WannaCry ransomware je nova i široko rasprostranjena cyber pandemija koja je već uzela kao taoce više od 230.000 računala. Sa svojom trenutnom količinom raspršenosti, WannaCry se približava razini drugih zloglasnih cyber prijetnji kao što su Cerber ili Locky.
Ipak, ono što razlikuje WCry od ova dva prošlogodišnja najopasnija parazita je korištenje novih tehnika distribucije koje čine ne trebaju žrtve da kliknu na zaražene veze ili sudjeluju u akviziciji ransomwarea u bilo kojem drugom put.
Zlonamjerni softver koristi postupke i alate koje koriste američke obavještajne službe za provalu u računala i pokretanje zlonamjerne skripte kako bi podatke korisnika učinio nedostupnima. Konkretno, ransomware koristi EternalBlue exploit za ciljanje Windows uređaja s nezakrpljenom ranjivosti MS17-010. Ova sigurnosna praznina je otvorena na verzijama sustava Windows koje više nisu podržane i ne primaju sigurnosna ažuriranja.
Srećom, kao odgovor na najnovije događaje, Microsoft je objavio hitne zakrpe za Windows XP, Windows Server 2003, Windows 8 i nekoliko drugih zastarjelih operativnih sustava. Ali čak ni ažuriranje softvera možda neće biti dovoljno da spriječi napad ransomware-a.
U nastavku ćemo dati upute kako onemogućiti SMB (Server Message Block) funkcionalnost koja se koristi za implementaciju zlonamjernog WanaCrypt0r datoteke na računalu. No prije nego krenemo na tutorial, želimo dati kratku definiciju zlonamjernog softvera i kako se ponaša na zaraženom računalu kako bismo vam pomogli da ga lakše prepoznate.
Wannacry koristi različite ekstenzije za označavanje šifriranih datoteka
Kao što ste možda primijetili, u prethodnim odlomcima koristili smo različita imena za označavanje virusa WannaCry. To je zbog toga što virus doista putuje u raznim oblicima i oblicima, a najvjerojatnije ih je teže prepoznati i prekinuti.
Istraživanje je pokazalo da virus sada koristi četiri različita proširenja .wncry, .wncrytt, .wcry ili .wncryt za označavanje šifriranih datoteka, ali možemo očekivati više varijacija kako se ransomware pokupi ubrzati. Za izbacivanje ovih ekstenzija i oporavak datoteka, korisnici moraju platiti iznuđivačima do 600 dolara u Bitcoinu; u suprotnom će se šifrirani podaci uništiti. @[e-mail zaštićen] prozor otvara mjerač vremena koji odbrojava vrijeme do uništenja podataka. Nažalost, trenutno ne postoji besplatni softver za dešifriranje koji bi pomogao besplatno oporaviti šifrirane podatke.
Dakle, nakon što ste zaraženi, zapravo ne možete učiniti ništa da biste poništili posljedice napada. Dakle, mnogo je važnije poduzeti mjere i zaštititi svoj uređaj prije nego što virus kroči na vaš sustav. Evo nekoliko koraka koje trebate poduzeti kako biste spriječili infiltraciju WannaCrya.
Kako onemogućiti SMB i spriječiti WannaCry napad?
SMB (Server Message Block) funkcija je glavna ranjivost koja omogućuje ransomwareu da zarazi računala. Budući da je ova značajka omogućena u sustavu Windows prema zadanim postavkama, iznuđivači je mogu lako koristiti za izvođenje napada. Stoga toplo preporučujemo da ga onemogućite ako ga ne koristite. Vrlo je jednostavno i možete ga postići u tri osnovna koraka:
- Kliknite logotip sustava Windows u donjem lijevom kutu zaslona i upišite "Značajke sustava Windows" u traku za pretraživanje
- Otvorite prozor značajki i idite na postavke i potražite SMB unos. Uklonite oznaku i kliknite OK
- Ponovno pokrenite računalo
Također možete onemogućiti SMB putem PowerShell-a. Ono što trebate učiniti je upisati "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol". Nakon što je značajka onemogućena, preporučujemo ponovno pokretanje računala.