Microsoft tocmai a lansat o actualizare a patch-urilor de siguranță pentru toate versiunile de Windows, inclusiv edițiile Windows XP, Vista, Windows 8, Server 2003 și 2008.
Dacă din anumite motive, încă folosești Windows XP sau Vista, vă recomandăm să descărcați și să aplicați PATCH-UL ACUM!
WannaCrypt de asemenea cunoscut sub numele de WannaCry, este un nou program de răscumpărare care a generat haos în întreaga lume, WannaCry se răspândește ca un vierme, prin utilizarea unei vulnerabilități Windows SMB (MS17-010), care a fost revizuită anterior de Microsoft în martie.
Un număr mare de infecții reușite ale ransomware-ului WannaCrypt, într-un ritm uimitor, s-a ajuns la concluzia că un număr semnificativ de utilizatori nu au instalat încă patch-urile de securitate lansate în martie (MS17-010), fie că rulează încă o versiune neacceptată de Windows pentru care Microsoft nu mai dau nici o actualizare de securitate.
În plus, dacă utilizezi Windows 10, ești în siguranță.
“Codul de exploatare utilizat de WannaCrypt a fost conceput pentru a funcționa numai împotriva sistemelor Windows 7 și Windows Server 2008 (sau sistemelor anterioare) care nu au primit patch-ul, astfel încât Windows 10 nu este afectat de acest atac”, spune Microsoft.
Odată infectat, WannaCry blochează fișierele de pe calculatoare și cere victimelor să plătească 300 de dolari în Bitcoins pentru a obține controlul asupra sistemelor lor, împreună cu o amenințare de dublarea a prețului la 600 de dolari.
Dar nu există nici o garanție, chiar după ce ați plătit răscumpărarea.
Cum se răspândește WannaCry?
O astfel de infecție de tip răscumpărare (ransomware) utilizează în mod obișnuit ingineria socială sau e-mailurile spam ca vector de atac primar, înșelând utilizatorii să descarce și să execute un atașament malware.
WannaCry utilizează, de asemenea, un astfel de truc de inginerie socială, deoarece cercetătorii FoxIT au descoperit o variantă a ransomware-ului distribuit inițial printr-un e-mail care conține un link sau un fișier PDF pe care dacă se face clic, instalează WannaCry pe sistemul vizat.
Odată ce a fost executat, auto-împrăștiind WannaCry ransomware nu infectează imediat calculatoarele vizate, s-a constatat că mai întâi încearcă să se conecteze la domeniul care inițial nu a fost înregistrat:
hxxp: [.] // www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea com [.]
Dacă eșuează conexiunea cu domeniul neînregistrat de mai sus (care este evidentă), WannaCrypt continuă să infecteze sistemul cu ransomware-ul care începe să cripteze fișierele.
Dar dacă conexiunea este reușită, nu infectează sistemul cu modulul WannaCry ransomware.
Un cercetător de securitate online, de la MalwareTech, a procedat la fel și a înregistrat domeniul menționat mai sus, declanșând în mod accidental un “switch kill” care poate împiedica răspândirea ransomware-ului WannaCry, cel puțin pentru moment.
“Cu alte cuvinte, blocarea domeniului cu firewall, fie la nivel de rețea ISP sau de rețea, va determina WannaCrypt să continue să răspândească și să cripteze fișierele”, a avertizat Microsoft.
Dacă este infectat, malware-ul scanează întreaga rețea internă și se răspândește ca un vierme în toate computerele care nu au update-ul Windows SMB.
Vulnerabilitatea SMB a fost identificată ca EternalBlue, o colecție de instrumente de hacking, despre care se presupune că a fost creată de NSA și apoi ulterior folosită de un grup de hackeri “The Shadow Brokers” acum o lună.
7 pași simpli pentru a te proteja de WannaCry
În prezent, nu există niciun instrument de decriptare WannaCry sau altă soluție disponibilă, astfel încât utilizatorii sunt sfătuiți să urmeze măsuri de prevenire pentru a se proteja.
- Păstrați-vă sistemul actualizat: Mai întâi, dacă utilizați versiuni mai vechi ale sistemului de operare Windows, vă păstrați sistemul actualizat sau pur și simplu faceți upgrade la Windows 10.
- Utilizarea sistemului de operare Windows neprotejat? Dacă utilizați versiuni de Windows neprotejate, inclusiv Windows XP, Vista, Server 2003 sau 2008, aplicați patch-urile de urgență lansate de Microsoft.
- Activați Firewall: activați firewall-ul și, dacă există deja, modificați configurațiile firewall-ului pentru a bloca accesul la porturile SMB prin rețea sau pe Internet. Protocolul funcționează pe porturile TCP 137, 139 și 445 și pe porturile UDP 137 și 138.
- Dezactivați SMB: urmați pașii descriși de Microsoft pentru a dezactiva Server Message Block (SMB).
- Păstrează software-ul antivirus updatat: definițiile virușilor au fost deja actualizate pentru a te proteja împotriva acestei ultime amenințări.
- Backup În mod regulat: copiații fișierele importante pe un dispozitiv de stocare extern pe care să nu îl țineți întotdeauna conectat la PC.
- Feriți-vă de phishing.