23

Skąd wziął się ten wirus? Badacze nie odpuszczają WannaCrypt

WannaCrypt, ransomware, który unieruchomił w ostatnim czasie mnóstwo komputerów z Windows na pokładzie udowodnił nam, że nikt nie jest zupełnie bezpieczny, a ponadto - procedury zapewniające najwyższą możliwą ochronę są bardzo potrzebne. Zdumieni działaniem cyberzagrożenia badacze oprócz funkcji, chcą ustalić rodowód złośliwego programu.

Wcześniej pisaliśmy dla Was o tym, że za WannaCrypt prawdopodobnie stoi wesoły, atomowy chłopak z Półwyspu Koreańskiego. To akurat byłoby logiczne z punktu widzenia obecnej sytuacji w tym regionie. Korea Północna jest niezdolna do prowadzenia poważnych działań bojowych, prowokuje swoich sąsiadów oraz „ustawowego wroga” – Stany Zjednoczone kolejnymi testami rakiet balistycznych. Jednak na nic innego obecnie nie stać północnokoreańskiego reżimu, który mimo trwającego tam szaleństwa zapewne zdaje sobie sprawę, że przewaga wroga jest miażdżąca. Stąd też, postanowił uprzykrzyć życie zachodowi w taki sposób, który naprawdę zaboli.

Wcześniejsze rewelacje na ten temat zalecaliśmy traktować z dużą dozą ostrożności i z najnowszymi ustaleniami prosimy zrobić to samo. Najnowsza analiza według badaczy z Flashpoint wskazuje na to, że WannaCrypt może pochodzić z Państwa Środka. Dokonano analizy wersji językowych wirusa, który rozprzestrzeniał się po świecie. Już sam fakt, iż pojawił się on w różnych lokalizacjach jest zastanawiający i widać w tym bardzo dobrze umotywowane, intencjonalne działanie. Najciekawsze jest jednak to, w jaki sposób użyto konkretnych języków.

wannacrypt

Bo twórcy WannaCrypt poliglotami nie byli…

Ale na pewno potrafią władać językiem chińskim. WannaCrypt został stworzony w 28 językach po to, aby dla każdego zaatakowanego użytkownika, instrukcje co do płatności okupu były zrozumiałe. W ogromnej większości przypadków były to bardzo kalekie tłumaczenia za pomocą mechanizmu Google, który jest często wykorzystywany do szybkiego zlokalizowania tekstów osadzonych w programach / Internecie. Jakość tego typu operacji często pozostawia bardzo dużo do życzenia i właśnie to zwróciło uwagę badaczy z Flashpoint.

Jedynie angielska oraz chińska wersja wirusa mogły się poszczycić bezbłędnym tekstem wewnątrz programu. Co do chińskiego (a właściciwe: standardowego języka mandaryńskiego), eksperci wykazali, iż tworzący tekst świetnie rozumiał, o czym pisze i jedynie osoba, która urodziła się w tym kraju mogłaby znać go na takim poziomie. Sprawdzono również wersję koreańską, ta okazała się być niedokładnym tłumaczeniem z języka angielskiego. To pozwoliło badaczom stwierdzić, że niewykluczony w tym wszystkim jest chiński rodowód zagrożenia.

Ale według nich to jeszcze o niczym nie przesądza. Mogło być bowiem tak, że z powodu braku ludzi oraz narzędzi, północnokoreański reżim zwyczajnie zlecić napisanie programu. Albo, taka zagrywka ze strony KRLD była celowa, aby ukryć tożsamość sprawcy ataku. Jak na razie, wiele wskazuje mimo wszystko na kraj we władaniu Kim Dzong Una, przeanalizowano próbki kodu i porównano z innymi, zidentyfikowanymi cyberzagrożeniami. Z dużą dozą prawdopodobieństwa stwierdzono, iż to właśnie najbardziej zapalny region Dalekiego Wschodu może być miejscem narodzin WannaCrypt.