Didžiausia istorijoje Ransomware (WannaCry) ataka plinta Windows operacinėse sistemose (atnaujinta – 15 d. 09.52 val.)

Gegužės 12 d. pastebėtas itin spartus vieno išpirkos reikalaujančio viruso (angl. Ransomware) plitimas. Kaip ir įprasta šio tipo kenkėjiškoms programoms, WannaCry pavadintas virusas pradžioje plinta el. laiškais. Vartotojas, gavęs laišką su užkratu, įtikinėjamas atidaryti kartu prisegtą bylą (angl file), kurią atidarius, kenkėjiška programa užrakina kompiuteryje esančias bylas ir prašo sumokėti išpirką Bitcoin elektronine valiuta už jų atgavimą. Apkrėtęs vieną kompiuterį, virusas toliau plinta vietiniame tinkle SMB protokolu TCP prievadu 445.

Žalingas kodas plinta Windows operacinėse sistemose, pasinaudodamas naujai atrastomis spragomis SMB protokole (nuo CVE-2017-0143 iki CVE-2017-0148). Microsoft dar kovo 14 d. išleido pataisas šiom spragoms ištaisyti (MS17-010), tad aukomis tapo savo operacinių sistemų iki šiol neatnaujinę vartotojai. Per keletą valandų buvo žinoma apie dešimtis tūkstančių apkrėstų kompiuterių visame pasaulyje, o šiandien jų skaičius jau perkopė 237 tūkst. Tarp nukentėjusiųjų – akademinės institucijos, ligoninės ir net traukinių stotys.

Rekomendacijos

  • Atnaujinti savo Windows operacinę sistemą iki naujausios versijos (MS17-010).
  • Senesnių operacinių sistemų (Windows XP, Windows 8 ir Windows Server 2003) naudotojams būtina įdiegti naujausią pataisą, kurią rasite adresu https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  • Pažeidžiamose sistemose, kuriose nėra galimybės įdiegti išleistų pataisų, turėtų būti išjungtas SMBv1 palaikymas. Kaip tai padaryti skaitykite šioje nuorodoje: https://support.microsoft.com/en-us/help/2696547
  • Izoliuoti komunikaciją organizacijų tinkluose TCP prievadu 445.
  • Jeigu aukščiau išvardintų priemonių pritaikyti pažeidžiamoms sistemoms galimybės nėra, prietaisus patariame išjungti kol tokia galimybė atsiras.

Viena iš priemonių apsaugoti kompiuterius – suteikti galimybę prisijungti prie šių interneto vardų 80 prievadu (šie interneto vardai neturėtų būti blokuoti ugniasienėje):

  • www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Antivirusų programinės įrangos kūrėjai nuolat atnaujina savo apsaugos priemonių galimybes, todėl šio tipo programų atnaujinimas taip pat pagelbėtų apsisaugant nuo pavojų. Reikėtų nepamiršti, kad svarbių duomenų kopijos atskirose laikmenose yra geriausias būdas išsaugoti savo informaciją netikėtiems atvejams.

Jeigu sistema jau pažeista, o atsarginių duomenų kopijų nėra, prieš išvalant sistemą, patariama išsaugoti apkrėstas bylas, nes ateityje gali būti išleistas viešas raktas byloms atrakinti. Tokios garantijos vis tik nėra, kaip ir nėra garantijos, jog atgausite savo duomenis, sumokėję išpirką.

Susidurus su problemomis kreipkites į INsecure specialistus.
Plačiau skaityti čia: CERT-EU-SA2017-012.pdf
Share

Komentarai (No Responses )

No comments yet.

Parašykite komentarą

Brukalų kiekiui sumažinti šis tinklalapis naudoja Akismet. Sužinokite, kaip apdorojami Jūsų komentarų duomenys.