Jak się bronić przed atakami ransomware WannaCry?

Jak się bronić przed atakami ransomware WannaCry?

Codziennie dochodzi do ataków przeprowadzanych za pomocą ransomware WannaCry.

Jest to wysoce złośliwy szczep autoreplikującego ransomware określanego na wiele sposobów, m.in. jako WCry, WannaCry, WannaCrypt0r, WannaCrypt lub WannaDecrypt04, który rozprzestrzeniał się za pomocą exploitu nazwanego ETERNALBLUE. Co interesujące, exploit został wykradziony w zeszłym miesiącu z amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) przez grupę cyberprzestępczą znaną jako The Shadow Brokers.

Użyty do ataku exploit ETERNALBLUE wykorzystuje lukę w protokole Microsoft Server Message Block 1.0 (SMBv1). Problem dotyczy następujących produktów firmy Microsoft: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 i Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016, Windows Server Core installation option. Więcej o WannaCry https://i-bs.pl/blog/ransomware-wannacry/

Microsoft wydał w marcu krytyczne poprawki tej luki w biuletynie Microsoft Security Bulletin MS17-010. W tym samym miesiącu firma Fortinet wydała sygnaturę IPS w celu wykrycia i zablokowania tej luki w zabezpieczeniach, a 12 maja – nowe sygnatury AV, aby wykryć i zatrzymać ten atak. Testy przeprowadzone przez osoby trzecie potwierdzają również, że oprogramowanie Fortinet Anti-Virus i FortiSandbox skutecznie blokują to złośliwe oprogramowanie.

W związku z atakiem eksperci Fortinet zalecają działania zapobiegawcze, które powinny podjąć zarówno organizacje, jak i użytkownicy prywatni:

  • regularne aktualizowanie oprogramowania oraz patchów na wszystkich urządzeniach podłączonych do sieci;
  • w przypadku organizacji z dużą liczbą urządzeń należy rozważyć wprowadzenie scentralizowanego systemu zarządzania aktualizacjami i patchami;
  • korzystanie z technologii AV, IPS oraz filtrowania sieci i ich bieżące aktualizowanie;
  • tworzenie kopii zapasowych danych, sprawdzanie ich integralności, szyfrowanie i testowanie procesu przywracania, aby upewnić się, że działa poprawnie;
  • skanowanie wszystkich przychodzących i wychodzących wiadomości e-mail w celu wykrywania zagrożeń i filtrowania plików wykonywalnych przed dotarciem do użytkowników końcowych;
  • regularne skanowanie antywirusowe i anty-malware na wszystkich urządzeniach;
  • wyłączanie makr w plikach przesyłanych pocztą elektroniczną; do otwierania załączonych plików pakietu MS Office zalecane jest używanie narzędzia Office Viewer, a nie pakietu biurowego Office;
  •  ustanowienie strategii działania i reagowania na incydenty oraz przeprowadzanie regularnych ocen narażenia na atak.

Aby chronić się przed atakami ransomware, należy wdrożyć podstawowe środki bezpieczeństwa:

1. Oprogramowanie ochronne
Pierwszym krokiem jest zainstalowanie oprogramowania ochronnego – dotyczy to nie tylko komputerów, ale także smartfonów i tabletów.

2. Regularny backup danych
Należy często przeprowadzać backup danych i przechowywać je offline, aby w razie ataku nie zostały zainfekowane. Warto co jakiś czas sprawdzać, czy faktycznie ich przywracanie działa bez zarzutów. W razie ataku ransomware będzie można błyskawicznie odzyskać swoje pliki bez konieczności uiszczania opłaty cyberprzestępcom.

3. Aktualizacja oprogramowania
Należy regularnie przeprowadzać aktualizacje. Znaczna część ataków wykorzystuje luki w przestarzałym oprogramowaniu. Dostępne są również narzędzia, które same sugerują lub przeprowadzają regularne aktualizacje bez ingerencji użytkownika.

4. Podejrzane załączniki w mailach
Wskazana jest wzmożona czujność w odniesieniu do załączników przesyłanych drogą mailową – w szczególności plików ZIP, EXE oraz dokumentów pakietu Office (Word, Excel czy PowerPoint). Jeżeli nie znamy  nadawcy wiadomości, lepiej nie otwierać ich w ogóle. Należy również pamiętać, aby nie zezwalać na włączanie makr w dokumentach Office.

5. Mniej wtyczek w przeglądarce
Warto ograniczyć liczbę wtyczek w przeglądarce, które mogą być źródłem infekcji. Można to w łatwy sposób skonfigurować w ustawieniach dotyczących pluginów.

Natomiast jeśli organizacja padła już ofiarą ransomware, należy niezwłocznie wyizolować zainfekowane urządzenia, aby zapobiec rozprzestrzenianiu się ransomware do sieci lub na dyski. Jeżeli zainfekowana została sieć, należy natychmiast odłączyć od niej wszystkie urządzenia. Wyłączenie zasilania zaatakowanych urządzeń może zapewnić czas na czyszczenie i odzyskanie danych.

Kopia zapasowa danych powinna być przechowywana w trybie offline. Po wykryciu infekcji należy przeskanować także kopie zapasowe, aby upewnić się, że są wolne od złośliwego oprogramowania.

Jak się chronić swoje zasoby i urządzenia i jak się zabezpieczyć ? …Zapytaj naszych specjalistów od bezpieczeństwa IT!