Świat zaatakowany przez WannaCry. Jak można się bronić przed atakami ransomware?

Ransomware to najszybciej rozwijający się rodzaj szkodliwego oprogramowania. Analizy pokazują, że od 1 stycznia 2016 roku codziennie dochodzi do ponad 4 tysięcy ataków przeprowadzanych tą metodą. Ostatni globalny atak za pomocą ransomware WannaCry jest największym w historii.

Jest to wysoce złośliwy szczep autoreplikującego ransomware określanego na wiele sposobów, m.in. jako WCry, WannaCry, WannaCrypt0r, WannaCrypt lub WannaDecrypt04, który rozprzestrzeniał się za pomocą exploitu nazwanego ETERNALBLUE. Co interesujące: exploit został wykradziony w zeszłym miesiącu z amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) przez grupę cyberprzestępczą znaną jako The Shadow Brokers.

Ofiarami ataku padły m.in. rosyjskie Ministerstwo Spraw Wewnętrznych, uniwersytety w Chinach, węgierscy i hiszpańscy operatorzy telekomunikacyjni, a także szpitale prowadzone przez British National Health Services. Warto przy tym zwrócić uwagę na to, że informacje o wymaganym okupie pojawiły się w przynajmniej dwunastu wersjach językowych.

Użyty do ataku exploit ETERNALBLUE wykorzystuje lukę w protokole Microsoft Server Message Block 1.0 (SMBv1). Problem dotyczy następujących produktów firmy Microsoft: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 i Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016, Windows Server Core installation option.

Microsoft wydał w marcu krytyczne poprawki tej luki w biuletynie Microsoft Security Bulletin MS17-010. W tym samym miesiącu firma Fortinet wydała sygnaturę IPS w celu wykrycia i zablokowania tej luki w zabezpieczeniach, a 12 maja – nowe sygnatury AV, aby wykryć i zatrzymać ten atak. Testy przeprowadzone przez osoby trzecie potwierdzają również, że oprogramowanie Fortinet Anti-Virus i FortiSandbox skutecznie blokują to złośliwe oprogramowanie.

W związku z atakiem eksperci Fortinet zalecają działania zapobiegawcze, które powinny podjąć zarówno organizacje, jak i użytkownicy prywatni:

– regularne aktualizowanie oprogramowania oraz patchów na wszystkich urządzeniach podłączonych do sieci;