WannaCry

WannaCry

Skærmbillede af Wana Decrypt0r 2.0
Type Netværksorm , ransomware , udnyttelse
År for optræden 12. maj  2017 (start på masseangreb)
Software brugt Windows SMB sårbarhed , DoublePulsar bagdør , EternalBlue udnyttelse _

Symantec beskrivelse
Beskrivelse af Securelist
 Mediefiler på Wikimedia Commons

WannaCry (oversat som "Jeg vil græde" , også kendt som WannaCrypt [1] , WCry [2] , WanaCrypt0r 2.0 [3] [4] og Wanna Decryptor [5] ) er en malware , netværksorm og ransomware for penge , som inficerer computere , der kører Microsoft Windows -operativsystemet . Efter at have inficeret en computer, krypterer ormens kode næsten alle filer, der er gemt på computeren, og tilbyder at betale en løsesum i kryptovaluta for deres dekryptering. Hvis løsesummen ikke betales inden for 7 dage fra infektionsøjeblikket, er evnen til at dekryptere filer tabt for altid.

Massedistributionen af ​​WannaCry begyndte den 12. maj 2017 - computere i Spanien  var blandt de første, der blev angrebet , og derefter i andre lande. Blandt dem er Rusland , Ukraine og Indien førende med hensyn til antallet af infektioner [6] . I alt på kort tid led 500.000 computere [7] ejet af enkeltpersoner, kommercielle organisationer og offentlige myndigheder i mere end 200 lande rundt om i verden [8] af ormen . Udbredelsen af ​​ormen blokerede for arbejdet i mange organisationer verden over: Hospitaler, lufthavne, banker, fabrikker osv. Især på en række britiske hospitaler blev planlagte medicinske procedurer, undersøgelser og akutte operationer udskudt.

WannaCry-netværksormen bruger en sårbarhed i Windows-operativsystemer til at inficere computere , som det amerikanske National Security Agency (NSA) formentlig kendte oplysninger om . The Equation Group , en hackergruppe tilknyttet NSA, skabte EternalBlue - udnyttelsen og DoublePulsar- bagdøren , hvilket gør det muligt at bruge denne sårbarhed til at inficere en computer og få adgang til den. Efterfølgende blev oplysninger om sårbarheden og programmer til at udnytte den stjålet fra NSA af hackergruppen The Shadow Brokers og offentliggjort i det offentlige domæne [8] . Selve WannaCry-ormen blev skabt og lanceret af ukendte angribere ved hjælp af information stjålet fra NSA. Den hovedmistænkte er hackergruppen Lazarus Group , der angiveligt er forbundet med DPRK 's regering .

Angrebsmetode

Malwaren scanner en række lokale netværks IP-adresser og tilfældigt udvalgte internet-IP-adresser på udkig efter computere med åben TCP-port 445, som er ansvarlig for at betjene SMBv1 -protokollen . Efter at have fundet en sådan computer, gør programmet adskillige forsøg på at udnytte EternalBlue -sårbarheden på den , og hvis det lykkes, installerer det DoublePulsar [9] -bagdøren , hvorigennem den eksekverbare kode for WannaCry-programmet indlæses og startes. Ved hvert udnyttelsesforsøg kontrollerer malwaren for tilstedeværelsen af ​​DoublePulsar på målcomputeren og, hvis det opdages, indlæses den direkte gennem denne bagdør [9] .

Når den først er lanceret, fungerer malwaren som klassisk ransomware : den genererer et RSA-2048 asymmetrisk nøglepar, der er unikt for hver inficeret computer . WannaCry begynder derefter at scanne systemet for brugerdefinerede filer af visse typer , og efterlader de, der er kritiske for dets videre funktion, urørt. Hver valgt fil krypteres ved hjælp af AES-128-CBC- algoritmen med en unik (tilfældig) nøgle til hver af dem, som igen krypteres med det inficerede systems offentlige RSA-nøgle og lagres i headeren på den krypterede fil. Dette tilføjer filtypenavnet .wncry til hver krypteret fil . Parret af RSA-nøgler i det inficerede system krypteres med angribernes offentlige nøgle og sendes til deres kontrolservere placeret i Tor-netværket , hvorefter alle nøgler slettes fra hukommelsen på den inficerede maskine. Efter at have afsluttet krypteringsprocessen, viser programmet et vindue med krav om at overføre et bestemt beløb i bitcoins (svarende til 300 amerikanske dollars ) til den angivne tegnebog inden for tre dage. Hvis løsesummen ikke modtages til tiden, fordobles beløbet automatisk. På den syvende dag, hvis WannaCry ikke fjernes fra det inficerede system, bliver de krypterede filer ødelagt [10] . Meddelelsen vises på det sprog, der matcher det sprog, der er installeret på computeren. I alt understøtter programmet 28 sprog. Sammen med kryptering scanner programmet vilkårlige internet- og lokale netværksadresser for efterfølgende infektion af nye computere [11] [12] .

Ifølge Symantecs forskning er angribernes algoritme til at spore hvert offers individuelle udbetalinger og sende dem en dekrypteringsnøgle implementeret med en racetilstandsfejl . Dette gør løsesumsbetalinger meningsløse, da de enkelte nøgler alligevel ikke bliver sendt, og filerne forbliver krypterede. Der er dog en pålidelig metode til at dekryptere brugerfiler mindre end 200 MB, samt nogle chancer for at gendanne større filer. Derudover er det på forældede Windows XP- og Windows Server 2003 -systemer, på grund af de særlige forhold ved implementeringen af ​​pseudo-tilfældige talberegningsalgoritmen i systemet, endda muligt at gendanne private RSA-nøgler og dekryptere alle berørte filer, hvis computeren har ikke blevet genstartet siden infektionsøjeblikket [13] . Senere udvidede en gruppe franske cybersikkerhedseksperter fra Comae Technologies denne funktion til Windows 7 og satte den i praksis ved at udgive WanaKiwi [14] værktøjet , som giver dig mulighed for at dekryptere filer uden løsesum [15] [16] .

I koden for tidlige versioner af programmet blev der leveret en selvdestruktionsmekanisme, den såkaldte Kill Switch[10] , - programmet kontrollerede tilgængeligheden af ​​to specifikke internetdomæner og blev, hvis de var tilgængelige, fuldstændigt fjernet fra computeren. Dette blev først opdaget den 12. maj 2017 af Marcus Hutchins[17] , en 22-årig virusanalytiker hos det britiske firma Kryptos Logic, tweeting under brugernavnet @MalwareTechBlog , og registrerede et af domænerne i hans navn. Således lykkedes det ham midlertidigt delvist [K 1] at blokere distributionen af ​​denne modifikation af det ondsindede program [18] [19] . Den 14. maj blev det andet domæne også registreret [10] . I efterfølgende versioner af virussen blev denne selvafbrydelsesmekanisme fjernet, men dette blev ikke gjort i kildekoden, men ved at redigere den eksekverbare fil , hvilket tyder på, at oprindelsen til denne rettelse ikke er fra forfatterne af original WannaCry, men fra tredjepartsangribere. Som et resultat blev krypteringsmekanismen beskadiget, og denne version af ormen kan kun sprede sig selv og finde sårbare computere, men er ikke i stand til at forårsage direkte [K 2] skade [20] .

Den høje udbredelseshastighed af WannaCry, som er unik for ransomware, sikres ved at udnytte en sårbarhed i SMB -netværksprotokollen i Microsoft Windows-operativsystemet udgivet i februar 2017, beskrevet i bulletin MS17-010 [21] . Mens der i det klassiske system kom ransomware ind på computeren gennem brugerens handlinger via e- mail eller et weblink, i tilfælde af WannaCry, er brugerens deltagelse fuldstændig udelukket. Minimumstiden mellem opdagelsen af ​​en sårbar computer og dens fuldstændige infektion er omkring 3 minutter [11] .

Udviklervirksomheden har bekræftet eksistensen af ​​en sårbarhed i absolut alle bruger- og serverprodukter, der implementerer SMBv1-protokollen - startende med Windows XP / Windows Server 2003 og slutter med Windows 10 / Windows Server 2016 . Den 14. marts 2017 udgav Microsoft en række opdateringer med det formål at neutralisere sårbarheden i alle understøttede operativsystemer [21] . Efter distributionen af ​​WannaCry tog virksomheden det hidtil usete skridt med også at frigive opdateringer til end-of-support-produkter ( Windows XP , Windows Server 2003 og Windows 8 ) den 13. maj [22] [23] .

Kronologi af begivenheder

Den 12. maj 2017 spredte ormen sig rundt i verden. Mange lande blev angrebet, men de fleste af de inficerede computere var i flere lande - i Ukraine , Rusland , Indien og Taiwan [6] [24] [25] .

I Spanien blev pc'er angrebet hos Telefónica , Gas Natural , Iberdrola (elleverandør), Centro Nacional de Inteligencia , Bank Santander og en filial af konsulentfirmaet KPMG . I Storbritannien er computere på hospitaler (NHS-trusts) blevet inficeret [26] . Deutsche Bahn -computere blev inficeret i Tyskland .

I Rusland led ministerierne ( Ruslands indenrigsministerium [27] ), MegaFon [28] . Rapporter om vellykkede angreb på Sberbank og ministeriet for nødsituationer blev tilbagevist af disse organisationer [29] . De russiske jernbaners informationssystemer blev påvirket , men ormen blev hurtigt lokaliseret og påvirkede ikke togs bevægelser [30] . Center for overvågning og reaktion på computerangreb i den russiske centralbanks kredit- og finanssfære (FinCERT) rapporterede også, at "enkelte tilfælde af kompromittering af kreditinstitutters ressourcer" blev registreret, men konsekvenserne af disse hændelser blev elimineret som hurtigst muligt [31] .

Fra kl. 13:20 den 13. maj , ifølge MalwareTech BotNet Tracker [32] , er 131.233 computere verden over inficeret, hvoraf 1.145 er online.

Renault lukkede sine fabrikker for at teste sine pc'er [33] .

Selv om det russiske indenrigsministerium i første omgang nægtede infektionen af ​​sit netværk, bekræftede det senere, at infektionen skete, fordi nogle ansatte i afdelingen tilsluttede sig internettet fra deres computere "gennem en eller anden mekanisme" [34] . Irina Volk, en officiel repræsentant for det russiske indenrigsministerium, udtalte: "Serverressourcerne i det russiske indenrigsministerium var ikke inficeret på grund af brugen af ​​andre operativsystemer og indenlandske servere med den russiske Elbrus -processor " [35] . Antallet af inficerede pc'er var omkring 1000, hvilket er omkring 1% af hele computerparken [35] . I nogle regioner i Den Russiske Føderation fungerede visse enheder i indenrigsministeriet midlertidigt ikke [36] .

Ifølge Europol inficerede WannaCry pr. 15. maj omkring 200.000 computere i mere end 150 lande rundt om i verden [37] . Fortjenesten fra angrebet for angriberne viste sig dog at være relativt lille: På dette tidspunkt blev der kun udført 110 transaktioner for i alt omkring 23,5 bitcoins (ca. 65,8 tusinde amerikanske dollars) på disse bitcoin-punge [38] . Samme dag kaldte præsident V.V. Putin , da han talte på en pressekonference, skaden på landet fra et verdensomspændende cyberangreb for ubetydelig [39] .

Fra den 17. maj 2017 er kilden og metoden til initial distribution af WannaCry ifølge Symantec ukendt. Tidligere udtrykte meninger om, at angrebet begyndte med at sende ondsindede e-mails er ikke blevet bekræftet [10] .

Fra den 26. maj 2017 er mere end 410.000 computere på verdensplan ifølge MalwareTech BotNet Tracker- webstedet inficeret , hvoraf 170.000 er online [7] .

For at modtage løsesum fra ofre bruges tre e-wallets registreret i programmet. Som i alle sådanne tilfælde er deres saldo og pengeoverførselsoplysninger offentlige, mens ejeren af ​​tegnebogen forbliver ukendt [40] . Pr. 25. maj 2017 blev der foretaget 302 overførsler på i alt $126.742 til angribernes konti [ 41 ] .

Fra den 6. juni 2017 er mere end 520.000 computere og 200.000 IP-adresser ifølge MalwareTech BotNet Tracker- webstedet inficeret [7] .

Ifølge nogle eksperter kunne spredningen af ​​virussen være startet på grund af en lækage, før arbejdet med det var afsluttet. Til fordel for virussens ufuldstændighed er tilstedeværelsen af ​​kun tre bitcoin-punge syet ind i koden og manglen på kryptering ved adgang til domæner, der aktiverer selvdestruktionsmekanismen [42] .

Den 28. marts 2018 blev Boeing Aircraft Corporations operativsystemer angrebet ved hjælp af WannaCry. Virksomheden gennemførte prompte softwaregendannelsesforanstaltninger, og virussen påvirkede ikke Boeings produktionsaktiviteter [43] .

Bedømmelser

Det internationale hackerkonglomerat " Anonymous " udtrykte sin indignation over aktiviteterne hos skaberne af WannaCry- ormen på grund af det faktum, at denne orm ramte computernetværkene i offentlige og medicinske institutioner. På grund af aktiveringen på en række britiske hospitaler blev implementeringen af ​​foreskrevne medicinske procedurer, undersøgelser og akutte operationer udskudt. Denne kendsgerning vakte særlig forargelse blandt den franske afdeling af Anonymous, som offentliggjorde en meddelelse, der fordømte WannaCry- cyberangrebene og NSA , som først rapporterede den 12. maj om tyveri af den software, der er nødvendig for ormen, fra deres databaser [44 ] .

Tidligere CIA-officer og nu amerikanske dissident Edward Snowden udtalte, at sårbarheden af ​​operativsystemer i MS Windows -familien , takket være hvilken WannaCry spredte sig rundt om planeten, længe havde været kendt af NSA - teknikere . De anså det dog ikke for nødvendigt at informere Microsoft om dette , og annoncerede det først, da infektionen af ​​computere blev udbredt [45] [46] .

Program forfatterskab

Den 14. maj udtalte Microsofts præsident og generaladvokat Brad Smith, at virussen udnyttede en sårbarhed, der blev stjålet fra US National Security Agency (NSA) [47] [48] .

Senere, den 15. maj, mindede den russiske præsident Vladimir Putin om disse ord fra Microsofts ledelse , idet han kaldte de amerikanske efterretningstjenester "den primære kilde til virussen", og udtalte, at "Rusland har absolut intet med det at gøre" [49] [50 ] . Samtidig udtalte Nikolai Patrushev, sekretær for Den Russiske Føderations Sikkerhedsråd , at der ikke var beviser for, at de særlige tjenester fra nogen lande var involveret i den massive spredning af WannaCry-virussen rundt om i verden. Ifølge ham, hvis de særlige tjenester stod bag hackerangrebet, ville dets konsekvenser "være meget mere alvorlige." Han erkendte dog, at højt kvalificerede specialister deltog i angrebet [51] .

Angrebet blev muliggjort af en sårbarhed i Microsofts implementering af Server Message Block (SMB) netværksprotokollen [21] . Sårbarheden var kendt af US National Security Agency i nogen tid og blev implementeret som et færdiglavet værktøj ( udnyttelse ) til at udføre EternalBlue -angrebet . Dette værktøj, blandt mange, kom i besiddelse af hackergruppen The Shadow Brokers og blev offentliggjort af den i det offentlige domæne den 14. april 2017 [4] [52] [53] [54] [55] . Ifølge WikiLeaks blev EternalBlue oprindeligt udviklet af Equation Group , en hackergruppe med bånd til NSA, og derefter stjålet af The Shadow Brokers [56] .

Kodeanalyse

Moderne industrielle cybersikkerhedseksperter mener, at den eksekverbare kode for WannaCry- ormen i sig selv ikke er særlig teknisk sofistikeret [8] . Eksperter fra Kaspersky Lab og antivirusfirmaet Symantec bemærkede dog , baseret på et tweet offentliggjort af Google -forsker Neil Mehta, at signaturerne af WannaCry-koden matcher signaturen af ​​koden, der angiveligt blev brugt i februar 2015 af hackergruppen Lazarus Group [57] [58] mistænkt for at have forbindelser med den nordkoreanske regering . Denne gruppe er krediteret for at have udført mange højprofilerede computerangreb i 2012-2014, herunder angrebet på SWIFT -bankinfrastrukturen og hackingen af ​​Sony Pictures Entertainment-servere [59] . Denne hypotese, baseret på hans egen forskning, blev bekræftet af eksperten fra det sydkoreanske selskab Hauri Labs, Simon Choi, som er rådgiver for det sydkoreanske politi og National Intelligence Agency . Ifølge ham matcher virussens kode de nordkoreanske koder for ondsindede bagdørsprogrammer [60] .

I Vesten menes det, at Lazarus-gruppen er forbundet med cyberdivisionen af ​​Efterretningsdirektoratet for Generalstaben KPA i DPRK, kendt som Division 121 ( eng.  Bureau 121 ). I 2015 talte en afhopper fra DPRK, professor i datalogi Kim Hyun Kwang , om denne organisation i et interview med BBC . Ifølge ham er enhed 121  et af de prioriterede projekter i DPRK-regeringen, som modtager meget seriøs finansiering. Omkring 6.000 "militære hackere" tjener i enheden, hvis opgaver omfatter angreb på infrastrukturobjekter - kommunikationslinjer og kommunikationssatellitter. Hackerne er rekrutteret fra studerende ved Institut for Automation ved Kim Chaek Polytechnic University i Pyongyang [61] .

Samtidig er det ifølge Kaspersky Lab og Symantec stadig for tidligt at drage konklusioner om, hvorvidt Nordkorea er involveret i angrebene. John Miller, en ekspert hos cybersikkerhedsfirmaet FireEye , sagde, at lighederne fundet i koderne for WannaCry-virussen og Lazarus -gruppen ikke er unikke nok til at drage konklusioner om deres oprindelse fra en fælles kilde [60] . Også fragmenter af Lazarus Group -koden kunne simpelthen bruges af en anden hackergruppe [62] [63] , herunder bevidst, for at forvirre efterforskningen og forhindre den rigtige angriber i at blive identificeret [58] . Europols talsmand Jan Op Gen Orth bemærkede også, at Europol endnu ikke kunne bekræfte oplysningerne om DPRK's involvering [64] . Kim Ying Ren , stedfortrædende permanent repræsentant for DPRK ved FN , kaldte mistankerne mod DPRK "latterlige" [65] .

Senere bekræftede UK National Cyber ​​​​Security Center (NCSC), som leder den internationale undersøgelse [61] , hypotesen om, at Lazarus Group var involveret i cyberangrebet [61] . Ifølge Microsofts præsident Brad Smith, "På dette stadium har alle informerede observatører konkluderet, at årsagen til WannaCry var DPRK, som brugte cybertools eller våben stjålet fra National Security Agency (NSA) i USA" [66] . Den britiske regering er også enig i denne udtalelse [67] .

Ifølge eksperter er tidsstemplerne i WannaCry-kildekoden også sat i UTC +9 [63] tidszonen , hvor nogle østasiatiske lande er placeret . Ved at sammenligne tidspunktet for tilføjelse af den eksekverbare fil og det første registrerede WannaCry-angreb (i Taiwan), konkluderede forskerne, at forfatterne af virussen er i UTC +9-tidszonen [68] .

Sproglig analyse

Sproglig analyse af løsesumsteksten, udført af eksperter fra det amerikanske cybersikkerhedsfirma Flashpoint , viste, at modersmålet for forfatterne af WannaCry højst sandsynligt er den sydlige dialekt af det kinesiske sprog . Ifølge dem er skaberne af dette program højst sandsynligt indbyggere i Hong Kong , det sydlige Kina , Singapore eller Taiwan [69] [70] . Den koreanske version af teksten er stavet forkert [68] . Samtidig er ikke alle eksperter enige i disse konklusioner, da dette efter deres mening kan være en bevidst maskering og sløring af spor [70] . Ifølge Sergio de los Santos, leder af Telefónicas ElevenPaths cybersikkerhedsafdeling , er WannaCrys skabers modersmål koreansk, fordi det var standardsproget i EMEA-versionen af ​​Word, der blev brugt til at oprette RTF-filer. Efter hans mening kan fejlene i den koreanske løsesum-tekst være et bevidst forsøg på at skjule ens nationalitet, og det er meget mere sandsynligt, at forfatteren af ​​virussen har glemt at ændre standardsproget [68] .

Skader

Ifølge eksperter led omkring 300.000 brugere i 150 lande i verden i de første fire dage af et storstilet cyberangreb . Den samlede skade er anslået til 1 milliard amerikanske dollars [71] .

EternalRocks

Den kroatiske cybersikkerhedsekspert Miroslav Stampar, ved hjælp af Honeypot -systemet , opdagede en ny malware-orm kaldet " EternalRocks " (muligvis magen til EternalBlue), som bruger syv hackingværktøjer stjålet fra NSA og gør computere, der kører Windows -operativsystemer . sårbare over for fremtidige angreb, der kan ske til enhver tid [72] [73] [74] [75] [76] . Samtidig forklæder denne orm sig som WannaCry for at forvirre forskere.

Se også

Kommentarer

  1. Dette reddede dog ikke computere, hvis internetadgang er udsat for streng filtrering (som f.eks. i nogle virksomhedsnetværk) fra nederlag. I dette tilfælde finder WannaCry ikke Kill Switch blokeret af internetadgangspolitikken og fortsætter sin ondsindede handling [9] .
  2. Den modificerede WannaCry gør dog den inficerede maskine endnu mere sårbar over for andre trusler ved hjælp af DoublePulsar-bagdøren.

Noter

  1. MSRC Team -kundevejledning til WannaCrypt-angreb . Microsoft . Hentet 13. maj 2017. Arkiveret fra originalen 13. maj 2017.
  2. CYBERANgreb HELT: VIRUS HAPPE WINDOWS COMPUTERE, YAKI HAR IKKE GENOPRETTET - ZMI . Hentet 13. maj 2017. Arkiveret fra originalen 13. maj 2017.
  3. Avast rapporterer om WanaCrypt0r 2.0 ransomware, der inficerede NHS og Telefonica. . Avast Security News . Avast Software, Inc. (12. maj 2017). Hentet 24. maj 2017. Arkiveret fra originalen 5. maj 2019.
  4. ↑ 1 2 Fox-Brewster, Thomas . Et NSA-cybervåben kan stå bag et massivt globalt ransomware-udbrud , Forbes . Arkiveret fra originalen den 28. juni 2018. Hentet 16. maj 2017.
  5. Woollaston, Victoria . Wanna Decryptor: hvad er 'atombomben af ​​ransomware' bag NHS-angrebet?  (engelsk) , WIRED UK . Arkiveret fra originalen den 17. marts 2018. Hentet 29. september 2017.
  6. 1 2 FANTASTISK. WannaCry ransomware brugt i udbredte angreb over hele verden - Securelist . Kaspersky Lab (12. maj 2017). Hentet 13. maj 2017. Arkiveret fra originalen 3. juni 2017.
  7. 1 2 3 MalwareTech Botnet Tracker: WCRYPT Arkiveret 19. maj 2017 på Wayback Machine , MalwareTech botnet tracker
  8. 1 2 3 Pascal Ackerman. Andre angrebsscenarier // Industriel cybersikkerhed. Effektivt sikre kritiske infrastruktursystemer. - Birmingham: Packt Publishing, 2017. - S. 174. - ISBN 978-1-78839-515-1 .
  9. 1 2 3 Zammis Clark. Ormen , der spreder WanaCrypt0r  . Malwarebytes (12. maj 2017). Hentet 17. maj 2017. Arkiveret fra originalen 17. maj 2017.
  10. 1 2 3 4 Ransom.Wannacry . Symantec . Hentet 17. maj 2017. Arkiveret fra originalen 13. maj 2018.
  11. 1 2 Wana Decrypt0r 2.0 ransomware-analyse . Habrahabr (14. maj 2017). Hentet 16. maj 2017. Arkiveret fra originalen 16. maj 2017.
  12. Spiller 3 er gået ind i spillet: Sig hej til 'WannaCry' (12. maj 2017). Hentet 16. maj 2017. Arkiveret fra originalen 4. juni 2021.
  13. Kan filer låst af WannaCry dekrypteres: En teknisk analyse (15. maj 2017). Hentet 17. maj 2017. Arkiveret fra originalen 22. maj 2017.
  14. Suiche, Matthieu WannaCry - Dekryptering af filer med WanaKiwi + Demoer . Comae Technologies (19. maj 2017). Hentet 22. maj 2017. Arkiveret fra originalen 8. august 2019.
  15. Auchard, Eric Franske forskere finder måde at låse WannaCry op uden løsesum . Reuters (19. maj 2017). Hentet 19. maj 2017. Arkiveret fra originalen 19. maj 2017.
  16. Frankrig fandt en måde at omgå WannaCry ransomware virus
  17. 'Just doing my bit': Den 22-årige, der blokerede WannaCry-cyberangrebet  , ABC News (  16. maj 2017). Arkiveret fra originalen den 17. maj 2017. Hentet 19. maj 2017.
  18. Wanna Cry-virus stoppede ved et uheld en årvågen programmør Arkiveret 1. oktober 2017 på Wayback Machine , Vzglyad, 13. maj 2017
  19. WannaCry ransomware-epidemi: hvad skete der, og hvordan du beskytter dig selv . Hentet 13. maj 2017. Arkiveret fra originalen 14. maj 2017.
  20. regn-1. WannaCry/WannaDecrypt0r NSA-Cybervåben-drevet Ransomware-orm . Github.com (22. maj 2017). Hentet 22. maj 2017. Arkiveret fra originalen 18. maj 2017.
  21. 1 2 3 Microsoft Security Bulletin MS17-010 . Hentet 13. maj 2017. Arkiveret fra originalen 21. maj 2017.
  22. Surur . Microsoft frigiver Wannacrypt-patch til ikke-understøttet Windows XP, Windows 8 og Windows Server 2003  (13. maj 2017). Arkiveret 29. maj 2020. Hentet 13. maj 2017.
  23. MSRC Team -kundevejledning til WannaCrypt-angreb . microsoft.com . Hentet 13. maj 2017. Arkiveret fra originalen 13. maj 2017.
  24. Soshnikov, Andrey. WannaCry: hvordan den største computer ransomware fungerer . " BBC Russian Service " (13. maj 2017). Hentet 14. maj 2017. Arkiveret fra originalen 13. maj 2017.
  25. Et storstilet hackerangreb bragte titusindvis af computere rundt om i verden ude af skygge (utilgængeligt link) . Hentet 12. maj 2017. Arkiveret fra originalen 17. maj 2017. 
  26. Hern, Alex . Hvad er 'WanaCrypt0r 2.0' ransomware, og hvorfor angriber det NHS? , The Guardian  (12. maj 2017). Arkiveret fra originalen den 12. maj 2017. Hentet 12. maj 2017.
  27. Ransomware-virussen inficerede computere fra Ruslands indenrigsministerium og Megafon , Ryazan-portalen ya62.ru  (12. maj 2017). Arkiveret fra originalen den 17. maj 2017. Hentet 2. juni 2018.
  28. RUSLAND HAR EN STOR SKALA VIRUS-VIMAGACH, SOM ANgriber MINISTERIETS COMPUTER, "SBERBANK" I "MEGAFON" Arkivkopi dateret 13. maj 2017 på Wayback Machine , TSN, 13. maj 2016
  29. ↑ Ministeriet for nødsituationer og Sberbank afviste WannaCry-cyberangreb med succes Arkivkopi dateret 16. maj 2017 på Wayback Machine , NTV, 12. maj 2017
  30. Russian Railways meddelte, at der ikke var nogen afbrydelser i virksomhedens arbejde på grund af et virusangreb Arkivkopi dateret 20. maj 2017 på Wayback Machine // Interfax, 05/13/2017
  31. Om angrebet af Wannacry-virussen Arkivkopi dateret 20. maj 2017 på Wayback Machine // FinCERT fra Bank of Russia, 19/05/2017
  32. MalwareTech Botnet Tracker: WCRYPT Arkiveret 13. maj 2017 på Wayback Machine , MalwareTech botnet tracker
  33. Renault lukkede flere fabrikker efter cyberangreb Arkivkopi af 21. oktober 2017 på Wayback Machine // Avis, 13. maj 2017
  34. WannaCry ramte indenrigsministeriet, fordi politiet ulovligt oprettede forbindelse til internettet . Hentet 21. maj 2017. Arkiveret fra originalen 19. maj 2017.
  35. 1 2 Den russiske processor "Elbrus" reddede indenrigsministeriets servere fra en ransomware-virus, der angreb computere over hele verden . Hentet 13. maj 2017. Arkiveret fra originalen 16. maj 2017.
  36. I regioner på grund af et cyberangreb af ledelsen af ​​trafikpolitiet holdt op med at udstede rettighederne
  37. Lederen af ​​Europol annoncerede 200 tusinde ofre for et globalt cyberangreb . Interfax (15. maj 2017). Hentet 16. maj 2017. Arkiveret fra originalen 29. maj 2017.
  38. Skaberne af WannaCry-virussen modtog $42.000 som løsesum . Interfax (15. maj 2017). Hentet 16. maj 2017. Arkiveret fra originalen 15. maj 2017.
  39. Putin kaldte skaden fra et verdensomspændende cyberangreb mod Rusland for ubetydelig arkivkopi af 16. maj 2017 på Wayback Machine // Ria Novosti, 15/05/2017
  40. Collins, Keith Se, hvordan disse bitcoin-punge modtager ransomware-betalinger fra det globale cyberangreb . Kvarts . Hentet 14. maj 2017. Arkiveret fra originalen 4. juni 2021.
  41. @actual_ransom tweets . Twitter . Dato for adgang: 19. maj 2017.
  42. WannaCry-udbruddet kan have været på grund af en utilsigtet lækage . SecurityLab.ru (19. juni 2017). Hentet 19. juni 2017. Arkiveret fra originalen 11. september 2017.
  43. Medier: WannaCry-virus angreb Boeing . Hentet 30. marts 2018. Arkiveret fra originalen 30. marts 2018.
  44. Laurent Gayard. Computerangreb af hidtil uset omfang // Darknet. Geopolitik og anvendelser. — Wiley, 2018. — Vol. 2. - S. 123. - ISBN 978-1-78630-202-1 .
  45. Laurent Gayard. Computerangreb af hidtil uset omfang // Darknet. Geopolitik og anvendelser. — Wiley, 2018. — Vol. 2. - S. 124. - ISBN 978-1-78630-202-1 .
  46. Edward Snowden angriber NSA over Ransomware-angreb Arkiveret 21. juli 2018 på Wayback Machine Newsweeks nyhedsmagasin
  47. Behovet for presserende kollektive handlinger for at holde folk sikre online: Lektioner fra sidste uges cyberangreb - Microsoft on the Issues  , Microsoft on the Issues (  14. maj 2017). Arkiveret fra originalen den 16. maj 2017. Hentet 16. maj 2017.
  48. Udvekslingsleder. Regeringer og efterretningstjenester er skyld i angrebet af WannaCry-virussen - Microsoft . www.profi-forex.org Hentet 16. maj 2017. Arkiveret fra originalen 19. maj 2017.
  49. Putin: Amerikanske efterretningstjenester er den primære kilde til globale cyberangreb , Gazeta.Ru . Arkiveret fra originalen den 21. oktober 2017. Hentet 16. maj 2017.
  50. Vladimir Putin kaldte de amerikanske efterretningstjenester for kilden til WannaCry-virussen Arkivkopi dateret 16. maj 2017 på Wayback Machine // Kommersant.ru, 15/05/2017
  51. Patrushev nægtede at lægge skylden for angrebet af WannaCry-virussen på specialtjenesterne Arkivkopi dateret 16. maj 2017 på Wayback Machine // Lenta.ru, 16/05/2017
  52. NSA-lækkende Shadow Brokers har lige dumpet sin mest skadelige udgivelse endnu . Hentet 13. maj 2017. Arkiveret fra originalen 13. maj 2017.
  53. En NSA-afledt ransomware-orm er ved at lukke computere ned over hele verden . Ars Technica . Hentet 13. maj 2017. Arkiveret fra originalen 12. maj 2017.
  54. Ghosh, Agamoni . 'Præsident Trump hvad fanden laver du' siger Shadow Brokers og dump flere NSA-hackingværktøjer , International Business Times UK  (9. april 2017). Arkiveret fra originalen den 14. maj 2017. Hentet 16. maj 2017.
  55. 'NSA malware' udgivet af Shadow Brokers hackergruppe  , BBC News (  10. april 2017). Arkiveret fra originalen den 23. maj 2017. Hentet 16. maj 2017.
  56. Præsidenten for Microsoft talte om sammenhængen mellem udviklingen af ​​NSA og det seneste cyberangreb . Interfax (15. maj 2017). Hentet 17. maj 2017. Arkiveret fra originalen 16. maj 2017.
  57. FANTASTISK. WannaCry og Lazarus Group – det manglende led? . Securelist (15. maj 2017). Hentet 19. maj 2020. Arkiveret fra originalen 1. maj 2020.
  58. 1 2 WannaCry ransomware har links til Nordkorea, siger cybersikkerhedseksperter Arkiveret 16. maj 2017 på Wayback Machine // The Guardian, 15/05/2017
  59. Cybersikkerhedsfirma: flere beviser, at Nordkorea er knyttet til tyveri i Bangladesh . Reuters (3. april 2017). Hentet 17. maj 2017. Arkiveret fra originalen 6. april 2017.
  60. 1 2 Forskere ser mulig Nordkorea-forbindelse til globalt cyberangreb . Hentet 29. september 2017. Arkiveret fra originalen 21. maj 2017.
  61. 1 2 3 UK Cybersecurity Center: WannaCry virus lanceret fra Nordkorea Arkiveret 20. juni 2017 på Wayback Machine // BBC , 06/16/2017
  62. Eric Talmadge . Eksperter sætter spørgsmålstegn ved Nordkoreas rolle i WannaCry cyberangreb  (  12. maj 2017). Arkiveret fra originalen den 10. september 2018. Hentet 2. juni 2018.
  63. 1 2 Nordkorea er mistænkt for at skabe WannaCry-virusets arkivkopi af 3. juli 2017 på Wayback Machine // BBC , 16/05/2017
  64. Europol kan ikke bekræfte, at WannaCry-virussen blev oprettet i DPRK- arkiveksemplaret dateret 17. maj 2017 på Wayback Machine // RIA Novosti, 16/05/2017
  65. Nordkorea betragter påstande om involvering i et globalt cyberangreb som latterlige Arkivkopi dateret 23. maj 2017 på Wayback Machine // Izvestia, 19/05/2017
  66. Præsidenten for Microsoft mener , at DPRK står bag WannaCry- cyberangrebene .
  67. Britiske myndigheder er overbeviste om, at Nordkorea står bag WannaCry-hackerangrebet i maj Arkivkopi af 13. november 2017 på Wayback Machine // RIA Novosti, 27.10.2017
  68. 1 2 3 Skaberen af ​​WannaCry er muligvis en koreansk fan af Lionel Messi . SecurityLab.ru (16. juni 2017). Hentet 20. juni 2017. Arkiveret fra originalen 30. august 2017.
  69. Hackere opsummerede Google-oversætter. Eksperter fastslog nationaliteten af ​​skaberne af WannaCry virus Arkiv kopi dateret 30. juni 2017 på Wayback Machine // Avis, 05/29/2017
  70. 1 2 Eksperter navngav de mulige skabere af WannaCry virus arkivkopi dateret 29. maj 2017 på Wayback Machine // RBC, 05/29/2017
  71. Eksperter anslog skaderne fra WannaCry-virussen til 1 milliard dollars . runews24.ru. Hentet 25. maj 2017. Arkiveret fra originalen 25. maj 2017.
  72. EternalRocks-ormen bruger 7 NSA-benyttelser på én gang . Hentet 25. maj 2017. Arkiveret fra originalen 28. juni 2017.
  73. Leyden, John 7 NSA-hackværktøj, der bruger opfølgende orm, strømmer ud på scenen: Hej, der er ikke behov for nogen phish! (17. maj 2017). Hentet 22. maj 2017. Arkiveret fra originalen 22. maj 2017.
  74. EternalRocks-ormen bruger syv NSA-bedrifter (WannaCry brugte to  ) . CNET. Hentet 23. maj 2017. Arkiveret fra originalen 22. maj 2017.
  75. Ny SMB-orm bruger syv NSA-hackingværktøjer. WannaCry brugte kun  to . Bleeping Computer. Hentet 22. maj 2017. Arkiveret fra originalen 21. maj 2017.
  76. Verma, Adarsh ​​​​EternalRocks: New Malware Uses 7 NSA Hacking Tools, WannaCry Used Only 2 . Fossbytes (23. maj 2017). Hentet 22. maj 2017. Arkiveret fra originalen 27. oktober 2018.

Links

  Gå til Wikidata-elementet  I sociale netværk