Червеят WannaCry шифрова компютри по целия свят

2017-05-15

В петък, 12-ти май 2017 г., неизвестно лице пусна в разпространение нов компютърен червей. Червеят се разпространява използвайки уязвимост в протокола SMB, който се използва от операционната система Windows за обмен на файлове между компютри. Тази уязвимост беше намерена да се използва за първи път в кибер-оръжията, откраднати от американската Агенция за Национална Сигурност и разпространени свободно в Интернет от неизвестни лица, използващи синонима Shadow Brokers и вероятно свързани с руското разузнаване. Уязвимостта беше “закърпена” от Майкрософт още през март, но все още има хиляди компютри, на които “кръпката” не е инсталирана. Беше само въпрос на време някой да напише и пусне червей, който да използва тази уязвимост.

След като червеят проникне в уязвим компютър, той пуска там шифроваща вредителска програма, която шифрова файловете с данни на потребителя и извежда съобщение, искащо откуп за разшифроването им в биткойн. Откупът е 300 долара, като след 3 дена той се удвоява до 600 долара. Ако не бъде платен до една седмица, шифрованите файлове започват да бъдат изтривани.

Има съобщения за засегнати над 140000 компютри в почти 100 страни. 37 болници във Великобритания са били принудени да затворят и да отменят спешни операции, поради неспособността на компютрите им да управляват необходимата за това апаратура. Сериозно е засегната испанската комуникационна компания Telefonica. Оттам заразата се е предала в международната куриерска служба Federal Express. Има съобщения за спрени автомобилни заводи на Рено във Франция и Нисан във Великобритания. Засегнати са банкомати в Китай. Най-сериозно е засегната Русия, където са около 57% от заразените компютри. Има информация за засегнати компютри на руското Министерство на Вътрешните Работи. Засега нямаме информация за засегнати компютри в България, но това вероятно ще се промени.

Червеят прониква в компютъра през SMB порт 445, изложен на Интернет. Обикновено този порт се използва само в локална мрежа и е затворен за Интернет от защитна стена, но в някои случаи това не е така. Достатъчно е един компютър отвън да бъде заразен по някаква причина и да бъде свързан с локалната мрежа на компанията и той ще зарази и другите уязвими компютри в тази локална мрежа.

Какво трябва да знаем за да се предпазим

Ако сте потребител. Нищо особено. Този червей не се разпространява по електронна поща или чрез линкове, поради което обичайните съвети да не отваряте прикачените към пощата файлове и да не цъкате по подозрителни линкове са безполезни. Ако бъдете заразен, в никакъв случай не плащайте откупа. Няма надежден механизъм, чрез който авторът на червея да определи, дали сте платили, така че най-вероятно няма да получите разшифроваща програма. Просто възстановете шифрованите файлове от резервни копия, ако имате такива.

Ако сте системен администратор. Погрижете се на всичките ви машини да са инсталирани най-новите обновления на операционната система и по-специално тези, описани в бюлетина на Майкрософт MS17-010.

 

https://technet.microsoft.com/en-us/library/security/ms17-010

 

Операционната система Windows 10 не е уязвима. Операционните системи Windows XP, Windows 2003 и Windows Vista вече не се поддържат от Майкрософт, но предвид спешността на ситуацията, беше направена специална “кръпка” за тях:

 

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

Погрижете се порт 445 на никой от компютрите ви да не е достъпен откъм Интернет. Направете всичко възможно за да се отървете от неподдържани версии на операционната система (XP, 2003, Vista). Не плащайте откупа, защото и без това няма да получите разшифроваща програма. Правете си редовно резервни копия и в такива ситуации възстановявайте повредените файлове от тях.