Peste 500 de adrese IP au fost afectate de atacul cibernetic ransomware „WannaCry”. Zece dintre ele au fost ale unor instituţii publice

Potrivit unor date recente prezentate de CERT.RO – Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, peste 500 de adrese IP publice au fost afectate de campania ransomware „WannaCry”.

„Conform ultimelor date deţinute de CERT-RO, numărul de IP-uri afectate din România a ajuns la 514, zece dintre acestea aparţinând unor instituţii publice. Cu toate acestea, din datele pe care le avem nu putem spune dacă este vorba de sisteme ale instituţiilor respective sau daca sunt IP-uri ce au fost date spre folosinţă către terţi”.

Până vineri, CERT-RO primise cinci notificări, de la două companii private, douî companii de stat, precum şi de la o persoană fizică.

Reamintim că de vineri, 12 mai, după-amiaza, mai multe organizaţii şi utilizatori casnici din lume (inclusiv din România) au fost afectati de un malware de tip crypto-ransomware cunoscut sub denumirea de WannaCry (sau WannaCrypt, WanaCrypt0r, WCrypt, WCRY).

WannaCry utilizează o capabilitate de răspândire rapidă în reţea specifică viermilor informatici. Până acum, au fost aproximativ 190.000 de sisteme compromise, localizate în peste 150 de ţări, printre organizatiile afectate regăsindu-se şi operatori de servicii esenţiale (sănătate, energie, transport, finanţe, telecom).

Malware-ul se propagă prin exploatarea unei vulnerabilităţi a protocolului SMB (Server Message Block) din cadrul sistemelor de operare Windows XP/7/8/8.1, Windows 10 nefiind vulnerabil. Compania Microsoft a publicat inca din 14 martie 2017 o actualizare de securitate (patch) pentru rezolvarea acestei vulnerabilităţi: MS17-010. Cu toate acestea, sistemele Windows carora nu le-a fost aplicat acest patch sunt în continuare vulnerabile.

Citește și EXCLUSIV Alba24.ro: cum arată și ce face interfața în limba română a atacului ”WannaCry”! România, pe locul 9 printre cele mai afectate țări

Recomandări

În vederea contracarării amenințării WannaCry, utilizatorii sistemelor de operare Windows sunt sfătuiți să întreprindă următoarele măsuri:

Realizarea de copii de siguranță periodice (backup);

Aplicarea patch-ului de securitate MS17-010:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx;

Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;

Utilizarea unui antivirus/anti-malware eficient și actualizat;

Segmentarea rețelei și implementarea unor reguli de firewall care să blocheze traficul de rețea inutil (spre exemplu porturile SMB: 139, 445);

Asigurați-vă că domeniul com este accesibil, ținând cont de faptul că malware-ul nu comunică prin web proxy. Eventual instalați unealta oferită de CCN-CERT care previne executarea malware-ului:

https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html;

Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;

Implementarea măsurilor cuprinse în „Ghidul privind combaterea amenințărilor informatice de tip ransomware”, disponibil la adresa:

https://cert.ro/vezi/document/ghid-protectie-ransomware.

În eventualitatea infectării cu ransomware, CERT-RO vă recomandă să întreprindeți de urgență următoarele măsuri:

Deconectarea imediată de la rețea a sistemelor informatice afectate;

Restaurați fișierele compromise utilizând copiile de siguranță (backup);

Încercați recuperarea fișierelor din „Shadow Volume Copies” utilizând un program precum Shadow Explorer (șanse de reușită sporite dacă utilizatorul nu a apăsat „OK” la apariția mesajului generat de UAC):

https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volumecopies/

Dezinfectați sistemele compromise utilizând un antivirus actualizat sau o unealtă dedicată precum cele disponibile la adresele următoare (ambele trebuie utilizate):

https://www.pcrisk.com/removal-guides/10942-wcry-ransomware#a2,

https://github.com/countercept/doublepulsar-detection-script;

Raportați incidentul către CERT-RO la adresa de email alerts@cert.ro.

sursă: cert.ro