WannaCry/Wcry Ransomware: Kako se zaštititi?

utorak, 16 Maj 2017 21:45

Talas ransomware infekcija pogađa organizacije u svim industrijama u čitavom svijetu, a u petak, 12. maja, svijet je vidio jedan od najvećih ransomware napada do sada. Ovaj ransomware nazvan je WannaCry (Wcry ili WannaCrypt0r 2.0) i za samo nekoliko sati detektovan je na više od 125 000 računara širom svijeta, od čega je za sada najveći broj žrtava detektovano u Evropi.

WannaCry dolazi u organizaciju putem maila, dovoljno je samo klinuti na zaraženi link ili sadržaj u prilogu da se preuzme maliciozni kod na računar. Za razliku od prethodnih ransomware-a, WannaCry ne samo da kriptuje dokumente na računaru, već ima mogućnost da se širi od računara do računara unutar mreže kompanije koristeći nezakrpljene ranjivosti operativnih sistema i na taj način uveliko povećava domet svog napada.

10356398 824732287556319 3594046473139519605 n

EMC je na svojoj stranici već pisao vijesti o tome šta je ransomware zapravo i kako se zaštititi od njega, a sada Vam ponovo donosimo neke osnovne smjernice o tome kako zaštititi svoje IT sisteme od sličnih napada u budućnosti:

Ažuriranja operativnih sistema i aplikacija - implementiranje učinkovite strategije ažuriranja

Mnoge ransomware infekcije, uključujući i WannaCry iskorištavaju ranjivosti operativnih sistema. Ukoliko oparativni sistem obavijesti da su novi update-i spremni za instalaciju, potrebno ih je odmah instalirati jer mnoga ažuriranja predstavljaju sigurnosne ispravke koje štite računar od moguće zloupotrebe. Također, pored napada koji iskorištavaju ranjivosti operativnog sistema, moguće je da napad iskoristi ranjivost nekog od instaliranih programa poput Java, Flash Player, PDF čitača i sl. Zbog toga je redovito ažuriranje ovih programa od velike važnosti.

Na sljedećem linku možete pronaći neophodne zakrpe za Windows operativne sisteme kako bi se zaštitili od WannaCry ransomwarea - https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Ne otvarati emailove bez potvrde ko ih je zaista poslao

Kada se ransomware distribuira preko emaila, u mnogim slučajevima downloader ili stvarna infekcija se nalaze u prilogu maila. Zbog toga nikada ne treba otvarati priloge email-ova bez skeniranja istih pomoću nekog antivirus alata ili prethodne potvrde sa osobom koja ga je poslala. Ukoliko ipak greškom otvorite mail i pri tome se pojavi prozor sa opcijama omogućavanja makroa ili sadržaja, nikada ne prihvatajte omogućavanje tih opcija jer će se na taj način preuzeti i instalirati ransomware.

Biti oprezan prilikom preuzimanja sa Interneta

Pored preuzimanja ransomwarea ili bilo kojeg drugog malicioznog sadržaja putem maila, preuzimanje besplatnog sadržaja sa Interneta također može sadržavati skriveni ransomware kao „bonus“. Preporučuje se download sa stranica kojima vjerujete i uvijek treba pročitati ugovor o licenciranju.

Kreirati redovan backup

Backup predstavlja prioritet za svakoga i za sve. Ukoliko se kreira up-to-date backup, ransomware gubi smisao, jer je moguće ukloniti infekciju, formatirati medij i povratiti podatke pomoću sigurnosne kopije. Treba naglasiti da bi backup trebao biti pohranjen na neki eksterni storage jer će ransomware ciljati i šifrirati sve diskove na računaru, uključujući mapirani mrežni disk a ponekad će napad vršiti i direktno na nemapirane dijeljene lokacije na mreži. Najbolje rješenje bi bila dobra cloud backup strategija sa verzioniranjem. Kako većina cloud backup-a ne vrši mapiranje na računar kao lokalni disk, backup je zaštićen od toga da bude kriptovan i može se koristiti za vraćanje podataka.

Instalacija antivirus ili antimalware rješenja

Na svakom računaru je neophodno instalirati pouzdano antivirus ili antimalware rješenje kako bi se pravovremeno otkrila ponašanja ransomware-a prilikom pokušaja enkripcije podataka i njegovo zaustavljanje. Trend Micro sigurnosna rješenja mogu vas zaštititi od ransomware-a, a EMC d.o.o., kao Trend Micro Partner, Vam može pomoći u implementaciji ovih rješenja.

Ograničiti kontrolu pristupa i korisničke privilegije

Neophodno je napraviti pravilne politike za kontrolu pristupa, naročito kada je u pitanju pristup ključnim resursima kompanije. Bez naprednih mehanizama ograničavanja pristupa do resursa u kompaniji, ali i monitoringa pristupa u slučajevima kada je neophodno da on bude dozvoljen, korisnici bi, nekada čak i nesvjesno, mogli načiniti neizmjernu štetu kompaniji. Nadzor privilegovanih korisnika moguće je raditi uz posebne sisteme koji su napravljeni isljučivo za te namjene.

Npr. ukoliko se ne koristi, nema razloga da Remote Desktop i dalje ostane omogućen. Sa druge strane ukoliko se koristi, poželjno je promijeniti port, drugačiji od 3389, tako da računar postane nevidljiv skriptama ili skenerima koji su u potrazi za zadanim TCP portom. Na Windows-u postoji više načina kako možete unaprijediti sigurnost u svojoj kompaniji, kao npr. kreiranjem White List Policy-ja na Windows-u moguće je dopustiti pokretanje isključivo programa koji su navedeni na listi. Ovim se sprečava bilo kakavo pokretanje nepoznatih i neautorizovanih programa na računaru. Software Restriction Policies je također metoda koja omogućava kreiranje različitih pravila koja ograničavaju pokretanje skripti unutar određenih foldera.

Koristiti jake lozinke

Treba se pobrinuti da se koriste jake lozinke kako bi se računar zaštitio od neovlaštenog pristupa. Neke od ransomeware infekcija su instalirane od strane napadača pomoću prijave putem Remote Desktop veze koja je osigurana slabom lozinkom. Za bolju zaštitu preporučuje se i korištenje jednokratnih lozinki ili One Time Password-a (OTP) čime se osigurava dodatna sigurnost za Vaše korisničke račune. OTP lozinke se naročito preporučuju za udaljeni pristup do resursa koji se nalaze unutar kompanije, odnosno do ključnih resursa čije kompromitovanje bi kompaniji moglo nanijeti veliku štetu.

Omogućiti prikaz ekstenzija

Prema zadanim postavkama Windows i Mac operativni sistemi ne prikazuju ekstenzije datoteka unutar foldera. Upravo je ovo razlog zašto kreatori malicioznih sadržaja pokušavaju prevatiti korisnika tako da pomisli da su neke izvršne datoteke zapravo Word, Excel ili PDF dokumenti. Korisnici će otvoriti datoteku očekujući da sadrži podatke, međutim malware će biti instaliran.

Preimenovati vssadmin na Windows-u

Windows koristi Shadow Volume kopije kako bi automatski pohranio sigurnosne kopije datoteka sa računara. Ovakav backup se može koristiti za vraćanje podataka kada su promjenjeni ili izbrisani. Ransomware developeri su se pobrinuli da će njihova infekcija izvršiti vssadmin.exe komandu, kako bi obrisali sve shadow volume kopije na računaru tako da se ne mogu koristiti za vraćanje kriptovanih datoteka.

Onemogućiti Windows Script Host

Mnoge ransomware infekcije su instalirane putem skripti koje su kodirane u Jscript ili VBS. Strogo se preporučuje onemogućavanje pokretanja ovih skripti u Windowsu. U slučaju kada je onemogućeno pokretanje skripti, a neka skipta se ipak pokuša pokrenuti, pojavljuje se poruka prikazana na slici.

Onemogućiti Windows PowerShell

1-Windows-Script-Host

Windows PowerShell se također koristi za instalaciju ransomware-a ili kriptovanje datoteka. Ukoliko ne koristite PowerShell, možete onemogućiti izvršenje PowerShell (PS1) skripte unosom naredbe u Windows Elevated Command Prompt:

powershell Set-ExecutionPolicy –ExecutionPolicy Restricted

Uvijek budite na oprezu

Osigurajte da su svi korisnici u kompaniji upoznati s sigurnosnim politikama i da su upoznati sa planom koga kontaktirati za savjet i podršku u slučaju incidenta.

Ako još niste sigurni i vjerujete da vaši računari i IT sistemi mogu biti zaraženi ransomwareom ili bilo kojim drugim cyber napadom, obratite nam se - mi smo tu da vam pomognemo.

Izvori:

https://www.starwindsoftware.com/blog/ransomware-14-key-methods-of-protection#more-4469?utm_source=linkedin&utm_medium=linkedin&utm_campaign=blog

http://ba.n1info.com/a153715/Vijesti/Vijesti/Upozorenje-u-BiH-nakon-hakerskog-napada-u-svijetu.html

https://blogs.forcepoint.com/security-labs/wannacry-ransomware-worm-targets-unpatched-systems