Ransomware WannaCry to nowa i szeroko rozpowszechniona cyber-pandemia, która do tej pory wzięła w niewolę ponad 230 000 komputerów. Z takim stopnem rozprzestrzenienia, WannaCry zbliża się do poziomu innych niesławnych cyberzagrożeń takich, jak Cerber czy Locky.
To, co jednak wyróżnia WCry od dwóch innych najgroźniejszych cyberpasożytów jest wykorzystanie nowego sposobu dystrybucji, który nie wymagał od ofiary kliknięcia na zainfekowany link lub brania w jakikolwiek sposób udziału w zdobywaniu ransomware'a. Malware ten wykorzystuje sposoby oraz narzędzia stosowane przez amerykański wywiad w celu włamywania się do komputera i uruchamiania złośliwego kodu w celu uniemożliwienia korzystania z danych użytkownika.
Precyzując, ransomware korzysta z luki EternalBlue, by namierzać sprzęt z systemem Windows z niezałataną luką MS17-010. Ta dziura w zabezpieczeniach jest otwarta we wszystkich dłużej niewspieranych wersjach Windowsa, które nie otrzymują już odpowiednich łatek bezpieczeństwa.
Na szczęście, w odpowiedzi, Microsoft wydał szereg patchy ratunkowych dla Windowsa XP, Windows Server 2003, Windowsa 8 i kilku innych przedawnionych systemów operacyjnych. Czasem jednak nawet aktualizacja oprogramowania może nie wystarczyć, aby zapobiec atakowi ransomware.
Poniżej przygotowaliśmy instrukcje na temat zapobiegania funkcji Blokady Wiadomości Serwera (SMB), która jest wykorzystywana do umieszaczania złośliwych plików wirusa WanaCrypt0r w komputerze. Zanim jednak przejdziemy do samouczka, jesteśmy zobowiązani dać wam opis malware oraz jego zachowania w komputerze by pomóc wam go szybciej rozpoznać.
Jak już zauważyliście w poprzednim akapicie, skorzystaliśmy z wielu różnych nazw, by odnieść się do wirusa WannaCry. Powodem jest wędrowanie wirusa po sieci w rozmaitych formach i kształtach, najpewniej w celu utrudnienia jego rozpoznania oraz eliminacji.
Badania wykazały, że wirus ten używa teraz czterech różnych rozszerzeń (.wncry, .wncrytt, .wcry lub .wncryt), by oznaczać zaszyfrowane pliki – spodziewamy się jeszcze większej ich liczby z czasem. By pozbyć sę tych rozszerzeń i odzyskać pliki, użytkownicy muszą zapłacić hakerom kwotę do 600 dolarów w Bitcoinie – w przeciwnym wypadku zaszyfrowane dane zostaną dodatkowo zniszczone.
Okno aplikacji @[email protected] otwiera się z zegarem odliczającym czas do destrukcji plików. Niestety, nie istnieje obecnie żadne darmowe oprogramowanie, które pomogłoby odzyskać zaszyfrowane pliki bez ponoszenia żadnych kosztów. Jeśli więc złapałeś tego wirusa, nie ma zbytnio możliwości na cofnęcie efektów tego ataku. Dużo ważniejszym jest więc zabezpieczenie sprzętu zanim jakikolwiek wirus zdecyduje się zapukać do jego bram. Jest sposób, którego wykonanie zapobiegnie infiltracji ze strony WannaCry.
Jak wyłączyć SMB oraz zapobiec atakowi WannaCry?
Funkcja Blokady Wiadomości Serwerowych (SMB) jest główną luką pozwalającą temu wirusowi na infekowanie komputerów. Poneważ ta funcja jest normalnie włączona w systemie Windows, szantażyści mogą z niej szybko skorzystać, by przeprowadzić atak. Zalecamy więc wyłączenie tej funkcj, jeśli z niej nie korzystasz. Nie jest to trudne – będziesz tego w stanie dokonać w trzech prostych krokach:
- Kliknij na logo Windows w rogu ekranu i wpisz w wyszukiwarkę „Funkcje Windows”
- Otwórz okno Funkcji Windows, przejdź do Ustawień i znajdź wpis z SMB. Odznacz go i kliknij OK
- Uruchom komputer ponownie
Możesz też wyłączyć SMB poprzez PowerShell'a. Wszystko, co musisz zrobić, to wpisanie w nim „Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol”. Po wyłączeniu funkcji zalecamy uruchomienie komputera ponownie.