Ransomware Wana Decryp0r, poznat još kao i WCry, WannaCry, WannaCrypt i WanaCryp0r je u petak (12.05.2017. godine) izvršio napad na oko 100 država i izvršio infekciju preko 200.000 računara. DANAS (15.05.2017. godine) SE OČEKUJE NOVI NAPAD SA NOVOM VERZIJOM upozorava Europol. WanaCryp0r je primjećen prije nekoliko nedelja i njegova distribucija je bila veoma niskog intenziteta, međutim u petak je njegova distribicija jednostavno rečeno eksplodirala šireći na Veliku Britaniju, Rusiju, Ukrajinu, Indiju, Kinu, Italiju, Egipat, Španiju, SAD i Južnu Ameriku, a najgore su prošli Evropa i Rusija.
 |
| WannaCry ransomware obavještenje nakon enkripcije dokumenata |
Ransomware je koristio exploit ETERNALBLUE, dio hakerskog alata američke „Nacionalne bezbednosne agencije“ (NSA) objavljnog od strane hakerske grupe Shadow Brokers, a koristi pristup preko SMBv1 protokola. WanaCryp0r će obrisati Shadow Volume kopije, isključiti Windows startup recovery i obrisati Windows Server Backup, a šifrovani fajlovi dobijaju ekstenziju .WNCRY. WanaCryp0r zamenjuje pozadinu na radnoj površini računara obaveštenjem sa zahtjevom o otkupu podataka na nekom od podržanih jezika.
Fajlovi koje je šifrovao ransomware WanaCryp0r ne mogu biti dešifrovani besplatno.
Zbog načina širenja ransomware-a, Microsoft je bio primoran da objavi vandredno ažuriranje i za operativne sisteme koje Microsoft godinama ne podržava (Windows XP i Windows Server 2003) u cilju zaštite ukupnog korisničkog ekosistema.
Širenje ransomware-a WanaCryp0r je trenutno zaustavljeno zahvaljujući istraživaču sa nadimkom MalwareTech koji je otkrio način za zaustavljanje širenja infekcije. Međutim, stručnjaci smatraju da je to samo privremeno, a Europol upozorava da bi novi napad mogao da se desi već danas 15.05.2017. godine. Costin Riau, koji radi za kompaniju Kaspersky Lab izjavio je kako su naišli na verzije koje nisu imale "kill switch" domenu.
Ransomware u prošlom napadu nije birao mete pa među zaraženim računarima se nalaze male i srednje firme, kao i veliki sistemi: Zraženi su računari Britanske zdravstvene službe (16 zdravstvenih ustanova), rusko Ministarstvo unutrašnjih poslova (sa oko 1000 računara), njemačke željeznice, itd.
Odjeljenje za informacionu bezbjednost CERT Republike Srpske je izdalo upozorenje javnim ustanovama, organima uprave, fizičkim i pravnim licima da ne plaćaju otkupninu jer nema garancije da će podaci biti vraćeni. Čitavo upozorenje možete pročitati na https://oib.aidrs.org/
Potrebno je više nego ikad pridržavati se standardnih mjera zaštite:
KAKO SE ZAŠTITI:
1. Korisnicima se savjetuje da ne otvaraju sumnjivu elektronsku poštu i priloge, kao i ne očekivanu elektrosku poštu i priloge.
2. Oprezo prilikom otvaranja linkova na Internetu, u elektronskoj pošti i porukama.
3. Preuzimanje ažuriranja za Microsoft operativne sisteme i isključivanje zastarjelog SMBv1 protokola.
4. Redovna pravljenja i čuvanja rezervnih kopija koristeći pravilo 1-2-3: 3 kopije, 2 uređaja i 1 koja se nalazi na sigurnom mjestu.
5. Kvalitetno anti-virus riješenje u kombinaciji sa edukacijom korisnika.
INFEKCIJA UREĐAJA: Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, odmah ga isključite iz mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon toga kontaktirajte najbliži servis i informišite se o naredenom koraku.
Fajlovi koje je šifrovao ransomware WanaCryp0r ne mogu biti dešifrovani besplatno.
Zbog načina širenja ransomware-a, Microsoft je bio primoran da objavi vandredno ažuriranje i za operativne sisteme koje Microsoft godinama ne podržava (Windows XP i Windows Server 2003) u cilju zaštite ukupnog korisničkog ekosistema.
Širenje ransomware-a WanaCryp0r je trenutno zaustavljeno zahvaljujući istraživaču sa nadimkom MalwareTech koji je otkrio način za zaustavljanje širenja infekcije. Međutim, stručnjaci smatraju da je to samo privremeno, a Europol upozorava da bi novi napad mogao da se desi već danas 15.05.2017. godine. Costin Riau, koji radi za kompaniju Kaspersky Lab izjavio je kako su naišli na verzije koje nisu imale "kill switch" domenu.
Ransomware u prošlom napadu nije birao mete pa među zaraženim računarima se nalaze male i srednje firme, kao i veliki sistemi: Zraženi su računari Britanske zdravstvene službe (16 zdravstvenih ustanova), rusko Ministarstvo unutrašnjih poslova (sa oko 1000 računara), njemačke željeznice, itd.
Odjeljenje za informacionu bezbjednost CERT Republike Srpske je izdalo upozorenje javnim ustanovama, organima uprave, fizičkim i pravnim licima da ne plaćaju otkupninu jer nema garancije da će podaci biti vraćeni. Čitavo upozorenje možete pročitati na https://oib.aidrs.org/
Potrebno je više nego ikad pridržavati se standardnih mjera zaštite:
KAKO SE ZAŠTITI:
1. Korisnicima se savjetuje da ne otvaraju sumnjivu elektronsku poštu i priloge, kao i ne očekivanu elektrosku poštu i priloge.
2. Oprezo prilikom otvaranja linkova na Internetu, u elektronskoj pošti i porukama.
3. Preuzimanje ažuriranja za Microsoft operativne sisteme i isključivanje zastarjelog SMBv1 protokola.
4. Redovna pravljenja i čuvanja rezervnih kopija koristeći pravilo 1-2-3: 3 kopije, 2 uređaja i 1 koja se nalazi na sigurnom mjestu.
5. Kvalitetno anti-virus riješenje u kombinaciji sa edukacijom korisnika.
INFEKCIJA UREĐAJA: Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, odmah ga isključite iz mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon toga kontaktirajte najbliži servis i informišite se o naredenom koraku.
