WannaCry ransomware είναι η νέα και ευρέως διαδεδομένη πανδημία στον κυβερνοχώρο που έχει ήδη πάρει ομήρους περισσότερους από 230.000 υπολογιστές. Με τον τρέχοντα όγκο διασποράς του, το WannaCry πλησιάζει το επίπεδο άλλων διαβόητων απειλών στον κυβερνοχώρο, όπως το Cerber ή το Locky.
Ωστόσο, αυτό που διακρίνει WCry από αυτά τα δύο πιο επικίνδυνα παράσιτα του περασμένου έτους είναι η χρήση νέων τεχνικών διανομής που το κάνουν δεν χρειάζεται τα θύματα να κάνουν κλικ στους μολυσμένους συνδέσμους ή να συμμετέχουν στην απόκτηση ransomware σε οποιοδήποτε άλλο τρόπος.
Το κακόβουλο λογισμικό χρησιμοποιεί πρακτικές και εργαλεία που χρησιμοποιούνται από τις μυστικές υπηρεσίες των ΗΠΑ για να εισβάλει σε υπολογιστές και να εκτελέσει το κακόβουλο σενάριο για να καταστήσει απρόσιτα τα δεδομένα του χρήστη. Συγκεκριμένα, το ransomware χρησιμοποιεί την εκμετάλλευση EternalBlue για τη στόχευση συσκευών Windows με μια ευπάθεια MS17-010 που δεν έχει επιδιορθωθεί. Αυτό το κενό ασφαλείας είναι ανοιχτό σε εκδόσεις των Windows που δεν υποστηρίζονται πλέον και δεν λαμβάνουν ενημερώσεις ασφαλείας.
Ευτυχώς, ως απάντηση στα πιο πρόσφατα γεγονότα, η Microsoft κυκλοφόρησε ενημερώσεις κώδικα έκτακτης ανάγκης για τα Windows XP, Windows Server 2003, Windows 8 και μερικά άλλα ξεπερασμένα λειτουργικά συστήματα. Αλλά ακόμη και η ενημέρωση λογισμικού μπορεί να μην είναι αρκετή για να αποτρέψει την επίθεση ransomware.
Παρακάτω, θα παρέχουμε οδηγίες για την απενεργοποίηση της λειτουργικότητας SMB (Server Message Block) που χρησιμοποιείται για την ανάπτυξη του κακόβουλου WanaCrypt0r αρχεία στον υπολογιστή. Αλλά προτού προχωρήσουμε στο σεμινάριο, θέλουμε να δώσουμε έναν σύντομο ορισμό του κακόβουλου λογισμικού και της συμπεριφοράς του στον μολυσμένο υπολογιστή, για να σας βοηθήσουμε να το αναγνωρίσετε ευκολότερα.
Το Wannacry χρησιμοποιεί διαφορετικές επεκτάσεις για να επισημάνει κρυπτογραφημένα αρχεία
Όπως ίσως έχετε παρατηρήσει, σε προηγούμενες παραγράφους χρησιμοποιήσαμε διαφορετικά ονόματα για να αναφερθούμε στον ιό WannaCry. Οφείλεται στο ότι ο ιός, πράγματι, ταξιδεύει σε μια ποικιλία διαφορετικών σχημάτων και μορφών, το πιο πιθανό είναι να είναι πιο δύσκολο να αναγνωριστεί και να τερματιστεί.
Η έρευνα αποκάλυψε ότι ο ιός χρησιμοποιεί πλέον τέσσερις διαφορετικές επεκτάσεις .wncry, .wncrytt, .wcry ή .wncryt για να επισημάνετε τα κρυπτογραφημένα αρχεία, αλλά μπορούμε να περιμένουμε περισσότερες παραλλαγές καθώς εμφανίζεται το ransomware Ταχύτητα. Για να απορρίψουν αυτές τις επεκτάσεις και να ανακτήσουν αρχεία, οι χρήστες πρέπει να πληρώσουν στους εκβιαστές έως και 600 δολάρια σε Bitcoin. Διαφορετικά, τα κρυπτογραφημένα δεδομένα θα καταστραφούν. @[email προστατευμένο] Το παράθυρο ανοίγει ένα χρονόμετρο που μετρά αντίστροφα το χρόνο μέχρι την καταστροφή των δεδομένων. Δυστυχώς, επί του παρόντος δεν υπάρχει δωρεάν λογισμικό αποκρυπτογράφησης που θα βοηθούσε στην δωρεάν ανάκτηση κρυπτογραφημένων δεδομένων.
Έτσι, από τη στιγμή που έχετε μολυνθεί, δεν μπορείτε να κάνετε τίποτα για να αναστρέψετε τις συνέπειες της επίθεσης. Επομένως, είναι πολύ πιο σημαντικό να αναλάβετε δράση και να προστατέψετε τη συσκευή σας προτού οποιοσδήποτε ιός πατήσει το πόδι του στο σύστημά σας. Ακολουθούν ορισμένα βήματα που πρέπει να ακολουθήσετε για να αποτρέψετε τη διείσδυση του WannaCry.
Πώς να απενεργοποιήσετε το SMB και να αποτρέψετε την επίθεση WannaCry;
Η λειτουργία SMB (Server Message Block) είναι η κύρια ευπάθεια που επιτρέπει στο ransomware να μολύνει υπολογιστές. Δεδομένου ότι αυτή η δυνατότητα είναι ενεργοποιημένη στα Windows από προεπιλογή, οι εκβιαστές μπορούν εύκολα να τη χρησιμοποιήσουν για να πραγματοποιήσουν την επίθεση. Επομένως, συνιστούμε ανεπιφύλακτα να το απενεργοποιήσετε εάν δεν το χρησιμοποιείτε. Είναι πολύ απλό και μπορείτε να το πετύχετε σε τρία βασικά βήματα:
- Κάντε κλικ στο λογότυπο των Windows στην κάτω αριστερή γωνία της οθόνης και πληκτρολογήστε "Δυνατότητες Windows" στη γραμμή αναζήτησης
- Ανοίξτε το παράθυρο χαρακτηριστικών και μεταβείτε στις ρυθμίσεις και αναζητήστε την καταχώρηση SMB. Καταργήστε την επισήμανση και κάντε κλικ στο OK
- Κάντε επανεκκίνηση του υπολογιστή
Μπορείτε επίσης να απενεργοποιήσετε το SMB μέσω του PowerShell. Αυτό που πρέπει να κάνετε είναι να πληκτρολογήσετε "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol". Αφού απενεργοποιηθεί η δυνατότητα, συνιστούμε να επανεκκινήσετε τον υπολογιστή.