Насоки за заштита од “WannaCry” рансомвер

Националниот центар за одговор на компјутерски инциденти (MKD-CIRT) ги препорачува следните проактивни и реактивни мерки за заштита од “WannaCry” рансомвер. Напоменуваме дека се загрозени сите верзии на Windows оперативните системи на кои не се инсталирани најновите безбедносни закрпи.

Проактивни мерки за заштита од “WannaCry” рансомвер:

  • Инсталирање на закрпата за Microsoft оперативните системи, објавена во препораката MS17-010, издадена од Microsoft во март 2017 година.
  • Инсталирање на закрпи на сите Microsoft оперативни системи за кои Microsoft официјално не дава поддршка: Windows XP, Windows Wista, Windows 8 и Windows Server 2003. Закрпите се достапни во делот “Further resources” на следниот линк: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.
  • Надградба на веб-прелистувачите во последната достапна верзија.
  • Задолжително користење на навремено ажурирани антивирусни и анти-малвер алатки.
  • Исклучување на SMBv1 протоклот со следење на чекорите кои се документирани во следниот натпис: Microsoft Knowledge Base Article 2696547.
  • Блокирање на влезниот SMB сообраќај на портите 445 и 139  на рутерот или firewall-от.
  • Контролирање на сите влезни извршни датотеки преку Web/Proxy инфраструктура.
  • Анализа на системите во локалната компјутерска мрежа кои можат да бидат подложни на напад и евентуално изолирање, ажурирање или исклучување на истите.
  • Издвојување и исклучување од мрежата на системите кои немаат поддршка или закрпи од производителот.
  • Како дополнителна опција, постои јавно објавена алатка за превенција на извршување на WannaCry 2.0. https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4491-updated-version-of-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html. Оваа алатка не е наменета за користење кај веќе инфицирани компјутери.
  • Внимателно постапување со сите сомнителни е-маил пораки кои содржат потенцијално злонамерен документ во прилог  или URL во текстот на пораката.
  • Предупредување до сите вработени за внимателно постапување со е-маил пораките
  • Проверка на статусот на системот за чување на безбедносни копии од податоците (анг. backup) и интегритетот на безбедносните копии на податоците.

Реактивни мерки

  • НЕ се препорачува плаќање на откупот!  Нема никакви гаранции дека податоците ќе бидат вратени. Не се препорачува ни било каков обид за контактирање со напаѓачите.
  • Изолација/ исклучување на инфицираниот компјутер од мрежата (притоа, не треба да се заборави безжичната поврзаност), како би се спречило понатамошното ширење на злонамерниот софтвер.
  • Во случај да дојде до инфекција на компјутерот и криптирање на податоците, се препорачува шифрираните податоци да се сочуваат пред да се отстрани злонамерниот програм од компјутерот. Постои можност во поблиска или подалечна иднина да биде пронајден клучот за декрипција, иако нема гаранција за ова. Иако во овој момент нема бесплатен декриптор за овој рансомвер, проверувајте ја веб страницата NoMoreRansom  на која се објавуваат бесплатни декриптори.
  • Се препорачува сосема нова инсталација на оперативниот систем и/или враќање на зачувани податоци од безбедносна копија (анг. backup) и итно инсталирање на најновите безбедносни закрпи и надградби на оперативните системи.

Безбедносни препораки

  • Општо, најдобра заштита од рансомвер е често и веродостојно правење на сигурносни копии на податоците (анг. backup) и чување на истите одвоено од компјутерот на кој се изработуваат
  • Уредот на кој се чуваат безбедносни копии на податоците (анг. backup) треба да биде исклучен од мрежата или системот, затоа што рансомверот се обидува да ги криптира локалните датотеки на хард-дискот, преносните медуми и поврзаните мрежни папки.

Повеќе детали можете да пронајдете на следните линкови

[1]http://cert.europa.eu/static/SecurityAdvisories/2017/CERT-EU-SA2017-012.pdf [2]https://circl.lu/pub/tr-41/ [3] https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html [4] https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacksall-over-the-world/ [5] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx [6] https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign [7] https://krebsonsecurity.com/2017/05/u-k-hospitals-hit-in-widespread-ransomware-attack/ [8] https://support.kaspersky.com/shadowbrokers [9] https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targetsout-of-date-systems/ [10] https://intel.malwaretech.com/botnet/wcrypt [11] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacryptattacks/ [12] https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e [13] https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccncert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html [14] https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/ [15] https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

 

Check Also

Cisco издава лепенка за грешка при киднапирање на VPN со висока сериозност кај безбеден клиент

Cisco објави закрпи за да се справи со безбедносниот пропуст со висока сериозност што влијае …