“Υπό έλεγχο” φαίνεται πως έχει τεθεί η εξάπλωση του κακόβουλου λογισμικού με το όνομα WannaCry που εξαπέλυσαν άγνωστοι το βράδυ της Παρασκευής στο Διαδίκτυο μολύνοντας δεκάδες χιλιάδες δημόσια και προσωπικά υπολογιστικά συστήματα σε 150 χώρες και αποσπώντας μέχρι στιγμής περισσότερα από 45.000 ευρώ ως “λύτρα” από τους χρήστες για την “απελευθέρωση” των αρχείων και των δεδομένων τους. Εκμεταλλευόμενος κενά ασφαλείας, ο ιός έπληξε υπολογιστές που τρέχουν λειτουργικά συστήματα Windows XP, 7, 8 και Server 2003.
Η άμεση κινητοποίηση της Microsoft, που εξέδωσε μια έκτακτη και επείγουσα ενημέρωση ασφαλείας για τα Windows XP, αλλά και η παρατηρητικότητα και η εφευρετικότητα ενός νεαρού ερασιτέχνη προγραμματιστή, φαίνεται πως έσωσαν -τουλάχιστον προς το παρόν- τον κόσμο από μια ψηφιακή “συντέλεια”. Υπενθυμίζεται ότι η Microsoft έχει σταματήσει να υποστηρίζει και να εκδίδει ενημερώσεις ασφαλείας για τα Windows XP από το 2014, με αποτέλεσμα παλιότερα συστήματα που τρέχουν το συγκεκριμένο λειτουργικό να μη διαθέτουν τους απαιτούμενους πόρους ασφαλείας για να αποκρούσουν πιθανή επίθεση εναντίον τους. Η εταιρεία πάντως υποστηρίζει ότι τον Μάρτιο είχε διαθέσει μια ενημέρωση ασφαλείας η οποία θα μπορούσε να έχει αντιμετωπίσει το πρόβλημα, ωστόσο ένας πολύ μεγάλος αριθμός χρηστών δεν την εγκατέστησε στους υπολογιστές του.
Εκπρόσωπος της Europol δήλωσε χθες ότι η κατάσταση στην Ευρώπη "φαίνεται να έχει σταθεροποιηθεί", ενώ στην Ασία, όπου πολλά γραφεία και επιχειρήσεις είχαν κλείσει πριν χτυπήσει ο WannaCry την Παρασκευή, η επίθεση αποδείχθηκε λιγότερο σοβαρή από ό,τι αναμενόταν. Ο ιός καταλαμβάνει και κλειδώνει τα αρχεία των χρηστών, απαιτώντας στη συνέχεια την καταβολή λύτρων 273 ευρώ για την αποκατάστασή τους. Αν το θύμα δεν πληρώσει εντός τριών ημερών, το ύψος των λύτρων διπλασιάζεται. Αν εντός επτά ημερών δεν γίνει καμία πληρωμή, ο χρήστης απειλείται με οριστική διαγραφή των αρχείων του. Μέχρι στιγμής, πάνω από 45.000 ευρώ έχουν καταβληθεί σε λύτρα με τη χρήση του ψηφιακού νομίσματος Bitcoin. Τα χρήματα αυτά δεν έχουν αποσυρθεί ακόμα από τους λογαριασμούς στους οποίους τα θύματα κλήθηκαν να τα καταθέσουν και οι αρχές ασφαλείας παρακολουθούν αδιαλείπτως και καταγράφουν κάθε τους κινήση. Η Εθνική Εγκληματολογική Υπηρεσία της Βρετανίας συνεργάζεται με τη Europol και το Εθνικό Κέντρο Κυβερνοασφάλειας, το οποίο υπάγεται στην υπηρεσία ηλεκτρονικών παρακολουθήσεων της Βρετανίας GCHQ, για τον εντοπισμό των δραστών. Σύμφωνα με τους αξιωματούχους, το πιθανότερο είναι πως οι χάκερς δεν έδρασαν κατόπιν εντολής κάποιας κυβέρνησης.
Kill switch
Πρόσωπο - κλειδί της διεθνούς κινητοποίησης για την απόκρουση του ιού αναδείχθηκε ένας 22χρονος ερασιτέχνης "κομπιουτεράς" από μια άγνωστη παραθαλάσσια πόλη της νότιας Αγγλίας, που -για ευνόητους λόγους- έγινε γνωστός μόνο με το διαδικτυακό όνομά του: Malware Tech. Είναι ο άνθρωπος που την Παρασκευή έσωσε κυριολεκτικά τον on line κόσμο από μια δυνητική "συντέλεια". Ο 22χρονος βρήκε έναν τρόπο να σταματήσει το κλείδωμα των υπολογιστών από τον WannaCry, επιβραδύνοντας την εξάπλωσή του. Το μόνο που χρειάστηκε ήταν δέκα δολάρια και, βεβαίως, λίγη τύχη. Καθώς προσπαθούσε με τη μέθοδο της αντίστροφης μηχανικής να εξακριβώσει πώς λειτουργεί ο ιός, ανακάλυψε ότι οι προγραμματιστές του τον είχαν κατασκευάσει έτσι ώστε να ελέγχει αν μια "τυχαία"-αδρανής διεύθυνση URL οδηγεί σε συγκεκριμένη, ενεργή ιστοσελίδα.
Περίεργος γιατί o ιός αναζητούσε κάθε φορά μια "τυχαία" διεύθυνση, ο Malware Tech έκανε καταχώριση του domain name το οποίο "έψαχνε" ο WannaCry καταβάλλοντας 10,69 δολ. Αυτή η μικρή "επένδυση" φάνηκε πως ήταν αρκετή για να σταματήσει την εξάπλωση του ιού - τουλάχιστον για την ώρα. Ο νεαρός μηχανικός ανακάλυψε ότι όσο το domain name το οποίο αναζητούσε ο WannaCry παρένε ανενεργό και μη καταχωρημένο, ο ιός συνέχιζε το καταστροφικό έργο του. Αλλά μόλις έλεγχε τη διεύθυνση URL και την έβρισκε ενεργή, τότε έκλεινε αυτόματα από μόνος του.
Οι θεωρίες για αυτήν την άγνωστη και περίεργη λειτουργία δίνουν και παίρνουν τα τελευταία 24ωρα στο Διαδίκτυο. Μια πιθανή εξήγηση είναι ότι ο ιός προγραμματίστηκε κατ' αυτόν τον τρόπο ώστε να διαθέτει έναν διακόπτη "ξαφνικού θανάτου" -αυτοκαταστροφής δηλαδή- στην περίπτωση που οι δημιουργοί του έχαναν τον έλεγχο. "Με βάση τη συμπεριφορά του ιού που ενσωματώθηκε στον κώδικά του, ο διακόπτης ξαφνικού θανάτου υπήρχε κατά πάσα πιθανότητα εκ προθέσεως" εξηγεί ο Ντάριεν Χους, ανώτερος μηχανικός έρευνας στην εταιρεία ασφάλειας Proofpoint, ο οποίος εργαζόταν την Παρασκευή σε πραγματικό χρόνο για το σταμάτημα του ιού και τον περιορισμό της διάδοσής του.
Η θεωρία του MalwareTech είναι ότι οι χάκερς συμπεριέλαβαν το "κουμπί" ξαφνικού θανάτου στον κώδικα του WannaCry για να εμποδίσουν την ανάλυσή του από τους επαγγελματίες της διαδικτυακής ασφάλειας. Αυτή η διαδικασία συνήθως λαμβάνει χώρα σε περιβάλλοντα που δημιουργούν οι ίδιοι οι ερευνητές, γνωστά ως "κουτιά άμμου", με σκοπό να "ξεγελάσουν" τον ιό δείχνοντάς τους ψεύτικες διευθύνσεις IP. Δεδομένου ότι το αδρανές domain name που "έψαχνε" ο ιός είχε καταχωρηθεί και ενεργοποιηθεί προηγουμένως από τον MalwareTech, πολύ πιθανόν ο WannCry να "υπέθεσε" ότι βρίσκονταν εν μέσω μια "ιατροδικαστικής ανάλυσης" και πάτησε ο ίδιος το "κουμπί" του ξαφνικού θανάτου του.
Ασπίδα προστασίας
Ο WannaCry ανήκει στην κατηγορία worm (σκουλήκι), που σημαίνει ότι σε περίπτωση που μολύνει έναν υπολογιστή, τότε θα προσπαθήσει αυτόματα να μολύνει και τους υπόλοιπους που βρίσκονται συνδεδεμένοι στο ίδιο δίκτυο. Έπληξε υπολογιστές εκμεταλλευόμενος κενά ασφαλείας στα λειτουργικά συστήματα Windows XP, 7, 8 και Server 2003.
Ο ιός είναι τύπου ransomware, δηλαδή ο σκοπός του είναι αμέσως μετά τη μόλυνση να "κλειδώσει" (και πιο συγκεκριμένα να κρυπτογραφήσει) τα αρχεία του υπολογιστή (έγγραφα εικόνες κ.λπ.) με αποτέλεσμα ο χρήστης να μην έχει πλέον πρόσβαση σε αυτά. Ο ιός μπορεί να "ξεκλειδώσει" τα αρχεία (δηλαδή να αποκρυπτογραφήσει και να επαναφέρει όλα τα αρχεία στην αρχική τους μορφή) αν ο χρήστης δεχτεί να πληρώσει τα λύτρα (με τη χρήση του ψηφιακού νομίσματος bitcoin). Ο ιός εμφανίζει το εκβιαστικό μήνυμα του για την καταβολή του χρηματικού πoσού σε 28 γλώσσες, συμπεριλαμβανομένων και των ελληνικών.
Το αποτελεσματικό μέτρο προστασίας για τους χρήστες είναι να ενημερώσουν την έκδοση του λειτουργικού συστήματος Windows που διαθέτουν (οι χρήστες του λειτουργικού συστήματος Windows 10 δεν είναι ευάλωτοι στον συγκεκριμένο ιό), καθώς και να διατηρούν αντίγραφα ασφαλείας σε τακτά χρονικά διαστήματα σε εξωτερικό μέσο αποθήκευσης. Επίσης, οι χρήστες πρέπει να δώσουν ιδιαίτερη προσοχή στα εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου σε περίπτωση που ο αποστολέας τους είναι άγνωστος. Τέλος, μπορούν να συμβουλεύονται τον δικτυακό τόπο της Europol (https://www.nomoreransom.org/) για περισσότερες πληροφορίες για τους ιούς τύπου ransomware.
