theguardian.com - "Ni še konec. Hekerji bodo hitro ugotovili, kaj sem storil, samo malo bodo spremenili kodo in virus se bo vrnil," je za The Guardian dejal 22-letni britanski strokovnjak za digitalno varnost, ki je zaustavil izsiljevalski virus WannaCry. Britanec, ki svoje identitete ni želel razkriti (lahko ga najdete na Twitterju @malwaretechblog), je pa poudaril, da še vedno živi doma s starši, je virus ustavil po nesreči.
"Ura je bila tri popoldne in s prijatelji sem ravno jedel kosilo, ko so po internetu zaokrožile novice o napadu na britanske bolnišnice," zgodbo začne @malwaretechblog. Zato se je odločil, da bo preveril, kaj se dogaja. Uspel je najti dele kode virusa na spletu in tako je prišel do zaključka, da se virus povezuje z določeno internetno domeno. "Takrat nisem imel pojma, kaj sem našel." Domeno je avtor virusa ustavil v kodo programja kot "kill switch" oziroma stikalo za uničenje. Virus je namreč ves čas preverjal , ali domena obstaja. Če bi domena obstajala in to informacijo posredovala virusu, bi se ta samouničil. In to se je tudi zgodilo, vendar prepozno za ogromno število računalnikov po svetu.
"Želeli smo nadzirati in analizirati virus, zato smo domeno zakupili," skromno pove @malwaretechblog. Šele po zakupu domene, ki je uničil večino kopij virusa, je 22-letnik ugotovil, kaj je pravzaprav storil. Celotno odisejo @malwaretechblog si lahko preberete v njegovem blogu.
Za Renault 300 dolarjev preveč
V Sloveniji je po poročanju RTV SLO virus napadel osem podjetij oziroma organizacij, do sedaj pa je v javnosti znan le vdor v Revoz. Revoz je sicer del avtomobilskega velikana Renault, ki je danes zaradi virusa zaustavil več tovarn po vsem svetu. Kot zanimivost pa še omenimo, da je svojim očetom WannaCry po ocenah prinesel le za 20 tisoč dolarjev odkupnin.
IMO bo tale 22 letnik hitro postal prime suspect avtorstva virusa. Kar niti ne bi bilo tako zelo čudno. Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.
IMO bo tale 22 letnik hitro postal prime suspect avtorstva virusa. Kar niti ne bi bilo tako zelo čudno. Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.
tale zgodbica je malce čudna....nekako tako smo lagali staršem ko smo bili še otroci in so nastale prikladne zgodbice kako se je nekaj zgodilo in niti nismo vedeli kaj delamo. Čisto slučajno smo nekaj storili in s tem uničili blablabla :D
IMO bo tale 22 letnik hitro postal prime suspect avtorstva virusa. Kar niti ne bi bilo tako zelo čudno. Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.
ma ja, ugotovil je na kateri domeni se ta reč izvaja in namesto da bi obvestil pristojne je kar on kupil domeno in izklopil virus. Oštja, fant si zasluži biti v naslednjem filmu Avengersov ali pa Varuhov galaksije. Škoda, da si nisem spekel pokovke preden sem šel tole novico brat. :)
A coding sequence cannot be revised once it's been established.
IMO bo tale 22 letnik hitro postal prime suspect avtorstva virusa. Kar niti ne bi bilo tako zelo čudno. Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.
Kaj bi nekateri brez teorij zarot.. Sicer pa domeno lahko registriraš popolnoma anonimno.. Si mogoče že slišal za TOR in bitcoine?
mal je žalostno, ko komentirajo "poznavalci". ta model analizira viruse že nekaj časa, tokrat mu je med analizo bolj "by accident" uspelo ugotovit, da ima virus killswitch. zakaj je ta switch tam je več teorij, ta, da je 22-letnik avtor je pa najbolj bedna med njimi.
Eh neumnost. kdorkol je že spisal to okužbo ne more bit tako neumn da bi se izpostavljal in naredil tako blesavo napako. Da spišeš tako okužbo morš bit kr premeten pa premišljen. Sej tud napad se je sprožil hkrati na več koncih. Napad je bil zelo zelo premišljen.
Ne rečem da ni mogoče ampak sam resnično dvomim da bi bil ta 22letnik tisti ki je to naredil. Bi mogu bit pa res neumen da bi se takole izpostavljal.
ma ja, ugotovil je na kateri domeni se ta reč izvaja in namesto da bi obvestil pristojne je kar on kupil domeno in izklopil virus. Oštja, fant si zasluži biti v naslednjem filmu Avengersov ali pa Varuhov galaksije.
Jaz bi na njegovem mestu naredil popolnoma enako. On je domeno uredil v rangu parih minut (karikiram) policija bi pa 2 dni. Ja le kaj je boljše...
Verjetno je virus prišel iz Hr v Revoz. Včeraj je bila Hr tudi tarča napada tega virusa.
Okužilo se je več Renaultovih tovarn...poleg Revoza vsaj še ena v Franciji in Romuniji, tako da so očitno v Revozu virus dobili iz matične firme.
Ni pa meni nekako logično, da bi šel s takim ransomware virusom napadati velika telekomunikacijska podjetja, avtomobilske izdelovalce in javni sektor, saj pri teh je majhna verjetnost, da bodo odkupnino plačali, ker morajo v vsakem primeru razkužiti računalnike. Poleg tega če se izve, da so plačali, so potem lahko permanentna tarča zlikovcev, kar si nihče verjetno ne želi. Ena možnost je, da je bil ransomware samo krinka, glavni cilj tega napada pa NSA oziroma da bi širša javnost NSA imela za posrednega krivca.
Tuje korporacije imajo VPN med državami in poslovnimi enotami, tako da je čisto možno, da se je v Revozu to samo, brez uporabniške interakcije, namestilo. Je pa res, da imajo običajno taka podjetja tudi varnostne endpointe s požarnimi pregradami, protivirusnikom in HIPS.
WannaCry izpiše obvestilo v 28 različnih jezikih. Izbere isti jezik, kot ga uporablja sistem.
Sta 2 možnosti. Ali imajo v Revozu za lokalni jezik nastavljeno Hrvaščino oziroma Srbščino, ali pa WannaCry ne pozna Slovenščine in je pač izbral najbližji jezik. Jaz sumim na prvo možnost.
WannaCry izpiše obvestilo v 28 različnih jezikih. Izbere isti jezik, kot ga uporablja sistem.
Sta 2 možnosti. Ali imajo v Revozu za lokalni jezik nastavljeno Hrvaščino oziroma Srbščino, ali pa WannaCry ne pozna Slovenščine in je pač izbral najbližji jezik. Jaz sumim na prvo možnost.
In? A to predstavlja varnostno tveganje? Je protipravno, nemoralno?
Saj se ni prislo do take skode, da bi jim grozila smrtna kazen :D Domeno itak registriras v par minutah...zakaj bi riskiral, da te za ubogih 20k dolarjev ze ulovijo zaradi ene registracije.
Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.
Nekdo dovolj pameten za naredit tak virus, bo točno vedel kakšno in koliko škode bo virus naredil. Obstaja pa druga možnost. Lahko je bil tip (so)avtor virusa, ki ga je potem nekomu prodal, ali pa ga je kdo predelal in potem lansiral. Ko je slišal novice o štali ki se dogaja, je prebledel in mrzlično šel preverjat če je krivec njegov virus in ko je ugotovil, da je, je preveril če ima še killswitch in potem samo registriral domeno.
Kar smiselno bi bilo, da bi nekdo, ki ne želi zares povzročiti škode, ampak rad piše kodo za viruse, vgradil killswitch in s tem zadostil svojim moralnim načelom, potem pa, ko je nekdo drug njegov virus zlorabil, se je izpostavil, da bi rešil vsaj kar se je rešiti dalo.
It is better to be hated for what you are than to be loved for something you are not.
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).
The attack spreads by multiple methods, including phishing emails and on unpatched systems as a computer worm.
the guardian: One NHS worker, who asked to remain anonymous, said the attack began at about 12.30pm and appeared to have been the result of phishing. "The computers were affected after someone opened an email attachment. We get a lot of spam and it looks like something was sent to all the trusts in the country. Other hospitals have now been warned not to open these emails - all trusts communicate with each other."
The attack spreads by multiple methods, including phishing emails and on unpatched systems as a computer worm.
the guardian: One NHS worker, who asked to remain anonymous, said the attack began at about 12.30pm and appeared to have been the result of phishing. "The computers were affected after someone opened an email attachment. We get a lot of spam and it looks like something was sent to all the trusts in the country. Other hospitals have now been warned not to open these emails - all trusts communicate with each other."
ja, pa saj ne pride kar sam od sebe skozi unpatched sisteme glede e-mail priponk - you go to gulag if you open them
Why have a civilization anymore
if we no longer are interested in being civilized?
The attack spreads by multiple methods, including phishing emails and on unpatched systems as a computer worm.
the guardian: One NHS worker, who asked to remain anonymous, said the attack began at about 12.30pm and appeared to have been the result of phishing. "The computers were affected after someone opened an email attachment. We get a lot of spam and it looks like something was sent to all the trusts in the country. Other hospitals have now been warned not to open these emails - all trusts communicate with each other."
ja, pa saj ne pride kar sam od sebe skozi unpatched sisteme glede e-mail priponk - you go to gulag if you open them
Me zanima kako se v takih primerih obnese Great firewall of China. Okužb je baje tam zelo veliko, verjetno pa ne bodo povedali točnih informacij kako velik je problem. Očitno pa veliki Kitajski firewall teh okužb ne prepreči. Upam vsaj, do so spustili čez FW domeno oziroma URL ki predstavlja killswitch...
The attack spreads by multiple methods, including phishing emails and on unpatched systems as a computer worm.
Kako pa se v takem primeru obnašajo domači računalniki ki nimajo vklopljenega firewalla? Kakor jaz razumem širjenje bi se teoretično ti računalniki lahko okužili direktno iz interneta (brez priponk v e-pošti)?
