Ransomware WannaCry ataka


Gegužės 12 d. visame pasaulyje užfiksuota masinė kibernetinė ataka, kurios metu jau įsilaužta į daugiau nei 230 tūkst. kompiuterių. „WannaCry“ pavadintas virusas pradžioje plinta el. laiškais. Vartotojas, gavęs apgaulingą (angl. „phishing“) laišką su užkratu, įtikinėjamas atidaryti jame prisegtą failą, kuris gali būti Word, Excel ar PowerPoint tipo. Atidarius užkrėstą failą, kenkėjiška programa užrakina kompiuteryje esančias bylas ir prašo sumokėti išpirką Bitcoin elektronine valiuta už jų atgavimą.
Visame pasaulyje WannaCry ir WannaCry2 virusas platinamas dvidešimčia kalbų, tad sklinda labai greitai.
Žalingas kodas plinta Windows operacinėse sistemose, pasinaudodamas naujai atrastomis spragomis SMB protokole (nuo CVE-2017-0143 iki CVE-2017-0148). Microsoft dar kovo 14 d. išleido pataisas šiom spragoms ištaisyti (MS17-010), tad aukomis tapo savo operacinių sistemų iki šiol neatnaujinę vartotojai.

Rekomendacijos:

  • Jeigu Jūsų kompiuteryje nėra įdiegto minėto atnaujinimo, jokiu būdu neatidarinėkite jokių gaunamų „Microsoft Office“ failų (pvz., „Word“, „PowerPoint“, „Excel“)
  •  Skubiai būtina atnaujinti savo „Windows“ operacinę sistemą iki naujausios versijos (MS17-010) – https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
    Senesnių operacinių sistemų („Windows XP“, „Windows 8“ ir „Windows Server 2003“) naudotojams būtina įdiegti naujausią pataisą, kurią rasite adresu https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  •  Pažeidžiamose sistemose, kuriose nėra galimybės įdiegti išleistų pataisų, turėtų būti išjungtas SMBv1 palaikymas. Kaip tai padaryti, skaitykite šioje nuorodoje: https://support.microsoft.com/en-us/help/2696547
  •  Kiekviename kompiuteryje naudoti naujausią antivirusinę programinę įrangą su visais naujausiais atnaujinimais    „Windows“ aplinkoje stengtis naudoti automatinius atnaujinimų gavimo būdus
  • Jeigu aukščiau išvardintų priemonių pritaikyti pažeidžiamoms sistemoms nėra galimybės, prietaisus patariame išjungti, kol tokia galimybė atsiras

Jeigu sistema jau pažeista, o atsarginių duomenų kopijų nėra, prieš išvalant sistemą, patariama išsaugoti užšifruotus duomenis, nes ateityje gali būti išleistas viešas raktas failams atrakinti. Tokios garantijos vis tik nėra, kaip ir nėra garantijos, jog atgausite savo duomenis, sumokėję išpirką.

Parengta pagal CERT-LT straipsnį: https://www.cert.lt/naujienos/didziausia_istorijoje_ransomware_ataka_plinta_wind.html

CERT EU pranešimas: https://www.cert.lt/doc/CERT-EU-SA2017-012.pdf