήρωας έσωσε δεκάδες χιλιάδες υπολογιστές

Η διάδοση του WNNACRY, όπως αναφέραμε, ήταν τόσο ραγδαία που μέσα σε λίγες μόνο ώρες δεκάδες χιλιάδες υπολογιστές και σέρβερ είχαν προσβληθεί σε όλο το κόσμο. Η χώρα που χτυπήθηκε λίγο πιο σφοδρά ήταν η Ρωσία, ενώ ακολούθησαν η Βρετανία, η Ιταλία, η Ταϊβάν, η Ισπανία, η Βραζιλία και δεκάδες ακόμα.

Στην χώρα μας, παρότι φαίνεται να υπάρχουν αναφορές, το φαινόμενο δεν έχει λάβει τόσο μεγάλη έκταση ακόμα. Ένας από τους λόγους για αυτό, είναι ότι ένας ερευνητής και ειδικός πάνω σε θέματα κυβερνο-επιθέσεων κατάφερε να γίνει ο ήρωας της μέρας, ξοδεύοντας μερικά μόνο δολάρια.

Παγκόσμιος χάρτης έκθεσης στο WNNCRY
O παγκόσμιος χάρτης της έκθεσης στο WannaCry

Οι δημιουργοί του ransomware, είχαν εισάγει ένα αυτόματο «kill switch» στον κώδικα. Δηλαδή, μία παράμετρο η οποία αν ήταν αληθής, τότε θα σταματούσε αυτόματα η διάδοση του ransomware. Στην περίπτωση αυτή, το kill switch ήταν ένα αρκετά μεγάλο ανενεργό domain name, το οποίο από την στιγμή που θα γινόταν ενεργό, θα σταματούσε αυτόματα η διάδοση του WNNCRY. 

ransomware

Αυτό λοιπόν το domain, κατάφερε να το βρει ένας Βρετανός ερευνητής κυβερνοασφάλειας με το ψευδώνυμο MalwareTechBlog , ο οποίος με μόνο 10 δολάρια αγόρασε το domain name και κατάφερε να αναστείλει ή τουλάχιστον να καθυστερήσει σημαντικά την διάδοση του ransomware, καθώς επίσης και να έχει μία εικόνα με το μέγεθος και τα σημεία που έχουν εκτεθεί ήδη.

Ποια έκδοση Windows έχει πρόβλημα


Το πρόβλημα αφορά σχεδόν όλες τις εκδόσεις Windows (ακόμα και τα 10), με τις περισσότερες προσβολές μέχρι στιγμής να αφορούν τα Windows 7, προφανώς γιατί ήταν πιο μεγάλο το ποσοστό των παρατημένων 7, παρά των νεότερων 8 και 10.

Θα πρέπει να αναφερθεί ότι σημαντικός αριθμός προσβολών παρουσιάζεται και σε Windows XP, στα οποία έχει σταματήσει το Support εδώ και χρόνια -και κανονικά δεν θα έπρεπε να υπήρχαν εγκατεστημένα πουθενά- αν και προς τιμήν της η Microsoft έβγαλε patch ακόμα και για τα Windows XP.

Πως θα ξέρετε ότι είστε ασφαλείς


Αν έχετε κάνει όλες τις ενημερώσεις των Windows, είστε ασφαλής, τουλάχιστον από αυτήν την έκδοση του Ransomware. Φυσικά αυτό αφορά την αυτόματη διάδοση του ransomware και όχι την εγκατάσταση του από τον χρήστη.

Έτσι θα πρέπει να συνεχίσετε να είστε προσεκτικοί ειδικά στα email από γνωστούς και αγνώστους τα οποία περιέχουν link αλλά και με πειρατικές εφαρμογές, ταινίες ή γενικότερα ότι προσφέρεται δωρεάν ενώ δεν θα έπρεπε.

Τι μπορείτε να κάνετε αν έχετε προσβληθεί από το WNNCRY


Αν έχετε προσβληθεί και εσείς από το WNNCRΥ ή γενικότερα οποιοδήποτε Ransomware, οι επιλογές είναι απλές. Ή πληρώνετε τα λύτρα ή αποχαιρετάτε για πάντα (?) τα αρχεία σας. Βέβαια και το να πληρώσετε, δεν σας εγγυάται κανείς ότι στο τέλος θα έχετε πίσω τα αρχεία σας.

Υπάρχουν δεκάδες αναφορές χρηστών, που ενώ πλήρωσαν τα λύτρα, στο τέλος δεν μπόρεσαν ποτέ να ανακτήσουν τα κλειδωμένα τους αρχεία, ενώ υπάρχουν και άλλες που τελικά τα επανέφεραν χρησιμοποιώντας το κλειδί που τους έδωσαν οι hacker.

Οπότε, υπάρχει ρίσκο ακόμα και αν πληρώσετε. Γιαυτό το λόγο οι περισσότεροι ειδικοί και φορείς ασφαλείας, συνιστούν να μην το κάνετε, εκτός και αν είναι απολύτως απαραίτητο, γιατί και ενισχύεται ακούσια μία παράνομη πρακτική που βρίσκει όλο και περισσότερους μιμητές καθημερινά και γιατί κανείς δεν σας εγγυάται ότι εφόσον πληρώσετε, θα έχετε πράγματι τα αρχεία σας.

Βέβαια, αν έχετε προσβληθεί και επιλέξετε να μην πληρώσετε, μπορείτε να αφήσετε τα περιεχόμενα του δίσκου ανέπαφα, καθώς μελλοντικά ίσως βρεθεί το κλειδί αποκρυπτογράφησης (συνήθως είναι ίδιο για αρκετούς χρήστες) ή κάποια άλλη μέθοδος που να σας ξεκλειδώνει χωρίς κόστος τα αρχεία.

Ransomware – Πως μπορείτε να τα αντιμετωπίσετε

Αν θέλετε να συμμετέχετε στις συζητήσεις χωρίς να χρησιμοποιήσετε λογαριασμό του disqus ή κοινωνικών δικτύων, μπορείτε να επιλέξετε να σχολιάσετε ανώνυμα ως επισκέπτης. Απλώς συμπληρώστε ένα οποιοδήποτε όνομα και ένα αληθοφανές email (πχ kanenas@gmail.com) και επιλέξτε το κουτάκι «I'd rather post as a guest».
Τα ανώνυμα σχόλια και όσα περιέρχουν links, απαιτούν επαλήθευση από κάποιον διαχειριστή πριν δημοσιευθούν. Για περισσότερα σχετικά με την πολιτική σχολιασμού της ιστοσελίδας, μπορείτε να διαβάσετε εδώ.