» »

22-letnik, ki je ustavil WannaCry: Ni še konec!

22-letnik, ki je ustavil WannaCry: Ni še konec!

theguardian.com - "Ni še konec. Hekerji bodo hitro ugotovili, kaj sem storil, samo malo bodo spremenili kodo in virus se bo vrnil," je za The Guardian dejal 22-letni britanski strokovnjak za digitalno varnost, ki je zaustavil izsiljevalski virus WannaCry. Britanec, ki svoje identitete ni želel razkriti (lahko ga najdete na Twitterju @malwaretechblog), je pa poudaril, da še vedno živi doma s starši, je virus ustavil po nesreči.

"Ura je bila tri popoldne in s prijatelji sem ravno jedel kosilo, ko so po internetu zaokrožile novice o napadu na britanske bolnišnice," zgodbo začne @malwaretechblog. Zato se je odločil, da bo preveril, kaj se dogaja. Uspel je najti dele kode virusa na spletu in tako je prišel do zaključka, da se virus povezuje z določeno internetno domeno. "Takrat nisem imel pojma, kaj sem našel." Domeno je avtor virusa ustavil v kodo programja kot "kill switch" oziroma stikalo za uničenje. Virus je namreč ves čas preverjal , ali domena obstaja. Če bi domena obstajala in to informacijo posredovala virusu, bi se ta samouničil. In to se je tudi zgodilo, vendar prepozno za ogromno število računalnikov po svetu.

"Želeli smo nadzirati in analizirati virus, zato smo domeno zakupili," skromno pove @malwaretechblog. Šele po zakupu domene, ki je uničil večino kopij virusa, je 22-letnik ugotovil, kaj je pravzaprav storil. Celotno odisejo @malwaretechblog si lahko preberete v njegovem blogu.

Za Renault 300 dolarjev preveč

V Sloveniji je po poročanju RTV SLO virus napadel osem podjetij oziroma organizacij, do sedaj pa je v javnosti znan le vdor v Revoz. Revoz je sicer del avtomobilskega velikana Renault, ki je danes zaradi virusa zaustavil več tovarn po vsem svetu. Kot zanimivost pa še omenimo, da je svojim očetom WannaCry po ocenah prinesel le za 20 tisoč dolarjev odkupnin.

81 komentarjev

«
1
2

perci ::

IMO bo tale 22 letnik hitro postal prime suspect avtorstva virusa. Kar niti ne bi bilo tako zelo čudno. Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.

Yacked2 ::

Za Renault 300 dolarjev preveč


300 * število računalnikov...
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

matijadmin ::

perci je izjavil:

IMO bo tale 22 letnik hitro postal prime suspect avtorstva virusa. Kar niti ne bi bilo tako zelo čudno. Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.

Čisto anonimno gre.
Vrnite nam techno!

perci ::

Ne vem, se da kar lepo prek tora in placat z bitcoini?

koyotee ::

Yacked2 je izjavil:

Za Renault 300 dolarjev preveč


300 * število računalnikov...


Kar je še vedno skoraj nič, v primerjavi z izpadlo proizvidnjo dveh izmen.
Rear DVD collector!
JTD power!
Coming soon: bigger E-penis & new internet friendzzz!

Han ::

Domeno je avtor virusa USTAVIL v kodo programja kot "kill switch" oziroma stikalo za uničenje.

Hmm, če bi domeno res USTAVIL, je malwaretech ne bi mogel ZAGNATI ali registrirati... :P

Zgodovina sprememb…

  • spremenil: Han ()

RegulusDraco ::

tale zgodbica je malce čudna....nekako tako smo lagali staršem ko smo bili še otroci in so nastale prikladne zgodbice kako se je nekaj zgodilo in niti nismo vedeli kaj delamo. Čisto slučajno smo nekaj storili in s tem uničili blablabla :D




perci je izjavil:

IMO bo tale 22 letnik hitro postal prime suspect avtorstva virusa. Kar niti ne bi bilo tako zelo čudno. Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.


ma ja, ugotovil je na kateri domeni se ta reč izvaja in namesto da bi obvestil pristojne je kar on kupil domeno in izklopil virus. Oštja, fant si zasluži biti v naslednjem filmu Avengersov ali pa Varuhov galaksije.
Škoda, da si nisem spekel pokovke preden sem šel tole novico brat. :)
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

Riff ::

Yacked2 je izjavil:

Za Renault 300 dolarjev preveč


300 * število računalnikov...



to je potem 300 računalnikov krat 300$ :))

GrX ::

perci je izjavil:

IMO bo tale 22 letnik hitro postal prime suspect avtorstva virusa. Kar niti ne bi bilo tako zelo čudno. Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.


Kaj bi nekateri brez teorij zarot.. Sicer pa domeno lahko registriraš popolnoma anonimno.. Si mogoče že slišal za TOR in bitcoine?

Riff je izjavil:

Yacked2 je izjavil:

Za Renault 300 dolarjev preveč


300 * število računalnikov...



to je potem 300 računalnikov krat 300$ :))


Problem nastane, ker večina ransomware virusov po plačilu zahtevanega, fajlov ne odklene.. So sicer izjeme, ampak običajno fajli ostanejo zaklenjeni..

Zgodovina sprememb…

  • spremenilo: GrX ()

CyberPunk ::

Za Renault 300 dolarjev preveč

V čem pa je fora, da je (vsaj če je verjeti režimski TV) v Revozu dotični virus izpisal obvestilo v srbohrvaščini?

Saul Goodman ::

mal je žalostno, ko komentirajo "poznavalci". ta model analizira viruse že nekaj časa, tokrat mu je med analizo bolj "by accident" uspelo ugotovit, da ima virus killswitch. zakaj je ta switch tam je več teorij, ta, da je 22-letnik avtor je pa najbolj bedna med njimi.

RegulusDraco ::

vigilanteji niso ravno zaželjeni.

CyberPunk je izjavil:

Za Renault 300 dolarjev preveč

V čem pa je fora, da je (vsaj če je verjeti režimski TV) v Revozu dotični virus izpisal obvestilo v srbohrvaščini?


http://svet24.si/clanek/novice/slovenij...

delavce uvažajo iz hrvaške, tako da je smiselno, da se je obvestilo prikazalo v jeziku, ki ga razumejo. :D
A coding sequence cannot be revised once it's been established.

Zgodovina sprememb…

Glugy ::

Eh neumnost. kdorkol je že spisal to okužbo ne more bit tako neumn da bi se izpostavljal in naredil tako blesavo napako. Da spišeš tako okužbo morš bit kr premeten pa premišljen. Sej tud napad se je sprožil hkrati na več koncih. Napad je bil zelo zelo premišljen.

Ne rečem da ni mogoče ampak sam resnično dvomim da bi bil ta 22letnik tisti ki je to naredil. Bi mogu bit pa res neumen da bi se takole izpostavljal.

harmony ::

Kje se je napad najprej zgodil? V GB?

nikolahodin ::

Zanima me zakaj ne povejo katerih 8 podjeti je ta virus napadel. Na Hrvašken je tudi bil napad s tem virusom.

Zgodovina sprememb…

M-XXXX ::

ma ja, ugotovil je na kateri domeni se ta reč izvaja in namesto da bi obvestil pristojne je kar on kupil domeno in izklopil virus. Oštja, fant si zasluži biti v naslednjem filmu Avengersov ali pa Varuhov galaksije.

Jaz bi na njegovem mestu naredil popolnoma enako. On je domeno uredil v rangu parih minut (karikiram) policija bi pa 2 dni. Ja le kaj je boljše...

Phantomeye ::

GrX je izjavil:


Problem nastane, ker večina ransomware virusov po plačilu zahtevanega, fajlov ne odklene.. So sicer izjeme, ampak običajno fajli ostanejo zaklenjeni..


Vir za 'večina'?

Sicer pa ja, boljše je, če ne plačaš. Če bi vsi se tega držal, randsomware ne bi bili uspešni kot so.

nikolahodin ::

RegulusDraco je izjavil:

vigilanteji niso ravno zaželjeni.

CyberPunk je izjavil:

Za Renault 300 dolarjev preveč

V čem pa je fora, da je (vsaj če je verjeti režimski TV) v Revozu dotični virus izpisal obvestilo v srbohrvaščini?


http://svet24.si/clanek/novice/slovenij...

delavce uvažajo iz hrvaške, tako da je smiselno, da se je obvestilo prikazalo v jeziku, ki ga razumejo. :D


Verjetno je virus prišel iz Hr v Revoz. Včeraj je bila Hr tudi tarča napada tega virusa.

harmony ::

Je ze kdo sprobal v virtualki ta virus?

matijadmin ::

perci je izjavil:

Ne vem, se da kar lepo prek tora in placat z bitcoini?


Da, nekateri ponudniki to omogočajo. Sicer zahtevajo pravo ime, a sprejmejo, kar vpišeš.

CyberPunk je izjavil:

Za Renault 300 dolarjev preveč

V čem pa je fora, da je (vsaj če je verjeti režimski TV) v Revozu dotični virus izpisal obvestilo v srbohrvaščini?

V azijskih državah pa v njihovih hieroglifih. Zgleda, da so se poslužili Google prevajalnika.
Vrnite nam techno!

Zgodovina sprememb…

dronyx ::

nikolahodin je izjavil:

Verjetno je virus prišel iz Hr v Revoz. Včeraj je bila Hr tudi tarča napada tega virusa.

Okužilo se je več Renaultovih tovarn...poleg Revoza vsaj še ena v Franciji in Romuniji, tako da so očitno v Revozu virus dobili iz matične firme.

Ni pa meni nekako logično, da bi šel s takim ransomware virusom napadati velika telekomunikacijska podjetja, avtomobilske izdelovalce in javni sektor, saj pri teh je majhna verjetnost, da bodo odkupnino plačali, ker morajo v vsakem primeru razkužiti računalnike. Poleg tega če se izve, da so plačali, so potem lahko permanentna tarča zlikovcev, kar si nihče verjetno ne želi. Ena možnost je, da je bil ransomware samo krinka, glavni cilj tega napada pa NSA oziroma da bi širša javnost NSA imela za posrednega krivca.

matijadmin ::

RegulusDraco je izjavil:

vigilanteji niso ravno zaželjeni.

CyberPunk je izjavil:

Za Renault 300 dolarjev preveč

V čem pa je fora, da je (vsaj če je verjeti režimski TV) v Revozu dotični virus izpisal obvestilo v srbohrvaščini?


http://svet24.si/clanek/novice/slovenij...

delavce uvažajo iz hrvaške, tako da je smiselno, da se je obvestilo prikazalo v jeziku, ki ga razumejo. :D

Na koncu se bo izkazalo, da je v Revozu le ohranjevalnik zaslona s posnetkom zaslona tega virusa. Ker je delavcem prekipelo. :))
Vrnite nam techno!

CyberPunk ::

dronyx je izjavil:

Okužilo se je več Renaultovih tovarn...poleg Revoza vsaj še ena v Franciji in Romuniji, tako da so očitno v Revozu virus dobili iz matične firme.

Ampak maticna firma govori francosko.
Lovely, uporabniku prijazen virus. Govori "tvoj" jezik, cesar Apple se ni zmozen. :D

borutzi ::

verjetno tolk daleč jim že nese da uredijo da pobere regionalne nastavitve.....

matijadmin ::

Tuje korporacije imajo VPN med državami in poslovnimi enotami, tako da je čisto možno, da se je v Revozu to samo, brez uporabniške interakcije, namestilo. Je pa res, da imajo običajno taka podjetja tudi varnostne endpointe s požarnimi pregradami, protivirusnikom in HIPS.
Vrnite nam techno!

SambaShare ::

Kako pa bo storilec vnovčil bitcoine? Morajo borze transakcije (bitcoin -> fiat) sporočati policiji?

Jupito ::


V čem pa je fora, da je (vsaj če je verjeti režimski TV) v Revozu dotični virus izpisal obvestilo v srbohrvaščini?


Verjetno so nas tokrat zamešali s Slavonijo. Čedalje bližje so!
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Zgodovina sprememb…

  • spremenil: Jupito ()

Looooooka ::

SambaShare je izjavil:

Kako pa bo storilec vnovčil bitcoine? Morajo borze transakcije (bitcoin -> fiat) sporočati policiji?

vzame si cajt...ene 10x premixa v naslednjem letu vse preko tora in to je to.

nikolahodin ::

dronyx je izjavil:

nikolahodin je izjavil:

Verjetno je virus prišel iz Hr v Revoz. Včeraj je bila Hr tudi tarča napada tega virusa.

Okužilo se je več Renaultovih tovarn...poleg Revoza vsaj še ena v Franciji in Romuniji, tako da so očitno v Revozu virus dobili iz matične firme.


Če bi Revoz dobil virus iz matične firme potem bi mogel biti virus v francoskem ali angleškem jeziku.

mtosev ::

me zanima kolk ljudi je dobilo ta virus zaradi ne updajtanega sistema ali ker so stisnili na priponko.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

nikolahodin ::

mtosev je izjavil:

me zanima kolk ljudi je dobilo ta virus zaradi ne updajtanega sistema ali ker so stisnili na priponko.


Verjemi da zelo veliko ljudi. Mogoče bo ta dogodek malo povišal porodajo hddjev.

vasquez ::

nikolahodin je izjavil:


Če bi Revoz dobil virus iz matične firme potem bi mogel biti virus v francoskem ali angleškem jeziku.


Obstaja v večih jezikih. Verjetno pogleda lokalne nastavitve.

Izi ::

WannaCry izpiše obvestilo v 28 različnih jezikih. Izbere isti jezik, kot ga uporablja sistem.

Sta 2 možnosti. Ali imajo v Revozu za lokalni jezik nastavljeno Hrvaščino oziroma Srbščino, ali pa WannaCry ne pozna Slovenščine in je pač izbral najbližji jezik. Jaz sumim na prvo možnost.

matijadmin ::

nikolahodin je izjavil:

dronyx je izjavil:

nikolahodin je izjavil:

Verjetno je virus prišel iz Hr v Revoz. Včeraj je bila Hr tudi tarča napada tega virusa.

Okužilo se je več Renaultovih tovarn...poleg Revoza vsaj še ena v Franciji in Romuniji, tako da so očitno v Revozu virus dobili iz matične firme.


Če bi Revoz dobil virus iz matične firme potem bi mogel biti virus v francoskem ali angleškem jeziku.


Ni rečeno.

Izi je izjavil:

WannaCry izpiše obvestilo v 28 različnih jezikih. Izbere isti jezik, kot ga uporablja sistem.

Sta 2 možnosti. Ali imajo v Revozu za lokalni jezik nastavljeno Hrvaščino oziroma Srbščino, ali pa WannaCry ne pozna Slovenščine in je pač izbral najbližji jezik. Jaz sumim na prvo možnost.


In? A to predstavlja varnostno tveganje? Je protipravno, nemoralno?
Vrnite nam techno!

Zgodovina sprememb…

war-dog ::

Več v video:

Object reference not set to an instance of an object.

CyberPunk ::

matijadmin je izjavil:

In? A to predstavlja varnostno tveganje? Je protipravno, nemoralno?

Nemoralno. >:D :D
Protipravno pa ne, ker po osamosvojitvi ni bila izvedena dejugoslovanizacija.

FastWIND ::

Zakaj napadalci ne bi imeli oz. niso imeli registrirane domene s katero se je lahko širjenje ustavilo?

Looooooka ::

Saj se ni prislo do take skode, da bi jim grozila smrtna kazen :D
Domeno itak registriras v par minutah...zakaj bi riskiral, da te za ubogih 20k dolarjev ze ulovijo zaradi ene registracije.

Phantomeye ::

CyberPunk je izjavil:

matijadmin je izjavil:

In? A to predstavlja varnostno tveganje? Je protipravno, nemoralno?

Nemoralno. >:D :D
Protipravno pa ne, ker po osamosvojitvi ni bila izvedena dejugoslovanizacija.


Kako je lahko uporaba hrvščine nemoralna?:))

Zgodovina sprememb…

d4vid ::

Za domaco uporabo oz. za brskanje po spletu je vseeno, ce je windows v slovenscini, hrvascini, anglescini ali kitajscini.

Najbrz ima revoz v proizvodnji svoje programe, ki nimajo blage veze s sistemskim jezikom.
Main PC: Asus PN50 | AMD Ryzen 5 4500U | 16 GB RAM | 256 GB SSD
PC2: HP Z400 | Intel Xeon L5630 | 6 GB RAM | 120 GB SSD
Laptop: HP Elitebook 840G1 | Intel i5 | 8 GB RAM | 256 GB SSD

Avenger ::

perci je izjavil:

Ko je videl, da je povzročil preveliko pizdarijo, je hitro odreagiral. Ker pa domene vseeno ne moreš registrirat čisto anomimno, si je moral najti prikladno zgodbo.


Nekdo dovolj pameten za naredit tak virus, bo točno vedel kakšno in koliko škode bo virus naredil. Obstaja pa druga možnost. Lahko je bil tip (so)avtor virusa, ki ga je potem nekomu prodal, ali pa ga je kdo predelal in potem lansiral. Ko je slišal novice o štali ki se dogaja, je prebledel in mrzlično šel preverjat če je krivec njegov virus in ko je ugotovil, da je, je preveril če ima še killswitch in potem samo registriral domeno.

Kar smiselno bi bilo, da bi nekdo, ki ne želi zares povzročiti škode, ampak rad piše kodo za viruse, vgradil killswitch in s tem zadostil svojim moralnim načelom, potem pa, ko je nekdo drug njegov virus zlorabil, se je izpostavil, da bi rešil vsaj kar se je rešiti dalo.
It is better to be hated for what you are than to be loved for something you are not.

T-h-o-r ::

kako pa se okužiš s tem??? nikjer ne piše, kako virus pride na tvoj računalnik
Why have a civilization anymore
if we no longer are interested in being civilized?

Gregor P ::

:D
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

mtosev ::

T-h-o-r je izjavil:

kako pa se okužiš s tem??? nikjer ne piše, kako virus pride na tvoj računalnik
mene tudi zanima.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

flyby ::

The attack spreads by multiple methods, including phishing emails and on unpatched systems as a computer worm.

the guardian: One NHS worker, who asked to remain anonymous, said the attack began at about 12.30pm and appeared to have been the result of phishing. "The computers were affected after someone opened an email attachment. We get a lot of spam and it looks like something was sent to all the trusts in the country. Other hospitals have now been warned not to open these emails - all trusts communicate with each other."

Tr0n ::

Se vsaj lepo vidi, kdo je redno namescal popravke. :)

T-h-o-r ::

flyby je izjavil:

The attack spreads by multiple methods, including phishing emails and on unpatched systems as a computer worm.

the guardian: One NHS worker, who asked to remain anonymous, said the attack began at about 12.30pm and appeared to have been the result of phishing. "The computers were affected after someone opened an email attachment. We get a lot of spam and it looks like something was sent to all the trusts in the country. Other hospitals have now been warned not to open these emails - all trusts communicate with each other."


ja, pa saj ne pride kar sam od sebe skozi unpatched sisteme
glede e-mail priponk - you go to gulag if you open them
Why have a civilization anymore
if we no longer are interested in being civilized?

Zgodovina sprememb…

  • spremenilo: T-h-o-r ()

flyby ::

T-h-o-r je izjavil:

flyby je izjavil:

The attack spreads by multiple methods, including phishing emails and on unpatched systems as a computer worm.

the guardian: One NHS worker, who asked to remain anonymous, said the attack began at about 12.30pm and appeared to have been the result of phishing. "The computers were affected after someone opened an email attachment. We get a lot of spam and it looks like something was sent to all the trusts in the country. Other hospitals have now been warned not to open these emails - all trusts communicate with each other."


ja, pa saj ne pride kar sam od sebe skozi unpatched sisteme
glede e-mail priponk - you go to gulag if you open them


to je osnovna definicija črva

dronyx ::

Me zanima kako se v takih primerih obnese Great firewall of China. Okužb je baje tam zelo veliko, verjetno pa ne bodo povedali točnih informacij kako velik je problem. Očitno pa veliki Kitajski firewall teh okužb ne prepreči. Upam vsaj, do so spustili čez FW domeno oziroma URL ki predstavlja killswitch... :)

flyby je izjavil:

The attack spreads by multiple methods, including phishing emails and on unpatched systems as a computer worm.

Kako pa se v takem primeru obnašajo domači računalniki ki nimajo vklopljenega firewalla? Kakor jaz razumem širjenje bi se teoretično ti računalniki lahko okužili direktno iz interneta (brez priponk v e-pošti)?

Zgodovina sprememb…

  • spremenil: dronyx ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Aretiran raziskovalec, ki je onesposobil WannaCry

Oddelek: Novice / Varnost
2814473 (11134) Ishmael
»

WannaCry še ni mrtev, težave v Hondi

Oddelek: Novice / Kriptovalute
1511018 (9098) SeMiNeSanja
»

22-letnik, ki je ustavil WannaCry: Ni še konec! (strani: 1 2 )

Oddelek: Novice / Varnost
8129412 (20621) AnotherYou
»

Globalna okužba se širi, proizvodnja ustavljena tudi v Revozu (strani: 1 2 3 4 )

Oddelek: Novice / Varnost
15456453 (44474) SeMiNeSanja

Več podobnih tem