Wannacry ransomware atac: 3 lucruri cruciale de știut

Atacurile Ransomware, care poartă numele de WannaCry, au fost raportate vineri de către experți din domeniul securității cibernetice și au fost emise mai multe avertismente pentru a implica măsuri de securitate sporite pe dispozitivele conectate la internet, deoarece este așteptat un al doilea val de atacuri săptămâna aceasta.

Atacurile ransomware - un truc de hacker vechi de zece ani - au lovit în mare măsură Rusia, Ucraina, Spania, Marea Britanie și India.

Alte țări, inclusiv SUA, Brazilia, China, printre altele din America de Nord, America Latină, Europa și Asia, au fost lovite de atacul ransomware.

Ransomware-ul criptează fișierele pe un dispozitiv folosind extensia '.wcry' și este inițiat printr-o execuție de cod la distanță SMBv2 (Server Message Block Version 2).

Citiți și: Ce este Ransomware și cum să vă protejați împotriva lui? și Smartphone-ul este vulnerabil la atacul WannaCry Ransomware?

Echipa globală de cercetare și analiză Kaspersky Lab a subliniat că „calculatoarele Windows nepatificate care își expun serviciile SMB pot fi atacate de la distanță” și „această vulnerabilitate pare a fi cel mai important factor care a provocat focarul”.

Grupul de hackeri Shadow Brokers este raportat ca fiind responsabil pentru punerea la dispoziție a software-ului rău intenționat pentru a efectua acest atac pe 14 aprilie.

Cât de răspândit este atacul?

Impactul complet al acestui atac este încă necunoscut, deoarece experții în securitate cibernetică se așteaptă ca valuri suplimentare de atac să lovească mai multe sisteme.

Potrivit unui raport publicat în New York Times, atacul a preluat controlul a peste 200.000 de computere din peste 150 de țări.

Companiile și agențiile guvernamentale, inclusiv ministerele rusești, FedEx, Deutsche Bahn (Germania), Telefonica (Spania), Renault (franceza), Qihoo (China) și Serviciul Național de Sănătate din Marea Britanie au fost afectate.

Echipa spaniolă de intervenție în caz de urgență (CCN-CERT) a solicitat, de asemenea, o alertă ridicată în țară, deoarece spune că organizațiile ar fi putut fi afectate de ransomware.

„Programul rău intenționat WannaCrypt s-a răspândit rapid la nivel mondial și este extras din exploatările furate de la NSA din SUA. Microsoft a lansat o actualizare de securitate pentru a remedia această vulnerabilitate, dar multe computere au rămas nepatronate la nivel global ”, a declarat Microsoft.

Următoarele programe software au fost afectate până acum:

• Windows Server 2008 pentru sisteme pe 32 de biți
• Windows Server 2008 pentru sisteme pe 32 de biți Service Pack 2
• Windows Server 2008 pentru sisteme bazate pe Itanium
• Windows Server 2008 pentru sistem de pachete 2 bazate pe Itanium
• Windows Server 2008 pentru sisteme bazate pe x64
• Windows Server 2008 pentru sistemele de pachete 2 bazate pe x64
• Windows Vista
• Service pack Windows Vista 1
• Service-ul Windows Vista 2
• Windows Vista x64 Edition
• Service Pack 1 pentru Windows Vista x64 Edition
• Service Pack 2 pentru Windows Vista x64 Edition
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 și R2
• Windows 10
• Windows Server 2016

Cum afectează sistemele?

Programul malware criptează fișierele care conțin extensii de birou, arhive, fișiere media, baze de date de e-mail și e-mailuri, cod sursă pentru dezvoltatori și fișiere de proiect, fișiere grafice și imagine și multe altele.

Un instrument de decriptor este, de asemenea, instalat împreună cu malware-ul, care ajută la realizarea valorii de răscumpărare în valoare de 300 de dolari solicitate în Bitcoins, precum și la decriptarea fișierelor după efectuarea plății.

Instrumentul de decriptor rulează două cronometre - un cronometru de 3 zile, după care este indicat că răscumpărarea va crește și un cronometru de 7 zile care indică timpul rămas înainte ca fișierele să fie pierdute pentru totdeauna.

Având în vedere că instrumentul software are capacitatea de a traduce textul său în mai multe limbi, este evident că atacul este vizat la nivel global.

Pentru a vă asigura că instrumentul decriptor este găsit de utilizator, programul malware modifică și tapetul computerului afectat.

Cum să stai în siguranță?

• Asigurați-vă că baza de date a software-ului dvs. antivirus este actualizată și vă protejează sistemul în timp real și rulați o scanare.
• Dacă este detectat programul malware: Trojan.Win64.EquationDrug.gen, asigurați-vă că este eliminat în carantină și șters și reporniți sistemul.
• Dacă nu ați făcut-o deja, este recomandat să instalați patch-ul oficial Microsoft - MS17-010 - care atenuează vulnerabilitatea SMB exploatată în atac.
• De asemenea, puteți dezactiva SMB-ul de pe computer utilizând acest ghid de Microsoft.
• Organizațiile pot izola porturile de comunicații 137 și 138 UDP și porturile 139 și 445 TCP.

Sistemele din SUA au fost securizate în mod accidental

Un cercetător britanic în securitate de 22 de ani a închis din greșeală malware-ul să se răspândească în rețelele din SUA, când a cumpărat domeniul de comutare al malware-ului, care nu a fost încă înregistrat.

Imediat ce site-ul a fost live, atacul a fost oprit. Puteți citi raportul său complet aici despre cum a dezvăluit comutatorul de ucidere pentru malware și, în cele din urmă, l-a închis.

Citiți și: Acest defect critic de securitate pentru Android rămâne nefixat de Google.

„A existat deja o altă variantă a ransomware-ului, care nu are un comutator de ucidere, ceea ce face dificilă conținerea. A început deja să infecteze țările din Europa ”, a declarat Sharda Tickoo, șef tehnic, Trend Micro India.

Încă nu se știe cine este responsabil pentru atac și speculațiile au arătat către Shadow Brokers - care sunt, de asemenea, responsabili de eliberarea de malware online - sau de mai multe organizații de hacking.

Urmăriți videoclipul GT Hindi pentru Wannacry / Wannacrypt Ransomware de mai jos.