[You must be registered and logged in to see this image.]Новият доклад на компанията Kryptos Logic обобщи резултатите от разпространението на рансъмуера WannaCry (WannaCrypt) две седмици след началото на епидемията. Да си припомним, че именно в Kryptos Logic работи експертът MalwareTech, успял случайно да спре разпространяването на вируса.
Един от интересните изводи на специалистите по информационна сигурност е, че операционната система
Widows XP е била железобетонно защитена от
WannaCry. Оказа се, че при заразяване с най-разпространения вариант на
WannaCry, компютрите с Windows XP SP3 просто се сриват и показват „Синия екран на смъртта“ следван от рестартиране на системата. Никакви файлове не се криптират. Рансъмуерът не може да съществува в тези условия.
В първите дни след появата на WannaCry се появи информация, че главната вина за ситуацията носи Windows XP. Най-вероятната причина за тази заблуда е масовото заразяване на компютрите на държавната служба по здравеопазването на Великобритания. Говореше се, че в тази организация работят голям брой древни компютри със стари операционни системи. Но британската служба по здравеопазване решително отхвърли тези слухове и официално заяви, че към датата на атаката само 5% от техните компютри са били с Windows XP.
Големи критики отнесе и Microsoft, който спря да издава обновявания по безопасността за Windows XP още през 2014 година. Специалистите на Microsoft въобще не спориха и веднага представиха необходимия пач за старите системи.
След двуседмични тестове в лабораториите на Kryptos Logic се оказа, че WannaCry може да заразява компютрите с Windows XP, но опитът за зареждане и стартиране на втората част на вируса с име
DoublePulsar води до сриване на системата. Резултатите от тестовете демонстрираха, че криптиращата втора част без проблем се зарежда и изпълнява на компютрите с Windows 7 64-bit SP1, а устройствата с Windows XP до едно показват
BSOD и всички потребителски файлове се запазват.
Експертите съвсем логично посочиха, че компютрите, работещи под управлението на Windows XP, няма как да са причина за инфекцията, понеже експлойтът, интегриран във WannaCry не може да стартира DoublePulsar и няма как да бъдат заразени и други компютри.
Навярно, това е първият случай в историята, когато BSOD е свършил нещо полезно и е защитил компютрите от опасен рансъмуер.
В същото време, компютрите с Windows 7 пострадаха много. Kryptos Vantage изчисли, че са заразени 14-16 милиона компютри с тази операционна система.
Специалистите на компанията Kryptos се запознаха и публикуваха предположението на хакера Нийл Мета (той откри Heartbleed), че авторите на WannaCry са свързани с групата Lazarus, известна със знаменитата си атака срещу Sony Pictures през 2014 година, и която след две години открадна част от златните валутни резерви на банката на Бангладеш ($101 милиона чрез системата SWIFT). Счита се, че тази група е свързана със Северна Корея.
Нийл Мета намери съвършено еднакъв участък с код във WannaCry и във вирус на групата Lazarus. Особеностите на кода са такива, че няма как да бъдат случайно повторени. Естествено, напълно е възможно трета страна да е използвала един и същи код.
Фактите към днешен ден сочат, че подобни мащабни атаки могат да бъдат осъществени дори и от един единствен човек от произволно точка на света, и всичко това благодарение на изтичанията от АНС, ЦРУ и други организации.
/kaldata.com