WannaCry ransomware az új és széles körben elterjedt kiberjárvány, amely már több mint 230 000 számítógépet ejtett túszul. Jelenlegi terjedelmével a WannaCry megközelíti a többi olyan hírhedt kiberfenyegetés szintjét, mint a Cerber vagy a Locky.
Ennek ellenére mi a különbség WCry ebből a két tavalyi legveszélyesebb parazita közül az új elosztási technikák alkalmazása, amelyek igen nincs szükség arra, hogy az áldozatok rákattintsanak a fertőzött linkekre, vagy részt vegyenek a ransomware megszerzésében bármely más esetben út.
A rosszindulatú program az amerikai titkosszolgálat által használt gyakorlatokat és eszközöket használja a számítógépekbe való behatoláshoz és a rosszindulatú szkript futtatásához, hogy elérhetetlenné tegye a felhasználók adatait. A ransomware különösen az EternalBlue exploitot használja a javítatlan MS17-010 biztonsági réssel rendelkező Windows-eszközök megcélzására. Ez a biztonsági hiányosság meg van nyitva azokon a Windows-verziókon, amelyek már nem támogatottak, és nem kapnak biztonsági frissítést.
Szerencsére a legutóbbi eseményekre reagálva a Microsoft sürgősségi javításokat adott ki a Windows XP, Windows Server 2003, Windows 8 és néhány más elavult operációs rendszerhez. De előfordulhat, hogy még a szoftverfrissítés sem elegendő a zsarolóvírus-támadások megelőzéséhez.
Az alábbiakban útmutatást adunk az SMB (Server Message Block) funkció letiltásához, amely a rosszindulatú program telepítésére szolgál. WanaCrypt0r fájlokat a számítógépen. Mielőtt azonban rátérnénk az oktatóanyagra, szeretnénk röviden meghatározni a rosszindulatú programokat és azt, hogyan viselkedik a fertőzött számítógépen, hogy könnyebben felismerhesse.
A Wannacry különböző kiterjesztéseket használ a titkosított fájlok megjelölésére
Amint azt bizonyára észrevette, az előző bekezdésekben különböző neveket használtunk a WannaCry vírusra. Valójában a vírusnak köszönhető, hogy sokféle formában és formában terjed, és valószínűleg bonyolultabb felismerni és megszüntetni.
A kutatás feltárta, hogy a vírus immár négy különböző kiterjesztést használ: .wncry, .wncrytt, .wcry vagy .wncryt a titkosított fájlok megjelölésére, de további változatokra számíthatunk, ahogy a zsarolóprogram felgyorsul sebesség. E kiterjesztések elvetéséhez és a fájlok helyreállításához a felhasználóknak legfeljebb 600 dollárt kell fizetniük a zsarolóknak Bitcoinban; ellenkező esetben a titkosított adatok megsemmisülnek. @[e-mail védett] ablak megnyílik egy időzítő, amely visszaszámol az adatmegsemmisítésig eltelt idővel. Sajnos jelenleg nem létezik ingyenes visszafejtő szoftver, amely segítené a titkosított adatok ingyenes visszaállítását.
Tehát, ha egyszer megfertőződött, nem igazán tehet semmit a támadás következményeinek visszaszorítására. Ezért sokkal fontosabb, hogy intézkedjen és védje meg készülékét, mielőtt bármilyen vírus behatol a rendszerébe. Íme néhány lépés, amelyet meg kell tennie, hogy megakadályozza a WannaCry beszivárgását.
Hogyan lehet letiltani az SMB-t és megakadályozni a WannaCry támadást?
Az SMB (Server Message Block) funkció a fő biztonsági rés, amely lehetővé teszi a ransomware számára, hogy megfertőzze a számítógépeket. Mivel ez a funkció alapértelmezés szerint engedélyezve van a Windows rendszeren, a zsarolók könnyen használhatják a támadáshoz. Ezért erősen javasoljuk, hogy tiltsa le, ha nem használja. Ez nagyon egyszerű, és három alapvető lépésben érhető el:
- Kattintson a Windows logóra a képernyő bal alsó sarkában, és írja be a „Windows-szolgáltatások” kifejezést a keresősávba
- Nyissa meg a szolgáltatásablakot, lépjen a beállításokhoz, és keresse meg az SMB bejegyzést. Törölje a jelölést, és kattintson az OK gombra
- Indítsa újra a számítógépet
Az SMB-t a PowerShell segítségével is letilthatja. A következőt kell beírnia: „Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol”. A funkció letiltása után javasoljuk a számítógép újraindítását.