WannaCry pahavara teeb paksu pahandust!

12.mail 2017 nakatas WannaCryptor (tuntud ka kui WannaCry) pahavara tuhandeid arvuteid üle terve maailma. 24 tunniga oli pahavara nakatanud üle 185 000 arvuti, rohkem kui 100 riigis. See on küberajaloo üks kõige kiiremini eskaleerunud pahavara. Tänaseks päevaks on nakatanud ligi 290 000 arvutit.
HUVITAV! Vaata reaalajas jälgitavat graafikut nakatanud arvutitest asukohapõhiselt: https://intel.malwaretech.com/pewpew.html

Küberrünnak on eriti ohtlik just ettevõtetele või riigiasutustele, sest sellesse nakatumine vajab ainult ühe töötaja poolt tehtavat valeliigutust ning terve asutuse infosüsteem saab nakatatud. On teatatud ka juhtumitest, kus pahavara on edasi kandunud ka tütarettevõtetesse. WannaCry laia leviku põhjuseks Windowsi operatsioonisüsteemis paiknev turvaauk. MS17-010 turvaauk eksisteerib enamikes Windowsi operatsioonisüsteemi kasutatavates arvutites. Rünnak on levinuim Windowsi versioonidel, mida enam uuendada võimalik ei ole – Windows XP/2003 Server, Vista ja Windows 7.

Rünnak on kaasa toonud suuri seisakuid haiglates, telekomiettevõtetes ja kommunaalteenuseid pakkuvates ettevõtetest – mõjutada on saanud seega riigi julgeolekuga seotud asutused.

Tavaline pahavara ei ole tänapäevasele arvutikasutajale mingi uudis ning meediast on viimaste aastate jooksul käinud läbi üha rohkem juhtumeid, kus mõni väike- või suurettevõte on nakatunud pahavarasse. Kuigi tavaliselt levivad sellised pahavarad e-kirjade kaudu, siis WannaCry on pigem Windowsi turvaaugu tõttu ohtlik.

Kuidas teeb Windowsi turvaauk ühe pahavara nii ohtlikuks? Turvaaugu kaudu saab kaugjuhtimise abil  ründaja aktiveerida nakatanud arvutis koodi, mis aitab tal nakatada arvuteid pahavaraga ilma, et selleks mõni töötaja või arvutikasutaja pahavarasse nakatanud e-kirja manust või linki avama peaks.. See turvaauk annab ründajale hea võimaluse rünnata infrastruktuure, kus inimese käsi otseselt mängus ei ole – näiteks serverid, mis jooksevad kaitsetul Server Messege Block ehk SMB protokollil. Asja teeb huvitavaks see, et antud küberrünnak on saanud tuult tiibadesse NSA abil (Ameerika Ühendriikide Riikliku Julgeolekuagentuuri infolekke tulemusel).

Microsoft reageeris MS17-010 turvaaugule märtsis, lastes välja uuenduse. Kuna paljud ettevõtted ja arvutikasutajad ei ole seda uuendust veel teinud, siis ongi viirus levinud niivõrd kiirelt ja laiahaardeliselt üle maailma.

Soovitus? Riski minimeerimiseks soovitame uuendada oma Windowsi, lappida üle MS17-010 kuumparandus ja uuendada koheselt oma viirusetõrjet. Kui Teie infosüsteem ei ole nakatatud, kuid soovite olla kindlad, et seda ei juhtu, siis kirjutage meile digifi@digifi.ee või helistage 322 3523.

Kui Teie infosüsteem on nakatatud ning Te ei tea, mida edasi teha, siis võtke meiega koheselt ühendust! Kui oled IT teadlik inimene, siis siin on mõned valikud, kuidas probleemi lahendada:

  • Patchid või eemaldad NT4, 2000, XP-2003 masinad
  • Keelad ära pordid 445, 139, 3389
  • Port 3389 võiks olla ka peale patchimist tulemüüris kinni keeratud või siis ainult autoriseeritud masinate poolt ligipääsetav

Siiski kõige efektiivsem viis on patchida või SMP 1 teenus kinni panna, kuid SMB1 teenuse sulgemisega võib tekkida probleeme, sest kuni Windows 7 ja 2008 R2 serverini on kasutusel SMB1 failiserveri vastu autentimisel.

Lisainfot leiad patchimise kohta siit: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Nakatumisel ei tohi mitte mingil juhul arvutile või tervele infosüsteemile restarti teha, sest peale igat restarti tühjendatakse automaatselt mälu. Kuna turvaaugu tõttu talletatakse arvuti mälusse privaatne võti, mille abil on vimalik lahti dekodeerida enda andmed. Peale restarti kahjuks antud privaatvõtme jupid kaovad ja seetõttu muutuvad failid lahti krüpteerimiseks kõlbmatuks.

Tegutse oma IT-süsteemi turvalisuse tagamisega juba täna, sest parem on karta, kui kahetseda!

digifi@digifi.ee

www.digifi.ee

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga