V Česku WannaCry napadl méně než 200 počítačů

Na rozdíl od většiny ransomwaru se šíří jako virus využívající neaktualizované zranitelnosti v systému.

V zahraničí zasáhl nemocnice či výrobní závody. Nejsilněji byli zasaženi uživatelé v Rusku, Ukrajině a Tchaj-wanu. Následně se objevila nová verze, která neobsahuje deaktivační mechanismus, ale jinak jde o stejný a tedy detekovatelný ransomware.

WannaCry se v první fázi šíří tradiční cestou a to jako infikovaná příloha poměrně běžného spamového emailu. Pokud tuto přílohu uživatel otevře a nemá spolehlivou antivirovou ochranu, nakazí se tímto ransomwarem. Ten se ale začne posléze sám šířit v lokální síti a to i bez aktivní účasti uživatele. WannaCry zneužívá chyby v operačním systému Microsoft Windows a šíří se jako síťový červ. Až do doby, kdy se spustí a zašifruje data, jej tak běžný uživatel nemusí vůbec zaznamenat.

České republiky se tato aktuální kampaň dotkla poměrně okrajově. Za první víkend jsme evidovali méně než dvě stovky zasažených zařízení. Nezaznamenali jsme zatím ani žádnou významnou instituci, kterou by malware alespoň částečně ochromil. Důvody, proč se WannaCry v tuzemsku nešířil více, jsou v tuto chvíli známé dva. Tím prvním je velmi brzká detekce hrozby, která zamezila větším škodám. Tím druhým je, že Česká republika pravděpodobně nebyla primárním cílem útoku.

Autor: Robert Šuman, vedoucí pražského detekčního a analytického týmu společnosti Eset