Vezano uz kampanju širenja ransomware zlonamjernog programa “WannaCry”, Nacionalni CERT niže donosi proaktivne i reaktivne mjere koje se mogu poduzeti te kako postupati u slučaju infekcije spomenutim zlonamjernim programom. Napominjemo da su ugrožene sve inačice Windows operativnih sustava na kojima nisu instalirane sigurnosne zakrpe s današnjim danom.

Prokativne mjere zaštite za “WannaCry” ransomware:

• Ažuriranje Microsoft operativnog sustava sa zakrpom izdanoj u Microsoft preporuci oznake MS17-010 u ožujku ove godine
• Ažuriranje onih Microsoft operativnih sustava za koje više službeno ne pruža podršku, a radi se o Windows XP, Windows 8 i Windows Server 2003. Zakrpe su dostupne na sljedećoj poveznici u odjeljku “Further resources:” https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
• Ažuriranje web preglednika zadnjom dostupnom inačicom
• Ažuriranje antivirusnog i anti-malware alata 
• Onemogućavanje SMBv1 protokola s koracima dokumentiranima na članku Microsoft Knowledge Base Article 2696547
• Razmotriti blokiranje dolaznog SMB prometa prema portu 445 i 139 na usmjerivaču ili vatrozidu
• Kontrolirati sve dolazne izvršne datoteke preko Web/Proxy infrastrukture
• Pokušati ustanoviti koji sustavi u internoj mreži mogu biti podložni na napad te ih izolirati, ažurirati i/ili isključiti
• Izdvojiti ili isključiti iz mreže one sustave koji nemaju dostupnu podršku ili zakrpe. Kao dodatna opcija, postoji javno objavljeni alat koji može blokirati izvršavanje zlonamjernog programa na ranjivom sustavu
• Oprezno postupati sa svim sumnjivim porukama iz pretinca elektroničke pošte koja sadrže potencijalno zlonamjerni privitak ili URL u tekstu poruke
• Upozoriti sve djelatnike u tvrtki na pažljivo postupanje s e-mail porukama
• Provjeriti status sustava za pohranu sigurnosnih kopija podataka te integritet sigurnosnih kopija podataka
• Ograničiti međusobni pristup portovima ako je uključena zaštita za krajnje korisnike interneta (eng. endpoint protection)

Reaktivne mjere

• Plaćanje otkupnine se NE preporučuje! (nema garancije za povratom podataka) kao ni bilo kakav pokušaj kontaktiranja napadača
• Izolirati/ukloniti računalo s mreže (ne zaboraviti i na bežićnu povezanost), kako bi se spriječilo daljnje širenje zlonamjernog programa
• U slučaju infekcije računala i šifriranja podataka, preporuča se da se ti šifrirani podaci prvo sačuvaju prije uklanjanja zlonamjernog programa s računala, budući da postoji mogućnost da će ključ za dešifriranje u nekoj bližoj/daljnoj budućnosti biti dostupan, iako tomu nema garancije
• Preporuča se potpuno nova instalacija operativnog sustava ili povrat pohranjenih podataka iz sigurnosne kopije ako postoji (eng. backup) potom ažurirati operativni sustav zadnjim izdanim zakrpama

 Sigurnosne preporuke

• Općenito, najbolja zaštita od ovakvog oblika napada je učestala i pouzdana pohrana sigurnosnih kopija (eng. backup) te pohrana odvojeno od računala na kojem ih izrađujete
• Uređaj s pohranjenim sigurnosnim kopijama podataka (eng. backup) mora biti isključen iz mreže ili sustava s obzirom da ransomware pokušava šifrirati lokalne datoteke na tvrdom disku, prijenosnim medijima te povezane dijeljene mrežne direktorije

Više detalja o ovome možete pronaći na niže navedenim poveznicama.

Reference:

[1]http://cert.europa.eu/static/SecurityAdvisories/2017/CERT-EU-SA2017-012.pdf

[2]https://circl.lu/pub/tr-41/

[3] https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html

[4] https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacksall-over-the-world/

[5] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[6] https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

[7] https://krebsonsecurity.com/2017/05/u-k-hospitals-hit-in-widespread-ransomware-attack/

[8] https://support.kaspersky.com/shadowbrokers

[9] https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targetsout-of-date-systems/

[10] https://intel.malwaretech.com/botnet/wcrypt

[11] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacryptattacks/

[12] https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e

[13] https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccncert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html

[14] https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

[15] https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis