WannaCry
From Wikipedia, the free encyclopedia
WannaCry, numit și Wcrypt, WCRY, WannaCrypt sau Wana Decrypt0r 2.0, este un software rău intenționat, care vizează sistemul de operare Microsoft Windows. Atacul a început vineri, 12 mai 2017, și a infectat peste 230.000 de calculatoare din 150 de țări, software-ul cerând o răscumpărare plătibilă în criptomoneda Bitcoin, printr-un mesaj tradus în 28 de limbi.[3] Atacul a fost descris de către Europol ca fiind de o scară fără precedent.[4]
WannaCry | |
Primele țări afectate de ransomware-ul WannaCry | |
Dată | 12 mai 2017 |
---|---|
Locație | în toată lumea |
Cunoscut și ca | WannaCrypt, WanaCrypt0r. WCRY |
Tip | atac cibernetic |
Temă | Ransomware care criptează fișierele și cere $300 – $1200 în schimbul decriptării |
Cauză |
|
Rezultat | Peste 200.000 și peste 230.000 de mașini infectate[1][2] |
Site web | cont Twitter |
Modifică date / text |
Atacul a afectat Telefónica și alte mari companii din Spania, precum și unele părți din National Health Service (NHS) din Regatul Unit,[5] FedEx, Deutsche Bahn, și LATAM Airlines.[6][7][8][9] În același timp, au fost atacate ținte din 99 de alte țări.[10][11] Ca și alte atacuri de tip ransomware, acesta se răspândește prin e-mailuri de phishing,[12] dar utilizează și exploitul EternalBlue și backdoorul DoublePulsar dezvoltate de National Security Agency (NSA)[13][14] răspândindu-se printr-o rețea în care nu sunt instalate actualizări de securitate recente, infectând direct orice sistem expus.[15] Un patch critic fusese publicat de Microsoft la 14 martie 2017 pentru a înlătura vulnerabilitatea pe sistemele suportate, cu aproape două luni înainte de atac,[16] dar multe organizații totuși nu îl instalaseră încă.[17] Cele care încă mai rulau sisteme vechi nesuportate, cum ar fi Windows XP și Windows Server 2003, erau expuse și mai mult, dar Microsoft a lansat actualizări și pentru acestea.[18] La scurt timp după începutul atacului, un specialist în securitatea web care publică un blog sub pseudonimul "MalwareTech" a găsit un kill switch pentru virus și a blocat răspândirea lui prin simpla înregistrare a unui nume de domeniu menționat în codul ransomware-ului. Răspândirea infecției a fost încetinită, dar au fost detectate și versiuni mai noi, fără kill switch. Este recomandat ca atunci cand va infectati cu un astfel de software sa nu platiti pentru decriptarea fisierelor, deoarece este posibil sa nu se intample acest lucru. Fisierele pot ramane criptate.[19][20][21][22][23]