WannaCry dodatne informacije
Proteklog vikenda pokrenuta je globalna kampanja širenja nove varijante virusa iz ransomware porodice pod nazivom WannaCry. Kampanja je pogodila stotine hiljada računara širom svijeta uključujući infrastrukturu telekom operatera Telefonica u Španiju, nacionalni sistem zdravstvene zaštite NHS u Ujedinjenom Kraljevstvu i FedEx u SAD-u. Procjena je da je zaraženo 200 000 računara u 150 država.
Ransomware je vrsta računarskih virusa koji koriste kriptografske tehnike kako bi zaključali datoteke. Nakon zaključavanja napadači za otključavanje zahtijevaju otkupninu u vidu Bitcoin-a, WannaCry zahtjeva oko 300 američkih dolara. Plaćanje otkupnine ne garantuje vraćanje podataka. Računari zaraženi ransomware-om najčešće se ne mogu otključati te je jedni način zaštite preventivno djelovanje.
WannaCry za širenje koristi alate objavljene od strane Shadow Brokers grupe koji su navodno ukradeni od NSA.
Dva alata na koje se oslanja su eksploatacioni kod za ranjivost u SMB-u (Server Message Block) pod nazivom EternalBlue kao i kod za backdoor pod nazivom DoublePulsar.
Ovaj virus pokazuje ponašanje koje je inače karakteristično za worm porodicu virusa te ima mogućnost širenja na druge računare. WannaCry može vršiti skeniranje TCP porta 445 koji koristi SMB. U slučaju da se zarazi samo jedan računar na lokalnoj mreži ovaj virus se može proširiti na sve druge ranjive računare.
Microsoft je otklonio ovu ranjivost koja je i ranije korišćena u napadima u ažuriranju MS17-010. Zbog ozbiljnosti ove kampanje Microsoft je objavio i hitno ažuriranje za Windows XP i Windows Server 2003 iako je podrška za ove operativne sisteme istekla. Ažuriranje za XP i Server 2003 možete preuzeti ovdje, ali vam preporučujemo da ove operativne sisteme povučete iz upotrebe.
Iako ovaj ransomware trenutno koristi ranjivost u SMB-u za širenje moguće je da će za širenje koristiti u phishing kampanju, te je potrebno upoznati zaposlene sa metodama zaštite od phishing napada.
Preporučujemo vam da:
- Hitno primijenite navedena ažuriranja
- Izbaciti iz upotrebe operativne sisteme za koje je istekla podrška.
- Blokirati eksterni pristup 139 i 445 TCP portovima.
- Uvesti politiku redovnog kreiranja backup-a.
- Upoznati zaposlene sa metodama zaštite od phishing napada.
- Blokirati domen koje se u hardkodovanom obliku nalazi u nekim varijantama ovog virusa iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
- Ukoliko koristite Snort primijenite sljedeća pravila: 42329-42332, 42340, 41978.
- Blokirati poznate adrese C2 servera za WannaCry:
- 188.166.23[.]127:443
- 193.23.244[.]244:443
- 2.3.69[.]209:9001
- 146.0.32[.]144:9001
- 50.7.161[.]218:9001
- 217.79.179[.]77
- 128.31.0[.]39
- 213.61.66[.]116
- 212.47.232[.]237
- 81.30.158[.]223
- 79.172.193[.]32
- 89.45.235[.]21
- 38.229.72[.]16
- 188.138.33[.]220
Demonstraciju infekcije možete pogledati na sljedećim linkovima link1, link2
Slučajeve infekcije ovim virusom možete prijaviti na mailto:oib-cert@aidrs.org ili na oib.aidrs.org.