Rozsáhlé útoky ransomwaru WannaCry
Od pátku se šíří ransomware s názvem WannaCry (Wana Decrypt0r, WCry, WannaCry, WannaCrypt, WanaCrypt0r). Poprvé byl zaznamenán v pátek dopoledne a během pár hodin se velice rychle rozšířil po celém světě. V pátek odpoledne útok na své počítače oznámily také některé velké instituce a společnosti. Útoky byly v menší míře zaznamenány i v České republice. Další šíření ransomwaru bylo zpomaleno díky registraci tzv. kill-switch domény, jejíž neexistencí ransomware při svém běhu podmiňoval další šíření. Nyní se už ale objevují nové mutace obsahující i další domény a dá se tedy očekávat, že množství útoků během pondělí opět vzroste.
Útok zneužívá kritickou zranitelnost protokolu Windows SMB, která byla společností Microsoft opravena v rámci bezpečnostních aktualizací v polovině března. Dodatečně Microsoft vydal v sobotu 13. května aktualizace i pro starší operační systémy, které již nejsou podporovány, jako Windows XP, Windows Server 2003/2008 a další.
V případě, že je stanice tímto ransomwarem infikována, zobrazí se uživateli na obrazovce upozornění a zároveň jsou ransomwarem zašifrována všechna uživatelská data. V tuto chvíli bohužel neexistuje možnost zpětného dešifrování těchto dat. Není ovšem doporučeno ani zaplacení výkupného, navrácení dat není ani v takovém případě zaručeno.
Pro prevenci napadení ransomwarem WannaCry, přikládáme některá doporučení:
V prvé řadě je nezbytné nainstalovat aktualizace ošetřující bezpečnostní chyby, které WannaCry zneužívá - zde pro aktuální OS, zde i pro starší OS jako Windows XP, Server 2003/2008. Ransomware se šíří v lokální sítí pomocí protokolu Windows SMB, který pracuje na portu 445. Jako jednu z možností prevence šíření je proto možné doporučit blokování portu 445 u vstupu do sítě, případně kompletní vypnutí podpory SMBv1, které chybu obsahuje. Výzkumníky byly identifikováy tzv. kill-switch domény viz seznam zde. Je proto nutné, aby tyto domény byly ze sítě dostupné. Pozor, pokud používáte proxy server, ransomware není “proxy-aware”.
Uvádíme také další užitečné zdroje:
https://www.us-cert.gov/ncas/alerts/TA17-132A
https://isc.sans.edu/forums/diary/WannaCryWannaCrypt+Ransomware+Summary/22420/
https://blog.kaspersky.com/wannacry-ransomware/16518/
https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
https://www.f-secure.com/v-descs/trojan_w32_wannacryptor.shtml