WannaCry okuževal večinoma Windows 7

Teden dni po katastrofi, ki jo je povzročil virus WannaCry, je znanih že več podrobnosti o napadu, ki je medtem večinoma ustavljen. Kaspersky Lab je pokazal zanimivo statistiko, kateri operacijski sistemi so bili prizadeti. Zanimivo je, da je bilo kar 98 odstotkov vseh okužb na eni izmed verzij Windows 7, medtem ko je glavni osumljenec Windows XP poskrbel za manj kot promil okužb. Pričakovali bi ravno obratno, saj popravka za Windows XP ni bilo, medtem ko je za Windows 7 obstajal že od marca in bi lahko preprečil okužbo. Seveda je namestitev Windows 7 bistveno več kakor XP, a tako ogromna ta razlika spet ni. Windows 7 najdemo namreč na polovici računalnikov, Windows XP pa na slabih osmih odstotkih.

Več vemo tudi o širjenju. WannaCry je izkoriščal ranljivost EternalBlue v SMB (Server Message Block), ki jo je razvila NSA. Širjenja s priponkami v elektronski pošti skorajda ni bilo. Virus je iskal računalnike, ki so poslušali SMB, in se nanje ugnezdil.

Hkrati to ni bil prvi napad, ki je izkoriščal EternalBlue. Že pred začetkom epidemije WannaCry so omenjeno ranljivost za svoje viruse izkoriščali tudi drugi zlikovci. Ti so jo uporabljali v manj destruktivne namene, predvsem za krajo podatkov in podrejanje računalnikov za sodelovanje v botnetih - tudi takšnega za rudarjenje bitcoinov. Podobno velja za EternalRocks, ki je sorodna ranljivost kot EternalBlue.

Zanimivo pa je dejstvo, da so napadalci začeli izvajati DDoS napade na domeni, ki ju je registriral britanski raziskovalec, saj služita kot varovala pred napadi z WannaCry. Odkril je, da virus poizkusi kontaktirati dve domeni in če mu to uspe, se ne namesti. DDoS napadi nanje kažejo, da želijo napadalci virus spet reaktivirati. K sreči je veliko računalnikov sedaj posodobljenih.