“Hiiglaslik laine”

Kui Suurbritannia Fedexi arvutisüsteeme tabas lunavara nõue, on teadete kohaselt USAs Fedexis kästud kõikidel töötajatel mitte-kriitilise tähtsusega Windowsi arvutid välja lülitada.

Ühe viirusetõrje ettevõtte Avast andmetel on kõige enam on lunavara aktiveerumise kohta teateid Venemaalt, Ukrainast ja Taiwanist. Ettevõtte analüütikute hinnangul on tegu hiiglasliku lunavara leviku lainega. Kokku on kõigest see üksainus antiviiruse ettevõte saanud 57 000 teadet lunavara aktiveerumisest.

Venemaal on ühe allika teate järgi viirusepuhangu tõttu siseministeeriumi arvutivõrk osaliselt välja lülitatud. Samuti on riigis kõvasti pihta saanud suuruselt teine mobiilsideoperaator Megafon.

Saksamaal on märkas näiteks Frankfurdis ühistranspordis reisija avalikul ekraanil teadet selle kohta, et teenusepakkuja süsteemi on sama lunavara üle võtnud.

Just got to Frankfurt and took a picture of this… #Sbahn, you got a #Ransomware! pic.twitter.com/w0DODySL0p

— Marco Aguilar (@Avas_Marco) May 12, 2017

Hispaania telekomi andmed krüpteeritud

El Mundo allikate sõnul on suure Hispaania telekomi Telefonica arvutitest 85% krüpteeritud. Firma arvutite ekraanil on teade “Ooops, your files have been encrypted!”, mis sarnaneb Suurbritannias leviva lunavaraga. BBC teatel on lunavara lainega pihta saanud ka näiteks energeetika- ja taristuettevõtted Iberdrola ning Gas Natural.

WannaCry lunavara

Kuigi detaile eri riikides juhtunud intsidentide kohta veel täpselt pole, on esimeste muljete järgi tegu sama viirusega.

Hispaania küberintsidentide lahendamise üksus CN-CERT teatas, et lunavara on versioon viiruses WannaCry. Programm krüpteerib nakatunud arvutis kõik failid ja kasutab järgmiseks ära SMB protokollis olevat haavatavust, millega levib edasi samas võrgus olevatele Windowsiga arvutitele.

Microsoft väljastas küll 14. märtsil Windowsi SMB serveri turvauuenduse MS17-010, kuid WannaCry versiooni laiaulatuslik levik on tõendiks, et uuendust pole väga paljudes arvutites paigaldatud.

Pole tõendeid, et keegi teadlikult ja tahtlikult erinevaid arvuteid sihiks, kuna viirus levib automaatselt. Ühe teate järgi jõudis viirus ettevõtte sisevõrku kontorisse toodud sülearvutiga, kust see levis kulutulena kõikidesse arvutitesse, milles polnud eelnimetatud turvauuendust.

Mõned turvauurijad on juba väitnud, et tegu on algupäraselt USA luureagentuuri NSA “tööriistakastist” pärineva vahendiga. Nimelt lekitas mõni aeg tagasi end Shadow Brokeriks kutsuv grupeering hulga materjali ja infot arvutisüsteemide haavatavuste kohta, mida NSA olevat kasutanud luureoperatsioonidel. Üks neist vahenditest oligi haavatavus Windowsis, mida nüüd WannaCry lunavara ära kasutab.

Markantseks teeb praeguse puhangu siiski see, et turvauuendus selle vea vastu oli juba ligi kaks kuud saadaval.

Bitcoinid kuhjuvad kontodele

Lunavara nõue on seotud kindlate Bitcoini kontodega, kuhu on juba lunamaksed kuhjumas.

Rumeenia arvutiturbe ekspert Costin Raiu märkis, et lunavaranõue, mille viirus arvutikasutajale esitab, on näiteks nii rumeenia kui ka hispaania keeles üllatavalt täpne, kuid siiski mitte emakeelse autori poolt kirjutatud. Vigane on ka ingliskeelne lunavaranõue. Vene turvaekspertide sõnul on venekeelne tekst aga kirjutatud korrektselt.

Eestist teateid pole

Riigi infosüsteemi ameti arvutiturbe intsidentide üksus CERT-EE teatas, et reede õhtuse seisuga Eestist antud lunavara kohta teateid pole. Kui seda peaks Eestis tuvastatama, ootab CERT-EE selle kohta teateid cert@cert.ee.