Izsiljevalska programska oprema WannaCry je nova in razširjena kibernetska pandemija, ki je vzela za talce že več kot 230.000 računalnikov. S svojo trenutno količino razpršenosti se WannaCry približuje ravni drugih zloglasnih kibernetskih groženj, kot sta Cerber ali Locky.
Kljub temu, kaj razlikuje WCry od teh dveh lanskoletnih najnevarnejših parazitov je uporaba novih tehnik distribucije, ki se ne potrebujejo žrtev, da kliknejo na okužene povezave ali sodelujejo pri pridobivanju ransomware v katerem koli drugem način.
Zlonamerna programska oprema uporablja prakse in orodja, ki jih uporabljajo ameriške obveščevalne službe za vdor v računalnike in zagon zlonamernega skripta, da postanejo podatki uporabnikov nedostopni. Zlasti izsiljevalska programska oprema uporablja izkoriščanje EternalBlue za ciljanje na naprave Windows z nepokrpano ranljivostjo MS17-010. Ta varnostna vrzel je odprta v različicah sistema Windows, ki niso več podprte in ne prejemajo varnostnih posodobitev.
Na srečo je Microsoft kot odgovor na zadnje dogodke izdal nujne popravke za Windows XP, Windows Server 2003, Windows 8 in nekaj drugih zastarelih operacijskih sistemov. Toda tudi posodobitev programske opreme morda ne bo zadostovala za preprečitev napada izsiljevalne programske opreme.
Spodaj bomo podali navodila, kako onemogočiti funkcionalnost SMB (Server Message Block), ki se uporablja za uvajanje zlonamerne WanaCrypt0r datoteke v računalniku. Toda preden se odpravimo na vadnico, želimo na kratko opredeliti zlonamerno programsko opremo in kako se obnaša na okuženem računalniku, da jo boste lažje prepoznali.
Wannacry uporablja različne razširitve za označevanje šifriranih datotek
Kot ste morda opazili, smo v prejšnjih odstavkih uporabljali različna imena za sklicevanje na virus WannaCry. To je zato, ker virus dejansko potuje naokoli v različnih oblikah in oblikah, ki jih je najverjetneje težje prepoznati in uničiti.
Raziskava je pokazala, da virus zdaj uporablja štiri različne razširitve .wncry, .wncrytt, .wcry oz. .wncryt za označevanje šifriranih datotek, vendar lahko pričakujemo več različic, ko se izsiljevalska programska oprema dvigne hitrost. Če želite odstraniti te razširitve in obnoviti datoteke, morajo uporabniki plačati izsiljevalcem do 600 dolarjev v Bitcoin; v nasprotnem primeru bodo šifrirani podatki uničeni. @[email protected] okno odpre časovnik, ki odšteva čas do uničenja podatkov. Na žalost trenutno ne obstaja brezplačna programska oprema za dešifriranje, ki bi pomagala brezplačno obnoviti šifrirane podatke.
Torej, ko ste enkrat okuženi, res ne morete storiti ničesar, da bi odpravili posledice napada. Zato je veliko bolj pomembno, da ukrepate in zaščitite svojo napravo, preden virus stopi v vaš sistem. Tukaj je nekaj korakov, ki jih morate sprejeti, da preprečite infiltracijo WannaCry.
Kako onemogočiti SMB in preprečiti napad WannaCry?
Funkcija SMB (Server Message Block) je glavna ranljivost, ki omogoča, da izsiljevalska programska oprema okuži računalnike. Ker je ta funkcija v sistemu Windows privzeto omogočena, jo lahko izsiljevalci enostavno uporabijo za izvedbo napada. Zato toplo priporočamo, da ga onemogočite, če ga ne uporabljate. To je zelo preprosto in ga lahko dosežete v treh osnovnih korakih:
- Kliknite logotip Windows v spodnjem levem kotu zaslona in v iskalno vrstico vnesite »Funkcije sistema Windows«.
- Odprite okno s funkcijami in pojdite na nastavitve in poiščite vnos SMB. Odznačite ga in kliknite V redu
- Znova zaženite računalnik
SMB lahko tudi onemogočite prek PowerShell. Kar morate storiti je, da vnesete "Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol". Ko je funkcija onemogočena, priporočamo, da znova zaženete računalnik.