prodaja@stozacibrid.com hr@hardtechnique.com vjeko.kovacicek@coolintunit.com info@tehnikhard.net mail@coolintunit.com webmaster@stozacibrid.com admin@hardtechnique.com tehnikhard.net web.stozacibrid.com www.coolintunit.com
  • Vaša IP adresa: 18.191.216.163

Kako se zaštititi od zlonamjernog programa „WannaCry“ i što poduzeti ako je računalo zaraženo?

  • POSLuH hosting
  • 16.05.2017.

Obzirom na to da je u tijeku velika kampanja širenja ransomware zlonamjernih programa, smatramo da je važno napomenuti što poduzeti kako bi ostali zaštićeni, ali i što napraviti u slučaju infekcije računala. Prije svega, nekoliko detalja u vezi zlonamjernog programa koji je sada dostupan u više raznih inačica kako su napravljene određene intervencije sa strane sigurnosnih stručnjaka. Inicijalno, ova kampanja (WannaCrypt ili WannaCry) vuče korijene iz ožujka ove godine kada su objavljeni alati koje je razvila američka vladina obavještajna agencija – NSA koristeći sigurnosne propuste u Windows operativnim sustavima. Iako su u pitanju alati za koje je Microsoft već objavio zakrpu i za što je dostupno ažuriranje bitno je da se to odnosi samo na operativne sustave koji imaju aktivnu ili sigurnosnu podršku. Time dolazimo do zaključka kako su ugrožena brojna računala koja koriste zastarjele Windows operativne sustave, a Microsoft je, bez obzira što za njih više ne pruža podršku, objavio niz zakrpi za starije inačice operativnih sustava koje biste u najkraćem roku trebali aplicirati osobito ako na Vašem računalu koristite neku od inačica Windows operativnog sustava ciljanih u ovoj kampanji, a koja nema instaliranu sigurnosnu zakrpu. Treba istaknuti da su ugrožene sve inačice Windows operativnih sustava na kojima s današnjim danom nisu instalirane sigurnosne zakrpe.

U nastavku donosimo smjernice za zaštitu od "WannaCry" ransomware zlonamjernog programa koje prenosi CERT http://www.cert.hr/node/31076

Proaktivne mjere zaštite za "WannaCry" ransomware:

  • • Ažuriranje Microsoft operativnog sustava sa zakrpom izdanoj u Microsoft preporuci oznake MS17-010 u ožujku ove godine
  • • Ažuriranje onih Microsoft operativnih sustava za koje više službeno ne pruža podršku, a radi se o Windows XP, Windows 8 i Windows Server 2003. Zakrpe su dostupne na sljedećoj poveznici u odjeljku "Further resources:" https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  • • Ažuriranje web preglednika zadnjom dostupnom inačicom
  • • Ažuriranje antivirusnog i anti-malware alata
  • • Onemogućavanje SMBv1 protokola s koracima dokumentiranima na članku Microsoft Knowledge Base Article 2696547
  • • Razmotriti blokiranje dolaznog SMB prometa prema portu 445 i 139 na usmjerivaču ili vatrozidu
  • • Kontrolirati sve dolazne izvršne datoteke preko Web/Proxy infrastrukture
  • • Pokušati ustanoviti koji sustavi u internoj mreži mogu biti podložni na napad te ih izolirati, ažurirati i/ili isključiti
  • • Izdvojiti ili isključiti iz mreže one sustave koji nemaju dostupnu podršku ili zakrpe. Kao dodatna opcija, postoji javno objavljeni alat koji može blokirati izvršavanje zlonamjernog programa na ranjivom sustavu
  • • Oprezno postupati sa svim sumnjivim porukama iz pretinca elektroničke pošte koja sadrže potencijalno zlonamjerni privitak ili URL u tekstu poruke
  • • Upozoriti sve djelatnike u tvrtki na pažljivo postupanje s e-mail porukama
  • • Provjeriti status sustava za pohranu sigurnosnih kopija podataka te integritet sigurnosnih kopija podataka
  • • Ograničiti međusobni pristup portovima ako je uključena zaštita za krajnje korisnike interneta (eng. endpoint protection)

Relativne mjere

  • • Plaćanje otkupnine se NE preporučuje! (nema garancije za povratom podataka) kao ni bilo kakav pokušaj kontaktiranja napadača
  • • Izolirati/ukloniti računalo s mreže (ne zaboraviti i na bežićnu povezanost), kako bi se spriječilo daljnje širenje zlonamjernog programa
  • • U slučaju infekcije računala i šifriranja podataka, preporuča se da se ti šifrirani podaci prvo sačuvaju prije uklanjanja zlonamjernog programa s računala, budući da postoji mogućnost da će ključ za dešifriranje u nekoj bližoj/daljnoj budućnosti biti dostupan, iako tomu nema garancije
  • • Preporuča se potpuno nova instalacija operativnog sustava ili povrat pohranjenih podataka iz sigurnosne kopije ako postoji (eng. backup) potom ažurirati operativni sustav zadnjim izdanim zakrpama
Sigurnosne prepreke
  • • Općenito, najbolja zaštita od ovakvog oblika napada je učestala i pouzdana pohrana sigurnosnih kopija (eng. backup) te pohrana odvojeno od računala na kojem ih izrađujete
  • • Uređaj s pohranjenim sigurnosnim kopijama podataka (eng. backup) mora biti isključen iz mreže ili sustava s obzirom da ransomware pokušava šifrirati lokalne datoteke na tvrdom disku, prijenosnim medijima te povezane dijeljene mrežne direktorije

Izvor: http://www.cert.hr/node/31076