15. 5. 2017

Ransomware se začal šířit během pátečního odpoledne a velmi rychle infikoval velké množství počítačů po celém světě. WannaCry je unikátní tím, že kromě standardního způsobu šíření (phishing) přidává i druhý způsob – zneužití SMB zranitelnosti ve Windows. Podporované systémy získaly opravu zranitelnosti během března (MS17-010). Microsoft navíc vydal mimořádnou aktualizaci i pro nepodporované systémy včetně Windows XP, Vista, Windows 8, Windows Server 2003 a 2008. Podrobný popis chování ransomwaru WannaCry můžete najít zde a zde. V případě detekce incidentu nás prosím kontaktujte na cert.incident@nbu.cz.

POSTIŽENÉ SYSTÉMY

Počítače s OS Microsoft Windows.

Ochrana proti běžnému šíření pomocí phishingu nebo spamu:

(o phishingu jsme psali podrobně zde)

  • Doručené podezřelé e-maily ignorujte.
  • Neklikejte na žádné odkazy v podezřelém nebo nevyžádaném e-mailu.
  • Neotevírejte podezřelé nebo nevyžádané přílohy e-mailu.
  • U podezřelých e-mailů kontrolujte podrobnosti (kudy e-mail putoval, přes jaké IP adresy - položky „Received“, které obsahují záznamy o „cestě“ zprávy mezi jednotlivými přenosovými uzly atp.).
  • Pravidelně aktualizujte internetový prohlížeč, antivirový program a e-mailového klienta. 
  • V případě pochybností si obsah podezřelého e-mailu ověřte telefonátem do zákaznického centra instituce.

Ochrana proti zneužití zranitelnosti:

  • Aktualizujte všechny Microsoft systémy, a to i včetně těch, kterým skončila oficiální podpora (i pro ně byla vydána záplata).
  • Pokud nelze systém aktualizovat, blokujte TCP a UDP porty 137, 138, 139 a 445.
  • Případně můžete SMB vypnout úplně. Podrobný návod zde.

CVE

CVE-‎2017-0144

ODKAZY

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://blog.kaspersky.com/wannacry-ransomware/16518/
https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
https://www.govcert.cz/cs/informacni-servis/doporuceni/2325-phishing-stale-aktualni-hrozba/
https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012