Kako se zaštititi od Ransomware WannaCry virusa koji je potresao svet?!
Ransomware Wana Decryp0r, poznatiji i kao WCry, WannaCry i WannaCrypt, je virus koji je obišao ceo svet i zarazio stotine hiljada računara iz 99 država.
Ovaj virus nam je poznat od ranije ali nije bio toliko rasprostranjen. Tokom ovog vikenda virus je buknuo i zarazio mnoge računare među kojima su računari zdravstvenih ustanova u Velikoj Britaniji što je onemogućilo ispravno funkcionisanje njihovih sistema.
Ali, virus ne bira pa napada računare od prosečnih korisnika do ruskog Ministarstva unutrašnjih poslova. Međutim, oni su se na vreme zaštitili i time je zaraženo „samo“ 1.000 računara, što je manje od jednog procenta računara koje oni koriste.
WannaCry se tako naglo raširio zahvaljujući alatu koji je kreirala Nacionalna bezbednosna agencija (NSA) a koji je prošlog meseca objavila javno hakerska grupa Shadow Brokers. Ovaj alat funkcioniše tako što obezbeđuje pristup računaru preko SMBv1 protokola.
Virus prvo preuzima TOR klijent i smešta ga u TaskData folder. Pomoću TOR klijenta komunicira sa upravljačkim serverom. Zatim, šifruje fajlove u računaru i dodaje im ekstenziju .WNCRY te u šifrovanom folderu kreira fajl @[email protected] u kome se nalaze pitanja i odgovori i fajl @[email protected]
Zatim, WannaCry briše Shadow Volume kopije, onemogućuje Windows startup recovery i briše Windows Server bekap istoriju. I na kraju se prikazuje Wana Decryptor 2.0 sa informacijama kako platiti otkupninu. Žrtvi se obećava da će fajlovi biti vraćeni ukoliko uplati 300$ u bitkoinima. Ako ne uplati na vreme, suma se uvećava.
Kako se zaštititi?
Zbog načina na koji se WannaCry širi, Microsoft je izdao ažuriranja sa zakrpama i to za starije verzije Windows sistema, uključujući i Windows XP, Windows 8 i Windows Server 2003. Pre mesec dana MS je objavio ažuriranje (MS17-010) za aktuelne verzije Windows-a, tj. za Windows Vista, Windows 7, Windows 8.1, Windows 10 i Windows Server 2008/2012/2016.
Ako koristite stariju verziju Windows-a i niste sigurni da li ste dobili sigurnosno ažuriranje za ovaj virus, možete ga ručno preuzeti i instalirati sa OVOG linka.
Manuelno onemogućite SMBv1:
1) Kontrolna tabla\Programi\Programi i funkcije
2) Uključivanje ili isključivanje Windows funkcija
3) Na listi onemogućite „SMB 1.0“
4) sačuvajte i ponovo pokrenite računar
Da proverite da li je SMBv1 onemogućen, otvorite CMD (win+r>cmd>enter) kopirajte ovaj kod i lupite enter:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
Prva stavka treba da je „False“ a druga „True“. To znači da je v1 onemogućen a v2 omogućen. Ako v2 nije omogućen, pokrenite ovu komandu:
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Detaljnije uputstvo na Microsoft sajtu – link.
WannaCry je trenutno zaustavljen od strane osobe koja se na internetu potpisuje kao MalwareTech. Kako? On je pogledao kod virusa i pronašao zanimljiv domen iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com koji je za desetak dolara registrovao i na taj način ugasio ovaj virus.
Način na koji ovaj „prekidač“ funkcioniše je jednostavan: WannaCry je pri svakom pokretanju proveravao da li je pomenuti domen registrovan, ukoliko nije – nastavlja da se izvršava. Kada je MalwareTech registrovao domen, virus je prestao da se širi i na taj način trajno onemogućio širenje ove verzije virusa. Ali, on upozorava da je to rešenje samo za tu verziju, hakeri trebaju samo da izmene parče koda i ponovo puste virus.
Zato, najbolje rešenje je da redovno ažurirate sistem i koristite ažuriran Anti virus. Iz Avast-a kažu da njihov anti-virus poseduje modul zaštite „ponašanje softvera“ i može da detektuje ovaj virus na vreme, a modul je dostupan u svim verzijama, pa čak i u besplatnoj.
Aktuelnu mapu zaraženih računara možete pogledati na ovom linku:
