Většina počítačů napadených WannaCry používala Windows 7

Většina počítačů napadených WannaCry používala Windows 7 a těch s XP bylo velmi málo. Zajímavé zjištění Kaspersky Lab. Pohled na graf je hodně zajímavý, ale hodnoťte ho s rezervou, není zcela jasné z jakého vzorku pochází. Souhrn článků okolo WCry najdete v Masivní vlna ransomware napadla počítače v desítkách zemí po celém světě

DAMYyYGWAAADaD9.jpg

Microsoft ukazuje prstem na vládní zodpovědnost za útok Wcry

Microsoft ukazuje prstem na vládní zodpovědnost za útok Wcry. V The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack to rozebírají dost důkladně. Na jedné straně mají pravdu, na druhou stranu je to právě operační systém od Microsoftu, který byl děravý. Dlouho děravý.

2017-05-15 16_46_54-The need for urgent collective action to keep people safe online_ Lessons from l.png

Pondělí přineslo další vlnu šíření WCry ransomware

Pondělí přineslo další vlnu šíření WCry ransomware, jak ve firmách lidé zapínali neaktualizované počítače. Viz například Some businesses in Asia disrupted by cyber attack, authorities brace for more od Reuters. S následky WCry se budeme setkávat ještě dlouho, podle testů je doba napadení neaktualizovaného počítače připojeného k internetu něco mezi pěti až devíti minutami. Souhrn najdete v Masivní vlna ransomware napadla počítače v desítkách zemí po celém svět

wcry-encrypt-virus.png

 

WannaCry 2.0 je tady a už nereaguje na „kill switch“ jako první verze

WannaCry 2.0 je tady a už neraguje na „kill switch“ jako první verze. V neděli 14. května odpoledne to uvedl Costin Rau z Kaspersky Lab a není na tom nakonec nic zvláštního. Tohle bylo očekáváno, stejně jako se s napětím čeká co se stane v pondělí až ve firmách zapnou infikované počítače (a nezáplatované počítače). Viz WannaCry Kill-Switch(ed)? It’s Not Over! WannaCry 2.0 Ransomware Arrives a pokud chcete přehled dění okolo WCry/WannaCry, tak viz Masivní vlna ransomware napadla počítače v desítkách zemí po celém světě

[14.05.17 19:36] Jedna z nových domén je www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com ale bude jich velmi pravděpodobně víc. Takže to co původně bylo řečeno, tedy že nemají „kill switch“, není až tak platné. Mají jinou doménu a je dost jisté, že bude existovat více variant. Ta prvotní byla mimochodem www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com – případně ještě viz WannaCry — New Variants Detected! s dalšími informacemi.

Útok WCry ransomware zasáhl na 200 tisíc počítačů v 150 zemích

Útok WCry ransomware zasáhl na 200 tisíc počítačů v 150 zemích. Takový byl stav v neděli 14. května, dva dny po útoku a uvádí to Europol v Global Cyberattack Hits 150 Countries, Europol Chief Says. V neděli se stále nevědělo kdo za útokem stojí ani jak došlo k prvnímu šíření. Stále se ale předpokládá, že to byl spam. Počátek a odkazy na další související rychlofky hledejte v Masivní vlna ransomware napadla počítače v desítkách zemí po celém světě

C_sAruEWsAAMUtw.jpg

2017-05-14 16_48_20-WannaCry Kill-Switch(ed)_ It’s Not Over! WannaCry 2.0 Ransomware Arrives.png

Kolik peněz získali tvůrci WCry ransomware?

Kolik peněz získali tvůrci WCry ransomware? Při pohledu na tři používané bitcoinové adresy to vypadá na pár desítek tisíc dolarů. Podívat na transakce se můžete sami: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw a 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn. Žádaná částka byla 300 USD a v neděli ráno 14. května adresy ukazují 40+42+32 transakcí (ne všechny potvrzené), tj teoreticky přes 34 tisíc dolarů. Všechny transakce pouze příchozí. Více informace o WCry hledejte v Masivní vlna ransomware napadla počítače v desítkách zemí po celém světě

[16.05.17 08:13] úterní stav je 240 transakcí. Tedy teoretických 72 000 dolarů.

2017-05-14 08_15_13-Bitcoin Address 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94.png

Jak přesně funguje WanaCrypt0r

Jak přesně funguje WanaCrypt0r ukazují Malwarebytes Labs v The worm that spreads WanaCrypt0r a je to docela dobrá věc ke studio. Najdete tam i www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com aneb doménu, která sloužila jako „stop“ při spuštění viru. Tedy alespoň tohle dělala původní verze viru, novější už to dělat nemusí. Na konci je dost podstatná zmínka o tom, že vedle WCry se přidává ještě DoublePulsar backdoor (taky z dílny NSA). A také to, že vedle snahy šířit se hledáním napadnutelných počítačů využívá i případných aktivních RDP spojení na další počítače. Počátek všeho hledejte v Masivní vlna ransomware napadla počítače v desítkách zemí po celém světě

2017-05-13 14_28_13-The worm that spreads WanaCrypt0r - Malwarebytes Labs _ Malwarebytes Labs.png