Un atac de tip ransomware extrem de sever a avut loc destul de recent, luând prin surprindere zeci de mii de utilizatori de computere.
Atacul s-a răspândit rapid începând de vineri și a ajuns pe mai bine de 100.000 de calculatoare din peste 100 de țări, din întreaga lume. Totul s-a petrecut în doar câteva ore și între PC-urile infectate au existat sisteme ale unor spitale din Anglia, sisteme ale birourilor FedEx din Marea Britanie, dar și calculatoare ale Ministerului de Interne din Rusia. De asemenea, și ținte din România ar fi fost atacate, primul exemplu fiind Uzina Dacia.
Ransomware-ul, cunoscut ca WannaCry, nu s-a împrăștiat atât de repede din cauza oamenilor care dădeau click pe linkuri malițioase. Acesta țintea servere Microsoft care foloseau protocolul de file sharing cunoscut ca Server Message Block. Doar serverele care nu au primit update după 14 martie, cu patch-ul MS17-010, au fost afectate. Acest patch rezolva vulnerabilitatea ExternalBlue, un secret păzit până nu de mult de către NSA, arată gizmodo.com.
Cu ajutorul acestei vulnerabilități, malware-ul instala un o portiță de acces denumită DoublePulsar, prin care se transmitea apoi WannaCry pe alte calculatoare dintr-o rețea, infectându-le automat.
Microsoft a decis să ofere un patch pentru Windows XP, conform engadget.com, chiar dacă suportul pentru acest sistem de operare s-a încheiat în urmă cu trei ani. Toate sistemele care încă au suport de la Microsoft primiseră un patch în martie, dar acum, Windows XP și Windows Server 2003 beneficiază de un update care poate fi găsit aici.
De asemenea, dacă update-ul nu poate fi instalat, Microsoft recomandă următoarele:
Să dezactivați SMBv1 folosind instrucțiunile de aici.
Să adăugați o regulă în router sau în firewall care să blocheze traficul SMB de pe portul 445.
În plus, dincolo de acești pași, important este ca, indiferent ce sistem de operare aveți acum, să vă asigurați că aveți toate update-urile la zi. În astfel de momente, nu e indicat să-i spuneți PC-ului să vă deranjeze mai târziu cu un update și o repornire de sistem.
Dacă WannaCry ajunge pe calculatorul tău, acesta îți blochează accesul la fișiere, pe care le criptează, iar apoi primești un mesaj în care ți se specifică faptul că va trebui să plătești o recompensă.
Momentan, atacul a fost oprit după ce a ajuns pe 123.000 de calculatoare, printr-o metodă ingenioasă. Ransomware-ul verifică un domeniu de internet înainte să înceapă infecția, iar cât timp virusul găsește domeniul (proaspăt înregistrat și activat de către un expert în securitate), acesta se oprește. Cu toate acestea, atacatorii pot modifica destul de repede modul de funcționare al malware-ului, astfel că este recomandat să urmați instrucțiunile de mai sus dacă aveți un calculator vulnerabil.