2017-05-15 20:10:38

VAŽNO: Smjernice za zaštitu od "WannaCry" ransomware zlonamjernog programa

Vezano uz kampanju širenja ransomware zlonamjernog programa "WannaCry", Nacionalni CERT niže donosi proaktivne i reaktivne mjere koje se mogu poduzeti te kako postupati u slučaju infekcije spomenutim  zlonamjernim programom. Napominjemo da su ugrožene sve inačice Windows operativnih sustava na kojima nisu instalirane sigurnosne zakrpe s današnjim danom.

Prokativne mjere zaštite za "WannaCry" ransomware:

- Ažuriranje Microsoft operativnog sustava sa zakrpom izdanoj u     Microsoft preporuci oznake MS17-010 u ožujku ove godine

- Ažuriranje onih Microsoft operativnih sustava za koje više     sluzbeno ne pruža podršku, a radi se o Windows XP, Windows 8 i     Windows Server 2003. Zakrpe su dostupne na sljedećoj poveznici u   odjeljku "Further resources:"

 

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

- Ažuriranje web preglednika zadnjom dostupnom inačicom

- Ažuriranje antivirusnog i anti-malware alata

- Onemogućavanje SMBv1 protokola s koracima dokumentiranima na     članku Microsoft Knowledge Base Article 2696547

- Razmotriti blokiranje dolaznog SMB prometa prema portu 445 i 139     na usmjerivaču ili vatrozidu

- Kontrolirati sve dolazne izvršne datoteke preko Web/Proxy     infrastrukture

- Pokušati ustanoviti koji sustavi u internoj mreži mogu biti     podložni na napad te ih izolirati, ažurirati i/ili isključiti

- Izdvojiti ili isključiti iz mreže one sustave koji nemaju     dostupnu podršku ili zakrpe. Kao dodatna opcija, postoji javno     objavljeni alat koji može blokirati izvršavanje zlonamjernog     programa na ranjivom sustavu

- Oprezno postupati sa svim sumnjivim porukama iz pretinca     elektroničke pošte koja sadrže potencijalno zlonamjerni privitak     ili URL u tekstu poruke

- Upozoriti sve djelatnike u tvrtki/ustanovi na pažljivo  postupanje s e-mail porukama

- Provjeriti status sustava za pohranu sigurnosnih kopija podataka     te integritet sigurnosnih kopija podataka

- Ograničiti međusobni pristup portovima ako je uključena zaštita     za krajnje korisnike interneta (eng. endpoint protection)

 

Reaktivne mjere:

- Plaćanje otkupnine se NE preporučuje! (nema garancije za     povratom podataka) kao ni bilo kakav pokušaj kontaktiranja napadača

- Izolirati/ukloniti računalo s mreže (ne zaboraviti i na bežičnu     povezanost), kako bi se spriječilo daljnje širenje zlonamjernog     programa

- U slučaju infekcije racunala i šifriranja podataka, preporuča se     da se ti šifrirani podaci prvo sačuvaju prije uklanjanja     zlonamjernog programa s računala, budući da postoji mogućnost da će ključ za dešifriranje u nekoj bližoj/daljnoj buducnosti biti     dostupan, iako tomu nema garancije

- Preporuča se potpuno nova instalacija operativnog sustava ili     povrat pohranjenih podataka iz sigurnosne kopije ako postoji (eng.     backup) potom ažurirati operativni sustav zadnjim izdanim zakrpama

 

Sigurnosne preporuke:

- Općenito, najbolja zaštita od ovakvog oblika napada je učestala     i pouzdana pohrana sigurnosnih kopija (eng. backup) te pohrana     odvojeno od računala na kojem ih izrađujete

- Uređaj s pohranjenim sigurnosnim kopijama podataka (eng. backup) mora biti isključen iz mreže ili sustava s obzirom da ransomware pokušava šifrirati lokalne datoteke na tvrdom disku, prijenosnim medijima te povezane dijeljene mrežne direktorije.

 

 --

HR-CERT - Odjel za Nacionalni CERT

Hrvatska akademska i istrazivacka mreza - CARNet
Srednja škola Otočac