Wczoraj, 12 maja, komputery z systemem operacyjnym Windows na całym świecie zostały poddane największemu w ostatnim czasie atakowi. Mówimy o takim należącym do klasy Ransomware, czyli złośliwym oprogramowaniu ransomware, które szyfruje pliki użytkownika i żąda okupu za przywrócenie do nich dostępu. W tym przypadku mówimy o kwotach od 300 do 600 dolarów, które ofiara musi przelać na konkretny portfel w bitcoinach. Wysokość okupu zależy od czasu, jaki upłynął od infekcji - po pewnym czasie wzrasta.

Według « Kaspersky Lab » , WannaCry był najbardziej rozpowszechniony w Rosji

Aby uniknąć dołączenia do grona tych, których komputery zostały zainfekowane, konieczne jest zrozumienie, w jaki sposób szkodliwe oprogramowanie przenika do systemu. Według Kaspersky Lab atak wykorzystuje lukę w protokole SMB, która umożliwia zdalne wykonanie kodu programu. Opiera się na exploitie EternalBlue, stworzonym w murach amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) i udostępnionym publicznie przez hakerów.

Firma Microsoft wprowadziła poprawkę dotyczącą problemu EternalBlue w biuletynie MS17-010 z 14 marca 2017 r., zatem pierwszym i najważniejszym środkiem ochrony przed WannaCry powinno być zainstalowanie tej aktualizacji zabezpieczeń dla systemu Windows. To właśnie fakt, że wielu użytkowników i administratorów systemów jeszcze tego nie zrobiło, był powodem ataku na tak dużą skalę, którego szkody nie zostały jeszcze oszacowane. To prawda, że ​​​​aktualizacja jest przeznaczona dla tych wersji systemu Windows, dla których wsparcie jeszcze nie ustało. Jednak firma Microsoft wydała także poprawki dla starszych systemów operacyjnych, takich jak Windows XP, Windows 8 i Windows Server 2003. Można je pobrać z tej strony.

Zaleca się również zachowanie czujności w przypadku mailingów przychodzących pocztą elektroniczną i innymi kanałami, korzystanie z zaktualizowanego programu antywirusowego w trybie monitorowania i, jeśli to możliwe, sprawdzanie systemu pod kątem zagrożeń. Jeśli zostanie wykryta i wyeliminowana aktywność MEM:Trojan.Win64.EquationDrug.gen, zrestartuj system, a następnie upewnij się, że jest zainstalowany MS17-010. Obecnie znanych jest osiem nazw wirusa:

• Trojan-Ransom.Win32.Gen.djd;
• Trojan-Ransom.Win32.Scatter.tr;
• Trojan-Ransom.Win32.Wanna.b;
• Trojan-Ransom.Win32.Wanna.c;
• Trojan-Ransom.Win32.Wanna.d;
• Trojan-Ransom.Win32.Wanna.f;
• Trojan-Ransom.Win32.Zapchast.i;
• PDM:Trojan.Win32.Generic.

Wirus « posiada » wiele języków

Nie możemy zapominać o regularnym tworzeniu kopii zapasowych ważnych danych. Należy pamiętać, że WannaCry atakuje następujące kategorie plików:

• najpopularniejsze dokumenty biurowe (.ppt, .doc, .docx, .xlsx, .sxi).
• niektóre mniej popularne typy dokumentów (.sxw, .odt, .hwp).
• archiwa i pliki multimedialne (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• pliki e-mail (.eml, .msg, .ost, .pst, .edb).
• bazy danych (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• pliki projektu i kody źródłowe (.php, .java, .cpp, .pas, .asm).
• klucze i certyfikaty szyfrujące (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• formaty graficzne (.vsd, .odg, .raw, .nef, .svg, .psd).
• pliki maszyny wirtualnej (.vmx, .vmdk, .vdi).

I podsumowując: jeśli nie można było uniknąć infekcji, nadal nie można zapłacić atakującym. Po pierwsze, nawet jeśli pieniądze zostaną przesłane do określonego portfela Bitcoin, nikt nie gwarantuje odszyfrowania plików. Po drugie, nie możesz mieć pewności, że atak na ten sam komputer nie zostanie powtórzony i że cyberprzestępcy nie zażądają dużej kwoty okupu. I wreszcie, po trzecie, zapłacenie za „usługę” odblokowującą wynagrodzi tych, którzy prowadzą przestępczą działalność w Internecie i będzie dla nich zachętą do przeprowadzania nowych ataków.