Avînd în vedere că de vineri 12 mai, numeroase organizaţii din întreaga lume au fost afectate de o nouă variantă de virus cibernetic ransomware, care poartă denumirea de „WannaCry”, CERT a transmis cîteva recomandări prudenţiale.
"Spre deosebire de alte campanii ransomware din trecut, cea de faţă dispune şi de capabilităţi de răspîndire în reţea (lateral movement) prin exploatarea unei vulnerabilităţi a protocolului SMBv1”, explică CERT.
Această ameninţare „se propagă prin intermediul unor mesaje email care conţin ataşamente şi link-uri maliţioase, atacatorii utilizînd tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele maliţioase”. Odată infectată o staţie de lucru dintr-o reţea, „malware-ul încearcă să se răspîndească în interiorul reţelei prin intermediul protocolului SMB, utilizînd porturile UDP/37, UDP/138, TCP/139 şi TCP/445” arată CERT.
Procesul de răspîndire se realizează prin exploatarea unei vulnerabilităţi a protocolului SMBv1 din cadrul Windows, cunoscută ca CVE-2017-0145.
Potrivit CERT, următoarele sisteme de operare sînt cunoscute ca fiind pasibile de a fi afectate de această ameninţare în cazul în care nu au fost actualizate:
- Microsoft Windows Vista SP2 - Microsoft Windows Server 2008 SP2 şi R2 SP1 - Microsoft Windows 7 - Microsoft Windows 8.1 - Microsoft Windows RT 8.1 - Microsoft Windows Server 2012 şi R2 - Microsoft Windows 10 - Microsoft Windows Server 2016 - Microsoft Windows XP - Microsoft Windows Server 2003.
Pentru a prevenie astfel de atacuri, organizaţiile şi utilizatorii sistemelor de operare Windows sînt sfătuiţi să întreprindă următoarele măsuri:
- actualizarea la zi a sistemelor de operare şi aplicaţiilor, inclusiv cu patch-ul MS17-010 - blocarea porturilor SMB (139, 445) în cadrul reţelei; - utilizarea unui antivirus actualizat cu ultimele semnături; - manifestarea unei atenţii sporite la deschiderea fişierelor şi link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email; - realizarea periodică a unor copii de siguranţă (backup) pentru datele importante.
Ca indicaţii pentru remediere, în eventualitatea infectării cu ransomware, CERT vă recomandă să întreprindeţi de urgenţă următoarele măsuri:
- deconectarea imediată de la reţea a sistemelor informatice afectate; - dezinfectaţi sistemele compromise; - restauraţi fişierele compromise utilizînd copiile de siguranţă (backup); - raportaţi incidentul către CERT-RO la adresa de email alerts@cert.ro.
Adăuga comentariu