Mokymai

Didžiausia istorijoje Ransomware (WannaCry) ataka plinta Windows operacinėse sistemose (atnaujinta - 05-19)

2017-05-13

Gegužės 12 d. pastebėtas itin spartus vieno išpirkos reikalaujančio viruso (angl. Ransomware) plitimas. Kaip ir įprasta šio tipo kenkėjiškoms programoms, WannaCry pavadintas virusas pradžioje plinta el. laiškais. Vartotojas, gavęs laišką su užkratu, įtikinėjamas atidaryti kartu prisegtą bylą (angl file), kurią atidarius, kenkėjiška programa užrakina kompiuteryje esančias bylas ir prašo sumokėti išpirką Bitcoin elektronine valiuta už jų atgavimą. Apkrėtęs vieną kompiuterį, virusas toliau plinta tiek vietiniame, tiek pasauliniame tinkle pažeidžiamu SMB protokolu TCP prievadu 445.

 



Atnaujinta 2017.05.19

Windows XP operacinių sistemų naudotojams atsirado galimybė atgauti savo duomenis. Jeigu po duomenų užšifravimo neperkrovėte kompiuterio, galite išmėginti naują priešnuodį, kuris gali atstatyti jūsų failus.

Atsisiųsti programą ir jos naudojimo instrukciją rasite adresu:
https://github.com/aguinet/wannakey
 

Atnaujinta 2017.05.18

Informuojame, kad internete pasirodė naujų virusų atmainų, išnaudojančių SMBv1 ir SMBv2 protokolų spragas. Kitaip nei WannaCry, saugumo ekspertai šio viruso plitimo sustabdyti, registruodami reikiamą domeną, negalės, nes kenkėjiškas kodas tam atsparus. Visgi išlieka tokie paties priešnuodžiai paprastam vartotojui - atnaujinti Windows sistemas, blokuoti atitinkamus prievadus arba išjungti SMB protokolo palaikymą.

Taip pat įspėjame, kad el. laiškais platinamas apgaulingas Microsoft pranešimas apie būtinybę įsidiegti Windows MS17-10 pataisą. Laiške pateikiama nuoroda į suklastotą bylą - virusą. Primename, kad neatidarinėtumėte jokių bylų iš nežinomų siuntėjų bei laiku pasirūpintumėte savo saugumu - susikurkite svarbių duomenų kopijas atskirose laikmenose ir laikykite jas atjungtas nuo kompiuterio, atnaujinkite savo operacines sistemas, kitas naudojamas programas bei antivirusines. 
 

Žalingas kodas plinta Windows operacinėse sistemose (versijose nuo Windows XP iki Windows 8.1, versija Windows 10 - nepažeidžiama), pasinaudodamas naujai atrastomis spragomis SMB protokole (nuo CVE-2017-0143 iki CVE-2017-0148). Microsoft dar kovo 14 d. išleido pataisas šiom spragoms ištaisyti (MS17-010), tad aukomis tapo savo operacinių sistemų iki šiol neatnaujinę vartotojai. Per keletą valandų buvo žinoma apie dešimtis tūkstančių apkrėstų kompiuterių visame pasaulyje, o šiandien jų skaičius jau perkopė 237 tūkst. Tarp nukentėjusiųjų - akademinės institucijos, ligoninės ir net traukinių stotys.

Rekomendacijos
  • Atnaujinti savo Windows operacinę sistemą iki naujausios versijos (MS17-010).
  • Senesnių operacinių sistemų (Windows XP, Windows 8 ir Windows Server 2003) naudotojams būtina įdiegti naujausią pataisą, kurią rasite adresu https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  • Pažeidžiamose sistemose, kuriose nėra galimybės įdiegti išleistų pataisų, turėtų būti išjungtas SMBv1 palaikymas. Kaip tai padaryti skaitykite šioje nuorodoje: https://support.microsoft.com/en-us/help/2696547
  • Izoliuoti komunikaciją organizacijų tinkluose TCP prievadu 445. Taip pat NetBIOS prievadais 137-139 bei RDP prievadu 3389, siekiant apsaugoti kitus prietaisus tinkle. 
  • Jeigu aukščiau išvardintų priemonių pritaikyti pažeidžiamoms sistemoms galimybės nėra, prietaisus patariame išjungti kol tokia galimybė atsiras.

Viena iš priemonių apsaugoti kompiuterius - suteikti galimybę prisijungti prie šių interneto vardų 80 prievadu (šie interneto vardai neturėtų būti blokuoti ugniasienėje):
  • iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • iuqerfsodp9ifjaposdfjhgosurijfaewrwergweb[.]com
  • ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com
  • lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea[.]com

Antivirusų programinės įrangos kūrėjai nuolat atnaujina savo apsaugos priemonių galimybes, todėl šio tipo programų atnaujinimas taip pat pagelbėtų apsisaugant nuo pavojų. Reikėtų nepamiršti, kad svarbių duomenų kopijos atskirose laikmenose yra geriausias būdas išsaugoti savo informaciją netikėtiems atvejams.

Rekomendacijos jau pažeistoms sistemoms

Viruso pažeistų kompiuterių savininkams patariama išpirkos nemokėti. Didelė tikimybė, kad sumokėta išpirka duomenų neišgelbės. Yra žinoma atvejų, kuomet išpirkas sumokėjusios aukos duomenų taip ir neatgavo.

Jeigu jūsų sistemą pažeidė WannaCry virusas ir naudojate vieną iš šių Windows versijų: Windows 7 , Windows 8, Windows 8.1, o taip pat naudojate UAC (vartotojų paskyrų kontrolę) bei turėjote aktyvuotą Shadow Copy paslaugą dar iki pažeidimo, jūs vis dar turite tikimybę atstatyti duomenis iš šios paslaugos.

Viruso aktyvacijos metu UAC iššokusiame lange nespauskite Taip (arba "Yes" - priklausomai nuo Windows kalbos pasirinkimo). Tokiu būdu nesuteiksite kenkėjiškam kodui galimybės sunaikinti jūsų duomenų kopijų, nes jam pritrūks tam teisių. Galite išvalyti kompiuterį nuo kenkėjiškos programos ir tęsti duomenų atstatymą naudodamiesi šiuo vadovu.

Jeigu sistema jau pažeista, o atsarginių duomenų kopijų nėra, prieš išvalant sistemą, patariama išsaugoti apkrėstas bylas, nes ateityje gali būti išleistas viešas raktas byloms atrakinti. Tokios garantijos vis tik nėra, kaip ir nėra garantijos, jog atgausite savo duomenis, sumokėję išpirką.

Visi pranešimai