Premium

Získejte všechny články
jen za 89 Kč/měsíc

Britský mladík „omylem“ zastavil řádění viru. Stačilo koupit doménu

  9:00
Dvaadvacetiletý britský bezpečnostní expert z MalwareTech.com zkoumal chování masivně se šířícího vyděračského viru WannaCry. Při pokusu poznat blíže způsob, jakým se virus šíří, expert jeho šíření mimoděk zastavil, respektive výrazně zpomalil. Na svém blogu nyní popsal okolnosti tohoto zásahu, který byl až překvapivě prostý.

Britský hacker „omylem“ zastavil masivní šíření ransomware WannaCry | foto: montáž: Pavel Kasík - Technet.czProfimedia.cz

Největší útok ransomware jménem WannaCry zasáhl počítače a počítačové sítě po celém světě v noci z pátku na sobotu. Vyděračský software napadl počítačové systémy ve stovce zemí. V Británii například ochromil národní zdravotní službu NHS, ve Španělsku zase napadl počítače operátora Telefónica (více v páteční zprávě).

Ransomware WannaCry se rapidně šířil po světě

Zpráva vyděračského viru WannaCry, který zašifruje disk a pak požaduje platbu

Britský bezpečnostní expert, který na webu vystupuje pod pseudonymem MalwareTech a podle The Telegraph se jmenuje Marcus Hutchins, provozuje web sledující šíření vybraných malware v reálném čase. Už v pátek odpoledne si tedy všiml, že se děje něco neobvyklého. „Když jsem se vrátil z oběda, na bezpečnostním fóru byla záplava zpráv o napadení různých systémů britské zdravotnické služby NHS. To samo o sobě není až tak překvapivé, ale bylo zajímavé, že se virus tak rychle šířil napříč celou zemí,“ vzpomíná na svém blogu MalwareTech.

S pomocí spřáteleného výzkumníka se mu podařilo získat funkční vzorek viru, který se šířil po počítačích v Británii, Rusku, Indii a dalších desítkách zemí včetně ČR.

Na vyděračském viru WannaCry je neobvyklé, že se po napadení počítače sám pokouší šířit v lokální síti, a to pomocí komunikace SMB na portu 445.

12.května 2017 v 17:32, příspěvek archivován: 14.května 2017 v 00:10

Sample I found scans SMB after dropping WannaCrypt. Can anyone confirm it's the same thing? P2P spreading ransomware would be significant. https://t.co/zs5Td4ovvL

Právě toto agresivní šíření, pravděpodobně využívající zranitelnost v systému Windows (více v našem předchozím článku) zřejmě stojí za rychlostí, s jakou se ransomware WannaCry rozšířil do světa.

Nákup složité domény za pár babek

„Když jsem si ve vzorku všiml, že vir se dovolává domény, která není zaregistrovaná, okamžitě jsem ji zaregistroval,“ píše MalwareTech. Šlo podle všeho o doménu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (whois), která byla registrována v pátek ve tři hodiny odpoledne.

Stálo jej to prý 10,69 dolarů, tedy asi 260 korun. Doménu přesměroval na „sinkhole“ server v Los Angeles, a sledoval požadavky, které na doménu chodily, aby tak získal více informací o tomto ransomware. „Hned bylo vidět pět nebo šest tisíc požadavků za sekundu,“ uvedl expert pro DailyBeast.

„Nákup domény pro mě není nic neobvyklého, nebylo to unáhlené rozhodnutí,“ upřesňuje MalwareTech. „Ročně takových domén koupím tisíce. Obvykle najdu neregistrovanou doménu, se kterou botnet zkouší komunikovat. Za prvé ji přesměruji na server (sinkhole) a za druhé se pak snažím z příchozí komunikace získat data o fungování daného malware. Konečně za třetí zkusím zjistit, jestli jsou v kódu malware nějaké zranitelnosti, kterých bych mohl využít. V případě WannaCry se ukázalo, že všechny tři kroky proběhly zároveň, aniž jsem to v tu chvíli tušil.“

„Přiznávám, že když jsem si doménu registroval, netušil jsem, že právě tato registrace zastaví šíření tohoto malware,“ vysvětlil na Twitteru MalwareTech. „Zpočátku šlo tedy o náhodu.“

13.května 2017 v 02:20, příspěvek archivován: 13.května 2017 v 19:00

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.

O chvíli později se přestal malware šířit. Mladý vývojář si lámal hlavu, proč. Povedlo se mu alespoň zmapovat, odkud chodí na server požadavky.

Záznam mapy požadavků od počítačů napadených WannaCry:

Proč to nefunguje? V kódu byla „pojistka“

Trvalo několik hodin, než MalwareTech odhalil, co se stalo. Pomohl mu v tom Darien Huss, výzkumník z ProofPoint, který na základě analýzy kódu odvodil, že ransomware se odmítá šířit po lokální síti, pokud doména (nyní koupená MalwareTech) existuje.

12.května 2017 v 19:29, příspěvek archivován: 14.května 2017 v 00:15

#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed https://t.co/z2ClEnZAD2

Britský výzkumník si tuto tezi otestoval. „Když jsem změnil soubor hosts na serveru tak, aby se doména tvářila, jako že se nelze připojit, najednou se ransomware zase šířil dále,“ popisuje. „Asi si nedokážete představit, že jsem skákal radostí kolem stolu, když jsem zjistil, že ransomware funguje, ale bylo to tak. Znamenalo to, že jsme zabránili dalšímu rozšíření tohoto ransomware. Registrací domény jsme zabránili tomu, aby došlo k vybrakování dalších počítačů.“

Proč vůbec ransomware takovouto „pojistku“ v podobě kontrolování existence neexistující domény obsahoval? Mohlo jít o tzv. „kill-switch“, tedy centralizovanou destrukci viru pro případ, že by jej útočníci z nějakého důvodu chtěli zastavit.

Mapa útoků ransomwaru Wcrypt zaznamenaných na mapě MalwareTech.com

MalwareTech se ale domnívá, že je vysvětlení trochu složitější: „Podle mého to byl nedomyšlený pokus zabránit výzkumníkům v analýze funkce tohoto ransomware. Některé sandboxy (virtuální prostředí simulující reálnou síť) by se totiž tvářily, jako že je tato neexistující doména registrovaná, a tím pádem by výzkumník nemohl snadno analyzovat funkci malware.“ Podobnou techniku (ovšem s kontrolou více domén) používá například trojský kůň Necurs.

Protože ale WannaCry kontrolovalo jen existenci té jedné domény, jakmile si ji někdo zaregistroval, všude po světě se ransomware WannaCry zastavil. Deník Guardian označil Hutchinse za „náhodného hrdinu“, ovšem příběh také ukazuje, že štěstí přeje připraveným.

Bezpečnostní odborníci ale varují, že nemusí jít o konec tohoto ransomware. „Jde o krátkodobé řešení,“ domnívá se bezpečností expert Matt Tait z Capital Alpha Security. „Už teď jsme zaznamenali modifikované verze tohoto viru.“

S tím souhlasí i „náhodný hrdina“ tohoto příběhu, MalwareTech. „Naše registrovaná doména zastaví jen tuto verzi ransomware, a tvůrcům nic nebrání v tom, aby tuto část viru změnili nebo odstranili a útok spustili znovu.“ Proto je důležité, aby měli uživatelé pečlivě zálohovaná svá data a vždy aktuální a zabezpečený operační systém.

Aktualizace: Do článku jsme doplnili citaci týkající se „náhodnosti“ objevu. Dnes (v pondělí 15. května) jsme také doplnili do článku údajné jméno maldého Brita, který byl do té doby znám pouze jako MalwareTech.

Autor:

Povodně

Od čtvrtka do neděle platí výstraha na extrémní srážky. Na většině území ČR platí také povodňová pohotovost či povodňové ohrožení

  • Nejčtenější

To monstrum znal jen ze hry. Nyní tank s největším kanonem v historii ožil

Původní myšlenka vznikla při hraní populární videohry World of Tanks, kde patří mezi nejvražednější volby. Stíhač tanků FV4005 byl prototyp s největším kanonem, jakým kdy byl tank osazen. Hovořili...

15. září 2024

Jaderný zločin v roce 1954. Jak Sověti nacvičovali třetí světovou válku

Východní mocnost vedená Kremlem nechtěla zůstat v ničem pozadu. Proto i ty strašné věci dokázala hnát do hrozivých rozměrů. Jako jaderné cvičení s reálnou explozí, kam nahnala 45 tisíc vojáků. Vedle...

14. září 2024

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

První výstup soukromníků do volného vesmíru proběhl tak, jak měl

Účastníci letu Polaris Dawn ve čtvrtek provedli historicky první soukromý výstup do vesmíru s využitím nových skafandrů společnosti SpaceX a přepracované kosmické lodi Crew Dragon. Na začátku výstupu...

12. září 2024  12:13,  aktualizováno  13:21

V noci na středu bude vidět neobvyklé částečné zatmění Měsíce v superúplňku

Oblačnost, která nám v posledních dnech přinesla tolik problémů, se začíná pomalu trhat a tak by na řadě míst nemusela bránit pohledu na oblohu a Měsíc. Právě ten má v noci dosáhnout superúplňku a...

17. září 2024  16:12

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Dostali „antinobelovku“ za objev, že savci mohou dýchat konečníkem

Prokázaná schopnost savců dýchat konečníkem, rakety naváděné s pomocí poštovních holubů či plavecké schopnosti mrtvých pstruhů. To jsou některé z nejnovějších přínosů na poli nevážné vědy, které si...

13. září 2024  20:38

Vnímání pachů je složité. Vědci si na pomoc s rozluštěním záhady vzali AI

I když se to může zdát z laického pohledu jednoduché, vědci si stále lámou hlavu nad tím, jak člověk vnímá pach. Mají ale pomocníka v podobě umělé inteligence, který jim pomohla najít cestu.

20. září 2024

Bolševický terorismus vyprovokoval Poláky k vytvoření pohraniční armády

Polsko se před 100 lety rozhodlo lépe hlídat svoji východní hranici, tedy hranici se Sovětským svazem. Varšava založila Sbor ochrany hranic z obavy před hrozící invazí Sovětského svazu do Polska.

19. září 2024

Proč jsou e-maily nehynoucí fenomén

Existují od počátku věku počítačů, zrodily se dřív než internet a budou i v budoucnu. E-maily se staly nepostradatelným komunikačním nástrojem pro lidi z celého světa. Umožňují rychlou a snadnou...

19. září 2024

Podívejte se na fotografie letadel, které jste nám poslali v letní výzvě

Letní výzva pro naše čtenáře, aby nám zaslali fotografie zajímavého letadla, se setkala se zájmem, který nás velmi potěšil. Pokochejte se letouny, z nichž mnohé opravdu stojí za pozornost. Vzhledem k...

19. září 2024

Radil jsem bratrovi, aby se neupil a neufetoval, říká Jakub Prachař

Premium Mluví jakoby žertem, ale za svými slovy si stojí. Moderátorovi Liboru Boučkovi to Jakub Prachař občas natře před...

Zatnu zuby a nevěra není. V tolyamorii žije v Česku stále více párů

Podvádíš mě, spíš s jinými a já to vím. Doma děláme, že se to neděje, a i když mi to vlastně vadí, rozhodně o tom...

Bydlí nad Strahovským tunelem v Praze. V bytě má ocelové mostní nosníky

Do bytu na pražském Smíchově se majitelka přestěhovala před sedmi lety z menšího města. Bydlí ve třetím patře projektu...

Do výstřihu nekoukat! Fotbalové Ústí vzbudilo ve světě rozruch českou Pamelou

Ústecký fotbal zase dobyl svět, byť opět ne na hřišti. Po „kazmovině“ s tlouštíkem propírají média po celé planetě...

To monstrum znal jen ze hry. Nyní tank s největším kanonem v historii ožil

Původní myšlenka vznikla při hraní populární videohry World of Tanks, kde patří mezi nejvražednější volby. Stíhač tanků...