Kako javljaju ruski mediji, rad odjela Ministarstva unutarnjih poslova u nekoliko regija Rusije poremećen je zbog ransomwarea koji je zarazio mnoga računala i prijeti uništiti sve podatke. Osim toga, napadnut je i komunikacijski operater Megafon.

Govorimo o trojancu WCry ransomware (WannaCry ili WannaCryptor). On šifrira informacije na računalu i traži otkupninu od 300 ili 600 dolara u bitcoinima za dešifriranje.

@[e-mail zaštićen], šifrirane datoteke, proširenje WNCRY. Potrebni su uslužni program i upute za dešifriranje.

WannaCry šifrira datoteke i dokumente sa sljedećim ekstenzijama dodavanjem .WCRY na kraj naziva datoteke:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

WannaCry napad diljem svijeta

Napadi su zabilježeni u više od 100 zemalja. Najveće probleme imaju Rusija, Ukrajina i Indija. Izvještaji o zaraženosti virusom stižu iz Velike Britanije, SAD-a, Kine, Španjolske i Italije. Napominje se da su hakerskim napadom pogođene bolnice i telekomunikacijske tvrtke diljem svijeta. Na internetu je dostupna interaktivna karta širenja prijetnje WannaCrypt.

Kako dolazi do infekcije?

Kako kažu korisnici, virus bez ikakve radnje ulazi na njihova računala i nekontrolirano se širi mrežama. Na Kaspersky Lab forumu ističu da čak ni uključen antivirus ne jamči sigurnost.

Prijavljeno je da se napad ransomwarea WannaCry (Wana Decryptor) događa kroz ranjivost Microsoftovog sigurnosnog biltena MS17-010. Potom je na zaraženi sustav instaliran rootkit pomoću kojeg su napadači pokrenuli program za šifriranje. Sva rješenja tvrtke Kaspersky Lab otkrivaju ovaj rootkit kao MEM:Trojan.Win64.EquationDrug.gen.

Zaraza se navodno dogodila nekoliko dana ranije, no virus se očitovao tek nakon što je kriptirao sve datoteke na računalu.

Kako ukloniti WanaDecryptor

Prijetnju ćete moći ukloniti pomoću antivirusnog programa; većina antivirusnih programa već će otkriti prijetnju. Uobičajene definicije:

Avast Win32:WanaCry-A , PROSJ Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Otkupnina: Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Ako ste već pokrenuli prijetnju na svom računalu i vaše su datoteke šifrirane, dekriptiranje datoteka je gotovo nemoguće, budući da iskorištavanje ranjivosti pokreće mrežni kriptor. Međutim, već je dostupno nekoliko opcija za alate za dešifriranje:

Bilješka: Ako su vaše datoteke šifrirane i nema sigurnosne kopije, a postojeći alati za dešifriranje nisu pomogli, preporučuje se da spremite šifrirane datoteke prije čišćenja prijetnje s vašeg računala. Bit će korisni ako se u budućnosti stvori alat za dešifriranje koji vam odgovara.

Microsoft: Instalirajte ažuriranja za Windows

Microsoft je rekao da će korisnici s besplatnim antivirusnim programom te uključenim Windows System Updateom biti zaštićeni od napada WannaCryptor.

Ažuriranja od 14. ožujka popravljaju ranjivost sustava putem koje se distribuira ransomware trojanac. Današnje otkrivanje dodano je antivirusnim bazama podataka Microsoft Security Essentials/Windows Defender za zaštitu od novog zlonamjernog softvera poznatog kao Ransom:Win32.WannaCrypt.

• Provjerite je li antivirusni program uključen i jesu li instalirana najnovija ažuriranja.
• Instalirajte besplatni antivirus ako vaše računalo nema nikakvu zaštitu.
• Instalirajte najnovija ažuriranja sustava koristeći Windows Update:
  • Za Windows 7, 8.1 Iz izbornika Start otvorite Control Panel > Windows Update i kliknite Search for Updates.
  • Za Windows 10 Idite na Postavke > Ažuriranje i sigurnost i kliknite "Provjeri ažuriranja".
• Ako ažuriranja instalirate ručno, instalirajte službenu Microsoftovu zakrpu MS17-010, koja rješava ranjivost SMB poslužitelja korištenu u napadu ransomwarea WanaDecryptor.
• Ako vaš antivirus ima zaštitu od ransomwarea, uključite je. Imamo i zaseban odjeljak na našoj web stranici, Ransomware Protection, gdje možete preuzeti besplatne alate.
• Izvršite antivirusno skeniranje vašeg sustava.

Stručnjaci napominju da je najlakši način da se zaštitite od napada zatvorite port 445.

• Upišite sc stop lanmanserver i pritisnite Enter
• Unesite za Windows 10: sc config lanmanserver start=onemogućeno , za ostale verzije Windowsa: sc config lanmanserver start= onemogućeno i pritisnite Enter
• Ponovno pokrenite računalo
• U naredbeni redak unesite netstat -n -a | findstr "SLUŠANJE" | findstr ":445" da provjerite je li port onemogućen. Ako postoje prazni redovi, port ne sluša.

Ako je potrebno, otvorite port natrag:

• Pokrenite naredbeni redak (cmd.exe) kao administrator
• Unesite za Windows 10: sc config lanmanserver start=auto , za ostale verzije sustava Windows: sc config lanmanserver start= auto i pritisnite Enter
• Ponovno pokrenite računalo

Bilješka: Port 445 koristi Windows za dijeljenje datoteka. Zatvaranje ovog priključka ne sprječava računalo da se poveže s drugim udaljenim resursima, ali se druga računala neće moći spojiti na sustav.