WANNACRY napast

WannaCry: Da li ste sigurni od kripto virusa ?

Od pre nekoliko dana počela je opšta histerija od trojanca pod imenom WANNACRY . Kako izgleda , opšti napad “zaključao” je zvanično više od više od 45.000 računara , mada se smatra da je broj zaključanih  nekoliko puta veći .

Šta se u stvari dogodilo ?

Nekoliko velikih organizacija prijavilo je infekciju istovremeno. Među njima je  bilo nekoliko britanskih bolnica koje su morale da obustave poslovanje. Prema dostupnim podacima , WannaCry je zarazio više od 200.000 računara. Sam broj infekcija bio  je toliki da je i zaslužio toliko pažnje.Najveći broj napada desio se u Rusiji, ali ali su veliku štetu pretrpeli i Ukrajina, Indija i Tajvan . Kaspersky LAB je samo prvog dana napada, pronašao WannaCry u 74 zemlje.

KAKO RADI WANNACRY !!!

Uopšteno, WannaCry dolazi u dva dela. Prvo, to je exploit čije potrebe su infekcija i razmnožavanje. U drugom dijelu je kripter koji je prebačen na PC nakon što je zaražen.

U prvom delu je glavna razlika između WannaCry i većina šifrovanja. Da inficira računar sa zajedničkim šifarnikom, korisnik MORA napraviti grešku, na primjer klikom sumnjivu vezu, omogućavajući Word za pokretanje malicioznog makroa, ili preuzimanje sumnjivog priloga iz e-mail poruke . Sistem može biti zaražen sa WannaCry kripterom bez potrebe da korisnik radi ništa.

WannaCry: Istraživanje bezbednosnih “rupa” i  razmnožavanje 

Tvorci WannaCry kriptera  su iskoristili Windows bezbednosni proput poznat kao EternalBlue, koja se oslanja na ranjivost koju Microsoft zakrpio u update-u  MS17-010, od 14.03.2017. godine. Korištenjem propusta moguće je preuzeti kontrolu nad računarom i instalirati kripter.
Ako ste instalirali ažuriranje, može se reći da ste većim delom bezbedni od opcije instaliranja kriptera . Međutim, istraživači sa Kaspersky Lab su ustanovili da update NEĆE sprećiti ranjivost ukoliko neoprezno otvorite e-mail prilog .

Nakon što se instalira na PC , WannaCry pokušava da se širi preko lokalne mreže na druge računare i mrežne diskove na način kompjuterskog crva. Kripter skenira druge računare na mreži tražeći istu ranjivost koja se može iskoristiti uz pomoć EternalBlue i kada WannaCry pronađe , napadne PC i kriptuje ( šifrira ) datoteke na njemu. Stoga, inficirajući jedan računar, WannaCry može zaraziti celu lokalnu mrežu i kriptovati sve računare na mreži. To je razlog zašto velike kompanije najviše patila od napada WannaCry – što više računara na mreži, to je veća šteta.

WannaCry: Encryptor (KRIPTER = alat za šifrovanje dokumenata )


Kao
kripter , WannaCry ( ponekad se naziva WCrypt ili, bez prepoznatljive razloga, WannaCry Decryptor) se ponaša kao i svaki drugi kripter i  šifruje datoteke na računaru i traži otkupninu da ih dešifruje. To je najsličniji varijacija zloglasnog CryptXXX Trojan.
WannaCry šifrira datoteke različitih vrsta :
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
uključujući Office dokumente, slike, video zapise, arhive i druge formate datoteka koji potencijalno sadrže kritične podatke korisnika. Ekstenzije za šifrirane datoteke su preimenovan .WCRY i datoteke postaju potpuno nedostupan.

wannacry_05-1024x774

 

Nakon toga, WANNACRY menja pozadinsku sliku na vašeg računaru i prikazuje sliku koja sadrži informacije o infekciji i akcija koje korisnik navodno treba da izvrši da bi se oporavile datoteke. WannaCry širi obaveštenja kao tekstualne datoteke s istim informacijama preko foldera na računaru kako bi se osiguralo da korisnik dobije poruku.

Kao i obično, otključavanje datoteka PODRAZUMEVA prenošenje određen sume novca, u bitkoin valuti na račun kriminalaca . Nakon toga, u najvećem broju slučajeva kriminalci dostavljaju mali .exe  fajl koji praktično ponovo krišptuje fajl sa ključem koji fajl vraća prvobitni oblik . Cyber-kriminalci za ovu uslugu traž  300-600 US $ .
U ovom slučaju, kriminalci će pokušati i da vas zastraše navodeći da će se iznos otkupnine  povećati za tri dana te da će na raju , nakon sedam dana, datoteke ,  biti nemoguće dešifrovati.
Kao i uvek, svi relevantni faktori ne preporučuju plaćanje otkupnine. Možda najsnažniji razlog da se ne daje otkup leži u činjenici da nema garancije da će se kriminalci izvršiti dekriptovanje (dešifrovanje) datoteka nakon isplate ucene .

KAKO IZBEĆI  WannaCry ???

Na nesreću , ternutnoNE POSTOJI alat kojim se mogu otključati zaključani fajlovi .
Sledi nekoliko osnovinh saveta :
KORISTITE AŽURAN ANTIVIRUSNI SOFTVER  – preporučujemo KASPERSKY LAB

  • Ako već imate Kaspersky Lab antivirusni softver instaliran na vašem računaru , onda preporučujemo sledeći način: Ručno pokrenite skeniranje za kritična područja, a KASPERSKY otkrije MEM: Trojan.Win64.EquationDrug.gen (način na koji KIS detektuje WannaCry), obrišite ga i restartujte računar .
  • Ako već imate Kaspersky Lab antivirusni softver instaliran na vašem računaru koristite  System Watcher – elementarni  nadzorni softver koji detektuje bilo kakve nove verzije malware programa  .
  • instalirajte sofversku “zakrpu” MS17-010 system security update. sa Microsoft sajta koji je čak objavio i zakrpe za operative sisteme koji više nisu podržani ( for systems that are no longer officially supported ), kao što su Windows XP ili Windows 2003. ZAKRPU INSTALIRAJTE O D M A H !!!
  • Kreirajte rezervne kopije datoteka svakodnevno i čuvajte kopije na uređajima za skladištenje koji nisu stalno povezani sa računarom. Ukoliko imate redovan BACKUP podataka , nastavak rada ogleda se u reinstalaciji operativnog sistema i vraćanju poslednje sakučavnih podataka sa BACKUP uređaja i idemo dalje.
  • USB eksterni diskovi i slične “igračke” od BACKUP-a koje instaliraju “znalci” nisu uređaji za BACKUP a proces kriptovanja podataka na USB disku počinje ISTE SEKUNDE PO UKLJUČENJU U ZARAŽENI RAČUNAR !!! Ukoliko koristite ovakvo rešenje obavezno ISKLJUČITE USB medijum nakon izrade kopije podataka , držite uređaj isključen sa računara  i NE VRAĆAJTE GA na zaraženi računar sve dok se isti ne reinstalira i očisti od virusa !
  • KORISTITE KVALITETAN ANTIVIRUSNI SOFTVER . Zaboravite besplatna i jeftina rešenja koja ponekad naprave više štete nego koristi i  . Kaspersky Internet Security može otkriti WannaCry lokalno i prilikom pokušaja da se širi preko mreže. Osim toga, System Watcher, ugrađen u modul, može vratiti neželjene promjene, što znači da će spriječiti šifriranje datoteka čak i za one malware verzije koje još nisu u antivirus bazama podataka.

Zatražite pomoć profesionalaca ukoliko sami ne možete da rešite pitanje antivirusne zaštite i sprovođenja automatskog backupa podataka . Legalan antivirusni softver kao što je Kaspersky Internet Security košta 6.165,00RSD za 3 računara odn.  3.930,00 RSD za narednu obnovu licence pa treba razmisliti da li vredi “drhtati” za trošak od 16,90 / 10.80 RSD dnevno , po računaru ?