Ce trebuie să știți despre WannaCry

2017-05-15

Vineri, 12 mai 2017, un atac de tip ransomware, cunoscut sub numele de "WannaCry" sau "WannaCryptor" (detectat de ESET ca Win32/Filecoder.WannaCryptor.D) a început să se răspândească pe tot globul la o scară și o cu viteză fără precedent, utilizând în mod abuziv exploit-ul leaked de la Agenția Națională de Securitate din Statele Unite (NSA), denumit EternalBlue.

ESET detectează și blochează amenințarea WannaCryptor.D și variantele sale. Niciunul dintre clienții noștri care rulează versiuni de produse curente cu setări adecvate nu a raportat o infectare legată de atacul WannaCry.

Soluțiile de securitate ESET utilizează multiple tehnologii de protecție:  

	Protecția împotriva Atacurilor de Rețea de la ESET constituie un nivel important de protecție împotriva WannaCryptor. Tehnologia blochează exploit-ul provenit de la NSA (cunoscut sub denumirea de EternalBlue), utilizat pentru a răspândi WannaCryptor.D la nivel de rețea.
	Detecțiile ADN de la ESET pot identifica mostre malware specifice, cunoscute, și variantele lor sau chiar malware neobișnuit sau necunoscut anterior, cu anumite gene care indică un comportament rău intenționat. În acest caz, tehnologia de detectare a ADN-ului identifică și blochează fișierele WannaCryptor.D
	Scannerul Avansat de Memorie de la ESET are rolul de a detecta și de a bloca activitatea ransomware-ului WannaCryptor.D la nivelul memoriei.

Încercările de a exploata vulnerabilitatea scursă au fost depistate și au fost oprite cu mult înainte de apariția ransomware-ului WannaCry - detectarea la nivel de rețea de la ESET a exploit-ului EternalBlue a fost adăugată pe 25 aprilie. În cursul zilei de vineri, 12 mai, ESET a crescut nivelul de protecție pentru amenințarea WannaCry prin actualizări ale motorului de detectare.

Cum funcționează atacul?

Când WannaCry se infiltrează pe computerul unui utilizator, acesta criptează fișierele și transmite victimei să plătească recompensa în Bitcoin pentru a-și recupera fișierele. Răscumpărarea cerută pentru decriptarea fișierelor este în această fază de aproximativ 300 de dolari. Apoi, codul malware utilizează exploit-ul EternalBlue pentru a identifica și accesa alte dispozitive din rețea sau online care nu au patch-urile efectuate. (Pentru o verificare în timp real a sumelor pe care actorii malițioși le primesc în fondurile Bitcoin, verificați aici.)

Rapoartele despre incidența WannaCry au început în sectorul spaniol de telecomunicații și s-au răspândit rapid din acel moment, mai departe și mai departe. Au apărut la scurt timp rapoarte care indicau că organizații din domeniul sănătății din Marea Britanie au fost afectate, alături de multe alte victime: diverse site-uri comerciale, site-uri ale unor companii mari. Oameni din întreaga lume au postat capturi de ecran ale malware-ului de la computere aflate în birouri, spitale și școli.

Ce ar trebui să faceți pentru a rămâne în siguranță?

Atacurile care utilizau exploit-ul EternalBlue apăruseră chiar înainte de expansiunea lui WannaCry - răspândind un software de exploatare de tip cryptocurrency-mining off-the-shelf - și putem spune, aceste amenințări sunt încă foarte reale. Urmați acești pași pentru a vă ajuta să vă protejați afacerea în urma WannaCry.

• Asigurați-vă că mașinile ce rulează pe platforma Windows sunt actualizate: patch-urile pot fi dificil de implementat pe întreaga rețea. Cu toate acestea, veți dori să faceți această instalare. Patch-ul respectiv a fost disponibil de la mijlocul lunii aprilie și, de fapt, oprește exploit-ul să câștige un punct de infiltrare în mediul dumneavoastră. Listarea patch-urilor pentru întreaga listă a fișierelor de la Equation Group poate fi consultată aici.

• Folosiți un software anti-malware: Aceasta reprezintă o componentă de bază, dar critică. Doar pentru că este un server și are un firewall, nu înseamnă că nu are nevoie de programe anti-malware: din contra, are nevoie. Instalați întotdeauna un program anti-malware cu reputație. (unul care protejează împotriva exploit-ului EternalBlue.)
• Realizați copii de rezervă ale fișierelor: Pentru companiile afectate de ransomware cu backup-uri actuale, atacul nu este la fel de dăunător. Asigurați-vă întotdeauna că efectuați copii de siguranță ale datelor și verificați-le în mod regulat pentru a vă asigura că sistemele dvs. de rezervă funcționează corect.
• Nu plătiți: Se recomandă ca utilizatorii să nu plătească răscumpărarea - fie în cazul WannaCry, fie în cazul oricărui alt program ransomware. Recomandările sunt acum și mai îndreptățite pentru că nu pare să existe o metodă de încredere prin care atacatorii să poată să asocieze ulterior plata cu victima respectivă și să decripteze fișierele acesteia.

ESET a folosit, de asemenea, Threat Intelligence, care a lucrat pentru a identifica caracteristicile referitoare la fișierele de exploatare ale ANS puse în circulație în mod abuziv. Au fost înregistrate multe detectări ale acestor elemente. În ultimele săptămâni, am identificat o activitate intensă și nu ne așteptăm să se oprească în curând.

Echipele noastre de cercetare din întreaga lume lucrează 24 de ore din 24 și continuă să urmărească, să monitorizeze (atât EternalBlue, cât și WannaCry) și să raporteze descoperirile.

Urmăriți @ESET pe Facebook și postările de pe blogul de securitate, pentru actualizări pe această temă.