Ransomware Wannacry – jak się ustrzec?

WannaCry (inne nazwy WCry, WannaCrypt, WanaCrypt0r) to ransomware, o którym ostatnio jest głośno. Jest bardzo skutecznym w swoim działaniu, które 12 maja swoim zasięgiem objęło ponad 150 krajów i 300 tysięcy komputerów z systemem operacyjnym Windows.

Na liście ofiar jest już sporo firm i instytucji, m.in.: brytyjska służba zdrowia, Nissan, Telefonica, FedEx, rosyjskie banki i koleje państwowe, indyjskie linie lotnicze Shaheen Airlines oraz włoskie uniwersytety. NPodobno na razie za odblokowanie komputera zdecydowało się zapłacić zaledwie około 200 osób, a całkowita suma wpłat wynosi nieco ponad 33 tysięcy dolarów – czyli jak na wielki szum wokół tego wirusa – nie aż tak wiele.

Żródło: Wikipedia z 16 maja

Zalecamy jak najszybszą aktualizację maszyn działających pod kontrolą systemów operacyjnych starszych niż Windows 10 poprawką z biuletynu Microsoft MS17-010. W przypadku braku możliwości aktualizacji zachęcamy do wyłączenia obsługi protokołu SMBv1.

Exploit EternalBlue

Złośliwe oprogramowanie propaguje się za pomocą exploita o nazwie kodowej EternalBlue opracowanego przez amerykańską agencję bezpieczeństwa (NSA). EternalBlue wykorzystuje lukę w obsłudze protokołu Microsoft Server Message Block 1.0 (SMBv1) pozwalającą na zdalne wykonanie dostarczonego kodu na komputerze ofiary. W ten sposób instalowana jest tylna furtka Double Pulsar, również z pakietu NSA. 14 marca 2017 Microsoft udostępnił zestaw poprawek łatających podatności wykorzystywane w udostępnionym wycieku.

Przestępcy stojący za WannaCry skorzystali z faktu, że dla wielu osób instalacja poprawek jest uciążliwa lub w ich odczuciu nic nie zyskują na ich instalacji, czyniąc z niezaaktualizowanych systemów, ofiary oraz propagatory dalszych infekcji. Taki sposób rozprzestrzeniania się złośliwego oprogramowania nie jest nowy – wykorzystywany był już w 1988 roku przez pierwszego internetowego robaka o nazwie Morris Worm.

3 wersje

Aktualnie znane są trzy wersje WannaCry:

    • Wersja pierwsza – wyłącznik: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (zarejestrowana przez @MalwareTechBlog)
    • Wersja druga – wyłącznik: ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com (zarejestrowana przez @msuiche)
    • Wersja trzecia – brak wyłącznika, próbka uszkodzona (nie następuje proces szyfrowania, jedynie propagacja)

Jak się chronić?

Co zrobić, aby zminimalizować ryzyko zainfekowania naszego komputera?

  1. Uaktualnić system, pobrać oficjalne łatki od Microsoftu
  2. Zrobić kopię zapasową danych – tutaj dobrze sprawdzi się EaseUS Todo Backup
  3. Włączyć automatyczne aktualizacje w Windowsie
  4. Ignorować emaile od nieznanych osób, nie otwierać załączników.
  5. Przeskanować cały system programem antywirusowym. Po wykryciu malware o nazwie MEM:Trojan.Win64.EquationDrug.gen zrestartować system. Upewnić się, że poprawki od Microsoftu zostały zainstalowane.
  6. Najlepiej wyłączyć protokół SMBv1 w Windowsie.
  7. Zrobić sobie back-up.

Co robić jak już jest się zaatakowanym?

Twórcy ransomware żądają 300 dolarów płatnych w bitcoinach. Oczywiście nie mamy żadnej pewności, że cokolwiek po uiszczeniu opłaty zostanie nam odszyfrowane. Groźbą ma być  w przypadku braku wpłaty usunięcie danych 19 maja. Co więc zrobić?

  1. Nie płacić hakerom – to tylko ośmiela ich do dalszych kroków
  2. Najlepiej wymazać zawartość dysku twardego – wgrać świeżą instalację Windowsa
  3. Przywrócić wszystkie ustawienia do stanu poprzedniego
  4. Użyć programu do odzyskiwania danych, np. EaseUS Data Recovery Wizard

O programie EaseUS do odzyskiwania danych pisaliśmy już nieraz, potrafi uratować życie w trudnych sytuacjach, dlatego tym bardziej warto go mieć pod ręką w takich sytuacjach.

Oby ich było jak najmniej!

 

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *