WannaCry

WannaCry

Snímek obrazovky k Wana Decrypt0r 2.0
Typ Síťový červ , ransomware , exploit
Rok vzhledu 12. května  2017 (začátek hromadného útoku)
Použitý software Zranitelnost Windows SMB , zadní vrátka DoublePulsar , exploit EternalBlue _

Popis Symantec
Popis Securelist
 Mediální soubory na Wikimedia Commons

WannaCry (přeloženo jako „chci plakat“ , také známý jako WannaCrypt [1] , WCry [2] , WanaCrypt0r 2.0 [3] [4] a Wanna Decryptor [5] ) je malware , síťový červ a ransomware za peníze , který infikuje počítače s operačním systémem Microsoft Windows . Po infikování počítače kód červa zašifruje téměř všechny soubory uložené v počítači a nabídne, že za jejich dešifrování zaplatí výkupné v kryptoměně . Pokud nebude výkupné zaplaceno do 7 dnů od okamžiku infekce, schopnost dešifrovat soubory je navždy ztracena.

Masová distribuce WannaCry začala 12. května 2017 –  mezi prvními byly napadeny počítače ve Španělsku a poté v dalších zemích. Mezi nimi vedou v počtu nakažených Rusko , Ukrajina a Indie [6] . Celkem během krátké doby trpělo červem 500 000 počítačů [7] vlastněných jednotlivci, komerčními organizacemi a vládními agenturami ve více než 200 zemích světa [8] . Šíření červa zablokovalo práci mnoha organizacím po celém světě: nemocnicím, letištím, bankám, továrnám atd. Zejména v řadě britských nemocnic byly odloženy plánované lékařské procedury, vyšetření a nouzové operace.

Síťový červ WannaCry využívá k infikování počítačů zranitelnost v operačních systémech Windows , o které informace pravděpodobně věděla americká Národní bezpečnostní agentura (NSA) . The Equation Group , hackerská skupina spojená s NSA, vytvořila exploit EternalBlue a DoublePulsar backdoor , což umožnilo tuto zranitelnost použít k infikování počítače a získání přístupu k němu. Následně byly informace o zranitelnosti a programech pro její zneužití ukradeny z NSA hackerskou skupinou The Shadow Brokers a zveřejněny ve veřejné doméně [8] . Samotný červ WannaCry byl vytvořen a spuštěn neznámými útočníky pomocí informací ukradených z NSA. Hlavním podezřelým je hackerská skupina Lazarus Group , údajně spojená s vládou KLDR .

Způsob útoku

Malware skenuje řadu lokálních síťových IP adres a náhodně vybraných internetových IP adres a hledá počítače s otevřeným TCP portem 445, který je zodpovědný za obsluhu protokolu SMBv1 . Po nalezení takového počítače se program na něm několikrát pokusí zneužít zranitelnost EternalBlue a v případě úspěchu nainstaluje backdoor DoublePulsar [9] , přes který se nahraje a spustí spustitelný kód programu WannaCry. Při každém pokusu o zneužití malware zkontroluje přítomnost DoublePulsaru na cílovém počítači a pokud je detekován, je načten přímo přes tato zadní vrátka [9] .

Po spuštění se malware chová jako klasický ransomware : generuje asymetrický pár klíčů RSA-2048 , který je jedinečný pro každý infikovaný počítač . WannaCry poté začne v systému skenovat uživatelem definované soubory určitých typů , přičemž ty kritické pro jeho další fungování ponechá nedotčené. Každý vybraný soubor je zašifrován pomocí algoritmu AES-128-CBC s jedinečným (náhodným) klíčem pro každý z nich, který je zase zašifrován veřejným klíčem RSA infikovaného systému a uložen v záhlaví zašifrovaného souboru. Tím se ke každému zašifrovanému souboru přidá přípona .wncry . Pár klíčů RSA infikovaného systému je zašifrován veřejným klíčem útočníků a odeslán na jejich řídicí servery umístěné v síti Tor , poté jsou všechny klíče vymazány z paměti infikovaného počítače. Po dokončení procesu šifrování program zobrazí okno s požadavkem převést do tří dnů určitou částku v bitcoinech (odpovídající 300 USD ) do zadané peněženky. Pokud nebude výkupné přijato včas, bude jeho částka automaticky zdvojnásobena. Sedmý den, pokud WannaCry není odstraněn z infikovaného systému, jsou šifrované soubory zničeny [10] . Zpráva se zobrazí v jazyce, který odpovídá jazyku nainstalovanému v počítači. Celkem program podporuje 28 jazyků. Spolu se šifrováním program kontroluje libovolné internetové a lokální síťové adresy pro následnou infekci nových počítačů [11] [12] .

Podle průzkumu společnosti Symantec je algoritmus útočníků pro sledování individuálních výplat každé oběti a zasílání dešifrovacího klíče implementován s chybou rasy . Platby výkupného tak postrádají smysl, protože jednotlivé klíče stejně nebudou odeslány a soubory zůstanou zašifrované. Existuje však spolehlivá metoda, jak dešifrovat uživatelské soubory menší než 200 MB, stejně jako určité šance na obnovení větších souborů. Kromě toho je na zastaralých systémech Windows XP a Windows Server 2003 kvůli zvláštnostem implementace algoritmu výpočtu pseudonáhodných čísel v systému dokonce možné obnovit soukromé klíče RSA a dešifrovat všechny dotčené soubory, pokud má počítač nebyl restartován od okamžiku infekce [13] . Později skupina francouzských odborníků na kybernetickou bezpečnost z Comae Technologies tuto funkci rozšířila na Windows 7 a uvedla ji do praxe vydáním utility WanaKiwi [14] , která umožňuje dešifrovat soubory bez výkupného [15] [16] .

V kódu raných verzí programu byl poskytnut samodestrukční mechanismus, tzv. Kill Switch[10] , - program zkontroloval dostupnost dvou konkrétních internetových domén a pokud byly dostupné, byl z počítače zcela odstraněn. Poprvé to objevil 12. května 2017 Marcus Hutchins[17] , 22letý virový analytik britské společnosti Kryptos Logic, tweetující pod uživatelským jménem @MalwareTechBlog a zaregistroval jednu z domén na své jméno. Podařilo se mu tedy dočasně částečně [K 1] zablokovat distribuci této modifikace škodlivého programu [18] [19] . 14. května byla zaregistrována i druhá doména [10] . V dalších verzích viru byl tento samoodpojovací mechanismus odstraněn, nebylo to však provedeno ve zdrojovém kódu, ale úpravou spustitelného souboru , což naznačuje, že původ této opravy nepochází od autorů původní WannaCry, ale od útočníků třetích stran. V důsledku toho byl poškozen šifrovací mechanismus a tato verze červa se může šířit pouze sama a nacházet zranitelné počítače, ale není schopna jim způsobit přímé [K 2] poškození [20] .

Vysoká rychlost šíření WannaCry, která je pro ransomware jedinečná, je zajištěna využitím zranitelnosti v síťovém protokolu SMB operačního systému Microsoft Windows publikované v únoru 2017, popsané v bulletinu MS17-010 [21] . Zatímco v klasickém schématu se ransomware dostal do počítače akcemi samotného uživatele prostřednictvím emailu nebo webového odkazu, v případě WannaCry je účast uživatele zcela vyloučena. Minimální doba mezi objevením zranitelného počítače a jeho úplnou infekcí je asi 3 minuty [11] .

Vývojářská společnost potvrdila existenci zranitelnosti v absolutně všech uživatelských a serverových produktech, které implementují protokol SMBv1 – počínaje Windows XP / Windows Server 2003 a konče Windows 10 / Windows Server 2016 . Dne 14. března 2017 vydala společnost Microsoft sérii aktualizací zaměřených na neutralizaci zranitelnosti ve všech podporovaných operačních systémech [21] . Po distribuci WannaCry podnikla společnost bezprecedentní krok a dne 13. května [22] [23] vydala také aktualizace produktů s ukončenou podporou ( Windows XP , Windows Server 2003 a Windows 8 ) .

Chronologie událostí

12. května 2017 se červ rozšířil do celého světa. Mnoho zemí bylo napadeno, ale většina infikovaných počítačů byla v několika zemích - na Ukrajině , v Rusku , Indii a na Tchaj-wanu [6] [24] [25] .

Ve Španělsku byly počítače napadeny ve společnostech Telefónica , Gas Natural , Iberdrola (dodavatel elektřiny), Centro Nacional de Inteligencia , Bank Santander a pobočka poradenské společnosti KPMG . Ve Spojeném království byly infikovány počítače v nemocnicích (NHS trusty) [26] . Počítače Deutsche Bahn byly infikovány v Německu .

V Rusku utrpěla ministerstva ( Ministerstvo vnitra Ruska [27] ), MegaFon [28] . Zprávy o úspěšných útocích na Sberbank a Ministerstvo pro mimořádné situace byly těmito organizacemi vyvráceny [29] . Informační systémy ruských železnic byly zasaženy , ale červ byl rychle lokalizován a neovlivnil pohyb vlaků [30] . Středisko pro monitorování a reakci na počítačové útoky v úvěrové a finanční sféře Ruské banky (FinCERT) rovněž uvedlo, že byly zaznamenány „jediné případy ohrožení zdrojů úvěrových institucí“, ale následky těchto incidentů byly odstraněny jako co nejdříve [31] .

K 13. květnu 13:20 je podle MalwareTech BotNet Tracker [32] celosvětově infikováno 131 233 počítačů, z nichž 1 145 je online.

Renault zavřel své továrny, aby otestoval své počítače [33] .

Ruské ministerstvo vnitra sice nejprve infekci své sítě popíralo, ale později potvrdilo, že k infekci došlo proto, že se někteří zaměstnanci oddělení připojili k internetu ze svých počítačů „přes ten či onen mechanismus“ [34] . Irina Volk, oficiální zástupce ruského ministerstva vnitra, uvedla: „Prostředky serveru ruského ministerstva vnitra nebyly infikovány kvůli použití jiných operačních systémů a domácích serverů s ruským procesorem Elbrus[35] . Počet infikovaných PC byl asi 1000, což je asi 1 % z celého počítačového parku [35] . V některých regionech Ruské federace dočasně nefungovaly některé útvary ministerstva vnitra [36] .

Podle Europolu k 15. květnu WannaCry infikovalo asi 200 000 počítačů ve více než 150 zemích světa [37] . Zisk z útoku pro útočníky se však ukázal jako poměrně malý: do této doby bylo na těchto bitcoinových peněženkách provedeno pouze 110 transakcí za celkem asi 23,5 bitcoinů (cca 65,8 tisíce amerických dolarů) [38] . Téhož dne na tiskové konferenci prezident V. V. Putin označil škody způsobené zemi celosvětovým kybernetickým útokem za bezvýznamné [39] .

K 17. květnu 2017 není podle společnosti Symantec zdroj a způsob počáteční distribuce WannaCry neznámý. Dříve vyslovené názory, že útok začal rozesíláním škodlivých e-mailových zpráv, se nepotvrdily [10] .

K 26. květnu 2017 je podle webu MalwareTech BotNet Tracker celosvětově infikováno více než 410 000 počítačů , z nichž 170 000 je online [7] .

K obdržení výkupného od obětí se používají tři elektronické peněženky registrované v programu. Jako ve všech takových případech jsou informace o jejich zůstatku a převodu peněz veřejné, zatímco vlastník peněženky zůstává neznámý [40] . K 25. květnu 2017 bylo na účty útočníků provedeno 302 převodů v celkové výši 126 742 $ [ 41 ] .

K 6. červnu 2017 je podle webu MalwareTech BotNet Tracker infikováno více než 520 000 počítačů a 200 000 IP adres [7] .

Šíření viru mohlo podle některých odborníků začít kvůli úniku ještě před dokončením prací na něm. Ve prospěch neúplnosti viru je přítomnost pouze tří bitcoinových peněženek zašitých v kódu a chybějící šifrování při přístupu k doménám, které aktivují mechanismus sebezničení [42] .

28. března 2018 byly operační systémy Boeing Aircraft Corporation napadeny pomocí WannaCry. Společnost okamžitě provedla opatření na obnovu softwaru a virus neovlivnil výrobní aktivity Boeingu [43] .

Hodnocení

Mezinárodní hackerský konglomerát „ Anonymous “ vyjádřil své rozhořčení nad aktivitami tvůrců červa WannaCry kvůli tomu, že tento červ zasáhl počítačové sítě veřejných a lékařských institucí. Vzhledem k její aktivaci v řadě britských nemocnic byla odložena realizace předepsaných lékařských výkonů, vyšetření a urgentních operací. Tato skutečnost vzbudila zvláštní pobouření mezi francouzskou divizí Anonymous, která zveřejnila zprávu odsuzující kybernetické útoky WannaCry a NSA , která až 12. května informovala o krádeži softwaru nezbytného pro provoz červa z jejich databází [44 ] .

Bývalý důstojník CIA a nyní americký disident Edward Snowden prohlásil, že zranitelnost operačních systémů rodiny MS Windows , díky níž se WannaCry rozšířilo po planetě, byla technikům NSA již dlouho známa . Nepovažovali však za nutné o tom Microsoft informovat a oznámili to, až když se infekce počítačů rozšířila [45] [46] .

Autorství programu

14. května prezident a hlavní právní zástupce společnosti Microsoft Brad Smith uvedl, že virus zneužil zranitelnost, která byla ukradena americké národní bezpečnostní agentuře (NSA) [47] [48] .

Později, 15. května, ruský prezident Vladimir Putin připomněl tato slova vedení Microsoftu a označil americké zpravodajské služby za „primární zdroj viru“ a prohlásil, že „Rusko s tím nemá absolutně nic společného“ [49] [50 ] . Ve stejné době Nikolaj Patrušev, tajemník Rady bezpečnosti Ruské federace , uvedl, že neexistují žádné důkazy o tom, že by se na masivním šíření viru WannaCry po světě podílely speciální služby jakékoli země. Pokud by podle něj za hackerským útokem stály speciální služby, jeho následky „by byly mnohem závažnější“. Připustil však, že na útoku se podíleli vysoce kvalifikovaní specialisté [51] .

Útok umožnila zranitelnost v implementaci síťového protokolu Server Message Block (SMB) společností Microsoft [21] . O této zranitelnosti věděla americká Národní bezpečnostní agentura již nějakou dobu a byla implementována jako hotový nástroj ( exploit ) pro provedení útoku EternalBlue . Tento nástroj se mezi mnoha dostal do vlastnictví hackerské skupiny The Shadow Brokers a 14. dubna 2017 byl zveřejněn ve veřejné doméně [4] [52] [53] [54] [55] . Podle WikiLeaks byl EternalBlue původně vyvinut skupinou Equation Group , hackerskou skupinou s vazbami na NSA, a poté ukraden The Shadow Brokers [56] .

Analýza kódu

Moderní odborníci na průmyslovou kybernetickou bezpečnost se domnívají, že spustitelný kód červa WannaCry sám o sobě není nijak zvlášť technicky propracovaný [8] . Odborníci z Kaspersky Lab a antivirové společnosti Symantec si však na základě tweetu zveřejněného výzkumníkem Google Neilem Mehtou všimli, že podpisy kódu WannaCry se shodují s podpisem kódu, který údajně použila v únoru 2015 hackerská skupina Lazarus Group [57] [58] podezřelý ze spojení se severokorejskou vládou . Této skupině je připisováno provedení mnoha významných počítačových útoků v letech 2012–2014, včetně útoku na bankovní infrastrukturu SWIFT a hackování serverů Sony Pictures Entertainment [59] . Tuto hypotézu na základě vlastního výzkumu potvrdil expert jihokorejské společnosti Hauri Labs Simon Choi, který je poradcem jihokorejské policie a National Intelligence Agency . Podle něj se kód viru shoduje se severokorejskými kódy škodlivých backdoor programů [60] .

Na Západě se věří, že Lazarus Group je spojena s kybernetickou divizí zpravodajského ředitelství generálního štábu KPA KLDR, známou jako Division 121 ( eng.  Bureau 121 ). V roce 2015 o této organizaci hovořil v rozhovoru pro BBC přeběhlík z KLDR, profesor informatiky Kim Hyun Kwang . Jednotka 121 je podle něj  jedním z prioritních projektů vlády KLDR, který dostává velmi vážné finanční prostředky. V jednotce slouží asi 6000 „vojenských hackerů“, mezi jejichž úkoly patří útoky na objekty infrastruktury – komunikační linky a komunikační satelity. Hackeři se rekrutují ze studentů Institutu automatizace na Kim Chaek Polytechnic University v Pchjongjangu [61] .

Zároveň je podle Kaspersky Lab a Symantec zatím předčasné dělat závěry o tom, zda je do útoků zapojena Severní Korea. John Miller, expert z kybernetické společnosti FireEye , uvedl, že podobnosti nalezené v kódech viru WannaCry a skupiny Lazarus nejsou natolik jedinečné, aby bylo možné vyvodit závěry o jejich původu ze společného zdroje [60] . Fragmenty kódu Lazarus Group by také mohla jednoduše použít jiná hackerská skupina [62] [63] , a to i záměrně, aby zmátla vyšetřování a zabránila identifikaci skutečného útočníka [58] . Mluvčí Europolu Jan Op Gen Orth také poznamenal, že Europol zatím nemůže potvrdit informace o zapojení KLDR [64] . Kim Ying Ren , zástupce stálého představitele KLDR při OSN , označil podezření proti KLDR za „směšné“ [65] .

Později britské Národní centrum kybernetické bezpečnosti (NCSC), které vede mezinárodní vyšetřování [61] , potvrdilo hypotézu, že do kybernetického útoku byla zapojena skupina Lazarus [61] . Podle prezidenta Microsoftu Brada Smithe „V této fázi všichni informovaní pozorovatelé dospěli k závěru, že příčinou WannaCry byla KLDR, která používala kybernástroje nebo zbraně ukradené Národní bezpečnostní agentuře (NSA) ve Spojených státech“ [66] . S tímto názorem souhlasí i britská vláda [67] .

Podle odborníků jsou také časová razítka ve zdrojovém kódu WannaCry nastavena v časovém pásmu UTC +9 [63] , ve kterém se nacházejí některé východoasijské země . Při porovnání času přidání spustitelného souboru a prvního zaznamenaného útoku WannaCry (na Tchaj-wanu) vědci došli k závěru, že autoři viru se nacházejí v časovém pásmu UTC +9 [68] .

Lingvistická analýza

Lingvistická analýza textu o výkupném, kterou provedli odborníci z americké společnosti Flashpoint pro kybernetickou bezpečnost , ukázala, že rodným jazykem autorů WannaCry je s největší pravděpodobností jižní dialekt čínského jazyka . Podle nich jsou tvůrci tohoto programu s největší pravděpodobností obyvatelé Hong Kongu , jižní Číny , Singapuru nebo Tchaj-wanu [69] [70] . Korejská verze textu je špatně napsaná [68] . Ne všichni odborníci přitom s těmito závěry souhlasí, neboť se podle nich může jednat o záměrné maskování a zamlžování stop [70] . Podle Sergia de los Santose, ředitele divize kybernetické bezpečnosti ElevenPaths společnosti Telefónica , je rodným jazykem tvůrce WannaCry korejština, protože to byl výchozí jazyk ve verzi aplikace Word pro region EMEA používané k vytváření souborů RTF. Podle jeho názoru mohou být chyby v korejském textu o výkupném záměrným pokusem skrýt svou národnost a mnohem pravděpodobnější je, že autor viru zapomněl změnit výchozí jazyk [68] .

Poškození

Podle odborníků za první čtyři dny rozsáhlého kybernetického útoku utrpělo asi 300 000 uživatelů ve 150 zemích světa. Celková škoda se odhaduje na 1 miliardu amerických dolarů [71] .

EternalRocks

Chorvatský expert na kybernetickou bezpečnost Miroslav Stampar pomocí systému Honeypot objevil nový malwarový červ s názvem „ EternalRocks “ (možná podobný EternalBlue), který využívá sedm hackerských nástrojů ukradených NSA a činí počítače s operačními systémy Windows zranitelnými vůči budoucím útokům, které by mohly nastat kdykoli [72] [73] [74] [75] [76] . Tento červ se zároveň převléká za WannaCry, aby zmátl výzkumníky.

Viz také

Komentáře

  1. To však nezachránilo počítače, jejichž přístup k internetu podléhá přísnému filtrování (jako např. v některých podnikových sítích), před porážkou. V tomto případě WannaCry nenajde Kill Switch blokovaný zásadou přístupu k internetu a pokračuje ve své škodlivé akci [9] .
  2. Upravený WannaCry však činí infikovaný počítač ještě zranitelnějším vůči dalším hrozbám pomocí zadních vrátek DoublePulsar.

Poznámky

  1. ↑ Zákaznické pokyny týmu MSRC pro útoky WannaCrypt . Microsoft _ Staženo 13. 5. 2017. Archivováno z originálu 13. 5. 2017.
  2. CYBERATACK ALL TIME: VIRUS HAPPENING POČÍTAČE WINDOWS, YAKI NEBYLY OBNOVENY - ZMI . Staženo 13. 5. 2017. Archivováno z originálu 13. 5. 2017.
  3. Avast informuje o ransomwaru WanaCrypt0r 2.0, který infikoval NHS a Telefonicu. . Bezpečnostní zprávy Avastu . Avast Software, Inc. (12. května 2017). Staženo 24. 5. 2017. Archivováno z originálu 5. 5. 2019.
  4. ↑ 1 2 Fox-Brewster, Thomas . Za masivním globálním propuknutím ransomwaru by mohla stát kybernetická zbraň NSA , Forbes . Archivováno z originálu 28. června 2018. Staženo 16. května 2017.
  5. Woollaston, Victoria . Wanna Decryptor: co je „atomovou bombou ransomwaru“ za útokem NHS?  (anglicky) , WIRED UK . Archivováno z originálu 17. března 2018. Staženo 29. září 2017.
  6. 1 2 SKVĚLÉ. Ransomware WannaCry používaný v rozsáhlých útocích po celém světě - Securelist . Kaspersky Lab (12. května 2017). Staženo 13. 5. 2017. Archivováno z originálu 3. 6. 2017.
  7. 1 2 3 MalwareTech Botnet Tracker: WCRYPT Archivováno 19. května 2017 na Wayback Machine , MalwareTech botnet tracker
  8. 1 2 3 Pascal Ackerman. Další scénáře útoku // Průmyslová kybernetická bezpečnost. Efektivně zabezpečte systémy kritické infrastruktury. - Birmingham: Packt Publishing, 2017. - S. 174. - ISBN 978-1-78839-515-1 .
  9. 1 2 3 Zammis Clark. Červ , který šíří WanaCrypt0r  . Malwarebytes (12. května 2017). Staženo 17. 5. 2017. Archivováno z originálu 17. 5. 2017.
  10. 1 2 3 4 Ransom.Wannacry . Symantec . Staženo 17. 5. 2017. Archivováno z originálu 13. 5. 2018.
  11. 1 2 Analýza ransomwaru Wana Decrypt0r 2.0 . Habrahabr (14. 5. 2017). Staženo 16. 5. 2017. Archivováno z originálu 16. 5. 2017.
  12. Hráč 3 vstoupil do hry: Say Hello to 'WannaCry' (12. května 2017). Získáno 16. května 2017. Archivováno z originálu dne 4. června 2021.
  13. Lze dešifrovat soubory zamčené WannaCry: Technická analýza (15. května 2017). Získáno 17. 5. 2017. Archivováno z originálu 22. 5. 2017.
  14. Suiche, Matthieu WannaCry – Dešifrování souborů pomocí WanaKiwi + Demos . Comae Technologies (19. května 2017). Získáno 22. 5. 2017. Archivováno z originálu 8. 8. 2019.
  15. Auchard, Eric Francouzští vědci našli způsob, jak odemknout WannaCry bez výkupného . Reuters (19. května 2017). Získáno 19. 5. 2017. Archivováno z originálu 19. 5. 2017.
  16. Francie našla způsob , jak obejít ransomwarový virus WannaCry
  17. „Jen dělám svůj kousek“: 22letý, který zablokoval kybernetický útok WannaCry  , ABC News (  16. května 2017). Archivováno z originálu 17. května 2017. Staženo 19. května 2017.
  18. Virus Wanna Cry omylem zastavil bdělého programátora Archivováno 1. října 2017 na Wayback Machine , Vzglyad, 13. května 2017
  19. Epidemie ransomwaru WannaCry: co se stalo a jak se chránit . Staženo 13. 5. 2017. Archivováno z originálu 14. 5. 2017.
  20. déšť-1. WannaCry/WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm . Github.com (22. května 2017). Staženo 22. 5. 2017. Archivováno z originálu 18. 5. 2017.
  21. 1 2 3 Bulletin zabezpečení společnosti Microsoft MS17-010 . Staženo 13. 5. 2017. Archivováno z originálu 21. 5. 2017.
  22. Surur . Společnost Microsoft vydala opravu Wannacrypt pro nepodporované systémy Windows XP, Windows 8 a Windows Server 2003  (13. května 2017). Archivováno 29. května 2020. Staženo 13. května 2017.
  23. ↑ Zákaznické pokyny týmu MSRC pro útoky WannaCrypt . microsoft.com . Staženo 13. 5. 2017. Archivováno z originálu 13. 5. 2017.
  24. Soshnikov, Andrej. WannaCry: jak funguje největší počítačový ransomware . " BBC Russian Service " (13. května 2017). Staženo 14. 5. 2017. Archivováno z originálu 13. 5. 2017.
  25. Rozsáhlý hackerský útok vyřadil z provozu desítky tisíc počítačů po celém světě (nepřístupný odkaz) . Staženo 12. 5. 2017. Archivováno z originálu 17. 5. 2017. 
  26. Hern, Alex . Co je ransomware „WanaCrypt0r 2.0“ a proč útočí na NHS? , The Guardian  (12. května 2017). Archivováno z originálu 12. května 2017. Staženo 12. května 2017.
  27. Virus ransomware infikoval počítače Ministerstva vnitra Ruska a Megafon , portál Ryazan ya62.ru  (12. května 2017). Archivováno z originálu 17. května 2017. Staženo 2. června 2018.
  28. RUSKO MAJÍ VELKÝ VIRUS-VIMAGACH ÚTOČNÝ NA POČÍTAČ MINISTERSTVÍ, „SBERBANK“ I „MEGAFON“ Archivní kopie ze dne 13. května 2017 na Wayback Machine , TSN, 13. května 2016
  29. ↑ Ministerstvo pro mimořádné situace a Sberbank úspěšně odrazily kybernetické útoky WannaCry Archivní kopie ze dne 16. května 2017 na Wayback Machine , NTV, 12. května 2017
  30. Ruské železnice oznámily, že nedošlo k žádnému přerušení práce společnosti kvůli virovému útoku Archivní kopie ze dne 20. května 2017 na Wayback Machine // Interfax, 13.05.2017
  31. O útoku viru Wannacry Archivní kopie z 20. května 2017 na Wayback Machine // FinCERT Bank of Russia, 19.05.2017
  32. MalwareTech Botnet Tracker: WCRYPT Archivováno 13. května 2017 na Wayback Machine , MalwareTech botnet tracker
  33. Renault zavřel několik továren po kybernetickém útoku Archivní kopie z 21. října 2017 na Wayback Machine // Noviny, 13. května 2017
  34. WannaCry zasáhlo ministerstvo vnitra, protože se policie nelegálně připojovala k internetu . Staženo 21. 5. 2017. Archivováno z originálu 19. 5. 2017.
  35. 1 2 Ruský procesor „Elbrus“ zachránil servery ministerstva vnitra před ransomwarovým virem, který napadl počítače po celém světě . Staženo 13. 5. 2017. Archivováno z originálu 16. 5. 2017.
  36. V regionech kvůli kybernetickému útoku vedení dopravní policie přestala vydávat práva
  37. Šéf Europolu oznámil 200 tisíc obětí globálního kybernetického útoku . Interfax (15. května 2017). Staženo 16. 5. 2017. Archivováno z originálu 29. 5. 2017.
  38. Tvůrci viru WannaCry obdrželi 42 000 dolarů jako výkupné . Interfax (15. května 2017). Staženo 16. 5. 2017. Archivováno z originálu 15. 5. 2017.
  39. Putin označil škody z celosvětového kybernetického útoku pro Rusko za bezvýznamné Archivní kopie z 16. května 2017 na Wayback Machine // Ria Novosti, 15.5.2017
  40. Collins, Keith Sledujte, jak tyto bitcoinové peněženky přijímají platby ransomwaru z globálního kybernetického útoku . Křemen . Získáno 14. května 2017. Archivováno z originálu dne 4. června 2021.
  41. tweety @actual_ransom . Twitter . Datum přístupu: 19. května 2017.
  42. Ohnisko WannaCry mohlo být způsobeno náhodným únikem . SecurityLab.ru (19. června 2017). Získáno 19. června 2017. Archivováno z originálu 11. září 2017.
  43. Média: Virus WannaCry napadl Boeing . Získáno 30. března 2018. Archivováno z originálu 30. března 2018.
  44. Laurent Gayard. Počítačové útoky nebývalého rozsahu // Darknet. Geopolitika a využití. — Wiley, 2018. — Sv. 2. - S. 123. - ISBN 978-1-78630-202-1 .
  45. Laurent Gayard. Počítačové útoky nebývalého rozsahu // Darknet. Geopolitika a využití. — Wiley, 2018. — Sv. 2. - S. 124. - ISBN 978-1-78630-202-1 .
  46. Edward Snowden kritizuje NSA kvůli ransomwarovému útoku Archivováno 21. července 2018 ve zpravodajském magazínu Wayback Machine Newsweek
  47. Potřeba naléhavé kolektivní akce k zajištění bezpečnosti lidí online: Poučení z kybernetického útoku z minulého týdne – Microsoft on the Issues  , Microsoft on the Issues (  14. května 2017). Archivováno z originálu 16. května 2017. Staženo 16. května 2017.
  48. Vedoucí burzy. Vlády a zpravodajské agentury nesou vinu za útok viru WannaCry - Microsoft . www.profi-forex.org Staženo 16. 5. 2017. Archivováno z originálu 19. 5. 2017.
  49. Putin: Americké zpravodajské služby jsou primárním zdrojem globálních kybernetických útoků , Gazeta.Ru . Archivováno z originálu 21. října 2017. Staženo 16. května 2017.
  50. Vladimir Putin označil americké zpravodajské agentury za zdroj viru WannaCry Archivní kopie ze 16. května 2017 na Wayback Machine // Kommersant.ru, 15.5.2017
  51. Patrushev odmítl svalit vinu za útok viru WannaCry na speciální služby Archivní kopie ze dne 16. května 2017 na Wayback Machine // Lenta.ru, 05/16/2017
  52. Shadow Brokers unikající z NSA právě zahodili své dosud nejškodlivější vydání . Staženo 13. 5. 2017. Archivováno z originálu 13. 5. 2017.
  53. Ransomwarový červ odvozený od NSA vypíná počítače po celém světě . Ars Technica . Staženo 13. 5. 2017. Archivováno z originálu 12. 5. 2017.
  54. Ghosh, Agamoni . „Presidente Trumpe, co to sakra děláte“ říkají Shadow Brokers a vyhazují další nástroje NSA pro hackerské útoky , International Business Times UK  (9. dubna 2017). Archivováno z originálu 14. května 2017. Staženo 16. května 2017.
  55. 'NSA malware' vydaný hackerskou skupinou Shadow Brokers  , BBC News (  10. dubna 2017). Archivováno z originálu 23. května 2017. Staženo 16. května 2017.
  56. Prezident Microsoftu hovořil o souvislosti mezi vývojem NSA a nedávným kyberútokem . Interfax (15. května 2017). Staženo 17. 5. 2017. Archivováno z originálu 16. 5. 2017.
  57. SKVĚLÉ. WannaCry a Lazarus Group – chybějící článek? . Securelist (15. května 2017). Staženo 19. května 2020. Archivováno z originálu dne 1. května 2020.
  58. 1 2 WannaCry ransomware má spojení se Severní Koreou, říkají experti na kybernetickou bezpečnost Archivováno 16. května 2017 na Wayback Machine // The Guardian, 05/15/2017
  59. Firma zabývající se kybernetickou bezpečností: další důkazy o spojení Severní Koreje s loupeží v Bangladéši . Reuters (3. dubna 2017). Získáno 17. 5. 2017. Archivováno z originálu 6. 4. 2017.
  60. 1 2 Výzkumníci vidí možnou souvislost Severní Koreje s globálním kybernetickým útokem . Získáno 29. září 2017. Archivováno z originálu 21. května 2017.
  61. 1 2 3 UK Cybersecurity Center: Virus WannaCry vypuštěn ze Severní Koreje Archivováno 20. června 2017 na Wayback Machine // BBC , 16. 6. 2017
  62. Eric Talmadge . Odborníci zpochybňují roli Severní Koreje v kybernetickém útoku WannaCry  (  12. května 2017). Archivováno z originálu 10. září 2018. Staženo 2. června 2018.
  63. 1 2 Severní Korea je podezřelá z vytvoření archivní kopie viru WannaCry z 3. července 2017 na Wayback Machine // BBC , 16.5.2017
  64. Europol nemůže potvrdit, že virus WannaCry byl vytvořen v archivní kopii KLDR ze dne 17. května 2017 na Wayback Machine // RIA Novosti, 05/16/2017
  65. Severní Korea považuje obvinění z účasti na globálním kybernetickém útoku za směšná Archivní kopie ze dne 23. května 2017 na Wayback Machine // Izvestia, 19.5.2017
  66. Prezident Microsoftu se domnívá, že za kybernetickými útoky WannaCry stojí KLDR .
  67. Britské úřady jsou přesvědčeny, že za květnovým hackerským útokem WannaCry stojí Severní Korea Archivní kopie z 13. listopadu 2017 na Wayback Machine // RIA Novosti, 27.10.2017
  68. 1 2 3 Tvůrcem WannaCry může být korejský fanoušek Lionela Messiho . SecurityLab.ru (16. června 2017). Získáno 20. června 2017. Archivováno z originálu 30. srpna 2017.
  69. Hackeři shrnuli Google-překladač. Odborníci určili národnost tvůrců viru WannaCry Archivní kopie ze dne 30. června 2017 na Wayback Machine // Newspaper, 29.05.2017
  70. 1 2 Odborníci jmenovali možné tvůrce archivní kopie viru WannaCry z 29. května 2017 na Wayback Machine // RBC, 29.05.2017
  71. Odborníci odhadli škody způsobené virem WannaCry na 1 miliardu dolarů . runews24.ru. Staženo 25. 5. 2017. Archivováno z originálu 25. 5. 2017.
  72. Červ EternalRocks používá 7 exploitů NSA najednou . Získáno 25. 5. 2017. Archivováno z originálu 28. 6. 2017.
  73. Leyden, John Na scénu se objevuje hackerský nástroj NSA s následným červem: Dobrý den, není potřeba žádný phish! (17. května 2017). Staženo 22. 5. 2017. Archivováno z originálu 22. 5. 2017.
  74. Červ EternalRocks používá sedm exploitů NSA (WannaCry použilo dva  ) . CNET. Staženo 23. 5. 2017. Archivováno z originálu 22. 5. 2017.
  75. Nový červ pro malé a střední podniky používá sedm hackerských nástrojů NSA. WannaCry použité jen  dva . BleepingComputer. Staženo 22. 5. 2017. Archivováno z originálu 21. 5. 2017.
  76. Verma, Adarsh ​​​​EternalRocks: Nový malware používá 7 hackerských nástrojů NSA, WannaCry použity jen 2 . Fossbytes (23. května 2017). Staženo 22. 5. 2017. Archivováno z originálu 27. 10. 2018.

Odkazy

  Přejděte na položku Wikidata  V sociálních sítích