213-small.png

Începând de Vineri 12 Mai 2017, numeroase organizații din întreaga lume au fost afectate de o nouă variantă de ransomware, care poartă denumirea de ‘WannaCry’.

 

Descriere:

Această amenințare se propagă prin intermediul unor mesaje email care conțin atașamente și link-uri malițioase, atacatorii utilizând tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele malițioase.

Odată infectată o stație de lucru dintr-o rețea, malware-ul încearcă să se răspândească în interiorul rețelei prin intermediul protocolului SMB, utilizând porturile UDP/37, UDP/138, TCP/139 și TCP/445. Procesul de răspândire se realizează prin exploatarea unei vulnerabilități a protocolului SMBv1 din cadrul Windows, cunoscută ca CVE-2017-0145:

 

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0145

Microsoft a publicat încă din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilității  exploatată de acest ransomware pentru răspândire, cunoscută ca MS17-010:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Impact:

Următoarele sisteme de operare sunt cunoscute ca fiind pasibile de a fi afectate de această amenințare în cazul în care nu au fost actualizate:

 

  • Microsoft Windows Vista SP2
  • Microsoft Windows Server 2008 SP2 și R2 SP1
  • Microsoft Windows 7
  • Microsoft Windows 8.1
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2012 și R2
  • Microsoft Windows 10
  • Microsoft Windows Server 2016
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

 

 

Măsuri de prevenire:

Organizațiile și utilizatorii sistemelor de operare Windows sunt sfătuiți să întreprindă următoarele măsuri:

  1. Actualizarea la zi a sistemelor de operare și aplicațiilor, inclusiv cu patch-ul MS17-010:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx;

  1. Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;

  1. Blocarea porturilor SMB (139, 445) în cadrul rețelei;
  2. Utilizarea unui antivirus actualizat cu ultimele semnături;
  3. Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
  4. Realizarea periodică a unor copii de siguranță (backup) pentru datele importante.

Măsuri de remediere:

În eventualitatea infectării cu ransomware, CERT-RO vă recomandă să întreprindeți de urgență următoarele măsuri:

  1. Deconectarea imediată de la rețea a sistemelor informatice afectate;
  2. Dezinfectați sistemele compromise;
  3. Restaurați fișierele compromise utilizând copiile de siguranță (backup);
  4. Raportați incidentul către CERT-RO la adresa de email Această adresă de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea..

CERT-RO vă recomandă implementarea măsurilor cuprinse în „Ghidul privind combaterea amenințărilor informatice de tip ransomware”, disponibil la adresa:

https://cert.ro/vezi/document/ghid-protectie-ransomware

sursa: cert.ro