WannaCry je škodlivý software, konkrétně ransomware, který se šíří prostřednictvím internetu a napadá počítače. Tento software byl objeven v roce 2017 a v krátké době napadl tisíce počítačů po celém světě.

WannaCry šifruje soubory na infikovaném počítači a požaduje výkupné za jejich odemčení. Tento software je velmi nebezpečný a může způsobit velké škody na počítačích a sítích.

Historie WannaCry

WannaCry byl objeven v roce 2017. Jeho útok začal 12. května 2017 v 07:44 UTC a byl zastaven o několik hodin později v 15:03 UTC. Měl v sobě zabudovanou funkci „kill switch“, kterou objevil Marcus Hutchins. Kill switch zabránil zašifrování již infikovaných počítačů nebo dalšímu šíření WannaCry.

Odhaduje se, že útok zasáhl více než 300 000 počítačů ve 150 zemích, přičemž celkové škody se pohybovaly v řádech stovek milionů až miliard USD. Bezpečnostní experti se na základě předběžného vyhodnocení červa domnívali, že útok pochází ze Severní Koreje nebo od agentur pracujících pro tuto zemi.

V následujících měsících a letech byly zveřejněny další informace o tom, jakým způsobem WannaCry napadal počítače a jakým způsobem byl distribuován.

Nová varianta viru WannaCry donutila v srpnu 2018 společnost Taiwan Semiconductor Manufacturing Company (TSMC) dočasně uzavřít několik továren na výrobu čipů. Virus se rozšířil na 10 000 strojů v nejmodernějších zařízeních společnosti TSMC.

Co je WannaCry

WannaCry je ransomwarový cryptoworm, který se zaměřuje na počítače s operačním systémem Microsoft Windows, zašifroval (zablokoval) data a požadoval výkupné v kryptoměně Bitcoin. Červ je známý také pod názvy WannaCrypt, Wana Decrypt0r 2.0, WanaCrypt0r 2.0 a Wanna Decryptor.

Je považován za síťového červa, protože obsahuje také transportní mechanismus, který se automaticky šíří. Tento transportní kód vyhledává zranitelné systémy, poté využívá k získání přístupu exploit EternalBlue a nástroj DoublePulsar k instalaci a spuštění své kopie. Verze WannaCry 0, 1 a 2 byly vytvořeny pomocí Microsoft Visual C++ 6.0..

Po spuštění malware WannaCry nejprve zkontroluje název domény, který je „kill switch“. Pokud není nalezen, ransomware zašifruje data počítače, poté se pokusí zneužít zranitelnost SMB k rozšíření na náhodné počítače na internetu a intranetu.

Stejně jako u jiných moderních ransomwarů zobrazí payload zprávu informující uživatele o tom, že jeho soubory byly zašifrovány, a požaduje platbu ve výši přibližně 300 USD v bitcoinech do tří dnů nebo 600 USD do sedmi dnů, přičemž varuje „you have not so enough time. [sic]“.

K přijímání plateb obětí slouží tři pevně zakódované bitcoinové adresy neboli peněženky. Stejně jako u všech takových peněženek jsou jejich transakce a zůstatky veřejně přístupné, i když majitelé kryptoměnových peněženek zůstávají neznámí.

Tyto peněženky jsou:

• 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 (celkem 143 transakcí, 20,07 BTC získáno)
• 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw (celkem 246 transakcí, 19,69 BTC získáno)
• 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn (celkem 124 transakcí, 14,87 BTC získáno)