WannaCry: The Worm som åt världen
Gamla norska legender talar om en massiv orm som heter Jörmungandr, så stor att den omger världen och håller sin svans inom tänderna.
Fantastiska legender som dessa talas ofta bara om i myter, men i fredags upplevde vi födelsen av en verklig digital "världs orm", en mask som spred sig så långt att den har täckt världen, infekterar tjänster som Storbritanniens nationella Hälsovård och stora företag i andra delar av världen som Telefónica i Spanien.
Även om experter fortfarande försöker lista ut hur denna mask fortsätter att sprida sig och hur man hanterar hotet, har vi en bra bild av vad som hände och hur du kan vidta åtgärder för att förhindra att systemet skadas.
Vad hände?
Den 12 maj 2017 ägde en massiv cyberattack rum av en okänd ransomware (läs mer om ransomware här). Så småningom namngav WannaCry lyckades det infektera ett oförutsedda 230 000 system spridda över 150 länder, med hjälp av en kombination av phishing och exploatering av oförlästa system via lokala servermeddelandeblock (SMB).
Ransomware skulle låsa dig ur dina filer och visa dig en skärm (visas nedan) som krävde $ 300 i Bitcoin inom tre dagar för att få tillgång till dem annars skulle priset dubbla.
Även om det här är hur ransomware brukar fungera, fanns det en liten hitch som gjorde att den spred sig ännu snabbare. WannaCry utnyttjade ett fel i SMB (som ansvarar för fil- och skrivardelning) som gjorde det möjligt att sprida sig på andra datorer inom samma delnät. Det tog bara infektionen av en enda dator för att säcka hela nätverket. Detta är i grund och botten vad som gjorde infektionen en mardröm för NHS och andra stora institutioner.
Kanske en mer anmärkningsvärd sak att nämna här är det faktum att SMB-utnyttjandet togs från NSA-hackningsverktyget läcka över en månad sedan. Vi har rapporterat om en liknande läcka av CIA: s Vault 7-filer, som också innehöll ett antal fungerande exploater som vid varje tillfälle kunde användas av hackare att skriva liknande malware.
Kill Switch
Någon okänd säkerhetsforskare som går genom smeknamnet "MalwareTech" registrerade en domän som hittades i WannaCrys kod som stoppade spridningen av programvaran. Du ser, varje gång skadlig programvara skulle köras på en dator, skulle det kontrollera om domänen finns (det är iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, förresten). Om det skulle registreras skulle malware kunna ansluta till det och omedelbart upphör det med att sprida sig. Det verkar som att hackaren som skrev det ville testa vattnet och ha en beredskapsplan om sakerna går helt haywire. Detta serendipitösa ögonblick stoppade ransomware från att göra mer kaos ... åtminstone för nu.
Här är den grymma sanning: Det finns ingen lycklig avslutning här. Decompilera koden, och du kan enkelt hitta de bitar där programmet kallar WinAPI-funktionerna "InternetOpenURLA ()" eller "InternetOpenA ()". Så småningom kan du redigera utsnittet där det försöker ansluta till döden byta domän. Det kräver inte en extra skicklig programmerare att göra det här, och om någon hacker får den lilla ideen att göra en ny version av WannaCry med kill switchen redigerad innan alla patchar sina system fortsätter spridningen. Mer underhållande hackare kommer även att redigera Bitcoin-kontot att betalningarna måste gå till och göra en stor vinst.
Versioner av WannaCry med olika kill-switch-domäner har redan upptäckts i naturen, och vi har ännu inte bekräftat om en version utan en dödswitch har dykt upp.
Vad kan du göra?
Med tanke på vad som hände har Microsoft reagerat snabbt med korrigeringsfilar, även om de inte stödjer operativsystemversioner som Windows XP. Så länge du håller ditt system uppdaterat, bör du inte uppleva SMB-nivåinfektion. Du kan dock fortfarande få infektion om du öppnar ett phishing-e-postmeddelande. Kom aldrig ihåg att öppna körbara filer som skickas som bifogade bilagor. Så länge du utövar lite försiktighet borde du kunna överleva angreppet.
När det gäller de statliga institutionerna som blev hackade, skulle det inte hända om de bara skulle flyga mellan sina missionskritiska system.
Ska vi förvänta oss mer våldsamma attacker efter hackare implementera exploater som hittades i de senaste amerikanska säkerhetsläckorna? Berätta vad du tycker i en kommentar!