Novinky

Rozsáhlé útoky ransomwaru WannaCry

Útoky  i v České republice

Od pátku se šíří ransomware s názvem WannaCry (Wana Decrypt0r, WCry, WannaCry, WannaCrypt, WanaCrypt0r). Poprvé byl zaznamenán v pátek dopoledne a během pár hodin se velice rychle rozšířil po celém světě. V pátek odpoledne útok na své počítače oznámily také některé velké instituce a společnosti. Útoky byly v menší míře zaznamenány i v České republice. Další šíření ransomwaru bylo zpomaleno díky registraci tzv. kill-switch domény, jejíž neexistencí ransomware při svém běhu podmiňoval další šíření. Nyní se už ale objevují nové mutace obsahující i další domény a dá se tedy očekávat, že množství útoků během pondělí opět vzroste.

Útok zneužívá kritickou zranitelnost protokolu Windows SMB, která byla společností Microsoft opravena v rámci bezpečnostních aktualizací v polovině března. Dodatečně Microsoft vydal v sobotu 13. května aktualizace i pro starší operační systémy, které již nejsou podporovány, jako Windows XP, Windows Server 2003/2008 a další.

V případě, že je stanice tímto ransomwarem infikována, zobrazí se uživateli na obrazovce upozornění a zároveň jsou ransomwarem zašifrována všechna uživatelská data. V tuto chvíli bohužel neexistuje možnost zpětného dešifrování těchto dat. Není ovšem doporučeno ani zaplacení výkupného, navrácení dat není ani v takovém případě zaručeno.

Pro prevenci napadení ransomwarem WannaCry, přikládáme některá doporučení:

V prvé řadě je nezbytné nainstalovat aktualizace ošetřující bezpečnostní chyby, které WannaCry zneužívá - zde pro aktuální OS, zde i pro starší OS jako Windows XP, Server 2003/2008. Ransomware se šíří v lokální sítí pomocí protokolu Windows SMB, který pracuje na portu 445. Jako jednu z možností prevence šíření je proto možné doporučit blokování portu 445 u vstupu do sítě, případně kompletní vypnutí podpory SMBv1, které chybu obsahuje. Výzkumníky byly identifikováy tzv. kill-switch domény viz seznam zde. Je proto nutné, aby tyto domény byly ze sítě dostupné. Pozor, pokud používáte proxy server, ransomware není “proxy-aware”.

zdroj: https://www.csirt.cz

 

Další užitečné zdroje:

https://www.eset.com/cz/o-nas/pro-novinare/tiskove-zpravy/komentar-eset-wannacry/?utm_source=newsletter&utm_medium=mailing&utm_campaign=np99&utm_content=wannacry

https://www.us-cert.gov/ncas/alerts/TA17-132A

https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all

https://isc.sans.edu/forums/diary/WannaCryWannaCrypt+Ransomware+Summary/22420/

https://blog.kaspersky.com/wannacry-ransomware/16518/

https://www.bleepingcomputer.com/news/security/with-the-success-of-wannacry-imitations-are-quickly-in-development/

https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

https://www.f-secure.com/v-descs/trojan_w32_wannacryptor.shtml

https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt

 

MicrosoftFujitsuEpsonOKIZyXELSeyfor