Sfaturi Kaspersky Lab cu privire la atacul WannaCry
Posted by
Programul ransomware infecteaza victimele, profitand de o vulnerabilitate Microsoft Windows, descrisa si rezolvata in Microsoft Security Bulletin MS17-010. Exploit-ul folosit, "Eternal Blue", a fost dezvaluit in cazul Shadowbrokers din 14 aprilie. Odata ajunsi in sistem, atacatorii instaleaza un rootkit, care le permite sa descarce programul pentru a cripta datele. Malware-ul cripteaza fisierele. Ulterior, sunt afisate un mesaj in care se solicita 600 de dolari in Bitcoin si wallet-ul, iar rascumpararea creste in timp. Expertii Kaspersky Lab incearca in prezent sa stabileasca daca este posibila decriptarea datelor criptate in timpul atacului, pentru a dezvolta un instrument de decriptare cat mai curand posibil.
Solutiile Kaspersky Lab detecteaza programul malware folosit in atac, sub urmatoarele denumiri: * Trojan-Ransom.Win32.Scatter.uf * Trojan-Ransom.Win32.Scatter.tr * Trojan-Ransom.Win32.Fury.fr * Trojan-Ransom.Win32.Gen.djd * Trojan-Ransom.Win32.Wanna.b * Trojan-Ransom.Win32.Wanna.c * Trojan-Ransom.Win32.Wanna.d * Trojan-Ransom.Win32.Wanna.f * Trojan-Ransom.Win32.Zapchast.i * Trojan.Win64.EquationDrug.gen * Trojan.Win32.Generic (trebuie activata componenta System Watcher)
Recomandam urmatoarele masuri pentru a reduce riscul infectarii dispozitivelor: * Instalati patch-ul oficial de la Microsoft, care rezolva vulnerabilitatea folosita in acest atac. * Asigurati-va ca solutiile de securitate sunt pornite in fiecare nod de retea (daca este folosita o solutie Kaspersky Lab, asigurati-va ca include componenta System Watcher, o componenta de detectie proactiva, bazata pe analiza de comportament si ca aceasta este activata). * Faceti o scanare folosind functia Critical Area Scan dintr-o solutie Kaspersky Lab, pentru a detecta infectia cat mai posibil (altfel, va fi detectata automat, daca nu este oprita, in cursul a 24 de ore). * Faceti un reboot al sistemului, daca detecteaza MEM: Trojan.Win64.EquationDrug.gen. * Folositi servicii de raportare privind informatiile despre amenintari, disponibile pentru clienti. O descriere detalita a metodei de atac WannaCry si a indicatorilor de compromitere este disponibila in acest articol de pe Securelist: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/. 600