U petak 12. maja započeo je hakerski napad sa najopsežnijim posledicama do sada, kojim je bilo pogođeno više od 74.000 računara u više od 100 država širom sveta. Bolnice u Velikoj Britaniji, Reno fabrika automobila, rusko Ministarstvo unutrašnjih poslova, španska telekomunikaciona kompanija Telefonika…, samo su neke od kompanija i državnih ustanova pogođenih ovim virusom.
Koji virus je u pitanju?
U pitanju je bio softver koji blokira rad računara, šifruje podatke na njemu i od vlasnika traži otkup u iznosu od 300 do 600 USD, a napadači su tražili isplata izvrši u Bitcoin valuti. Operativni sistemi koji su podložni ovom napadu su:
- Windows XP
- Microsoft Windows Vista SP2
- Windows Server 2008 SP2 i R2 SP1
- Windows 7
- Windows 8.1
- Windows RT 8.1
- Windows Server 2012 i R2
- Windows 10
- Windows Server 2016
O veličini napada dovoljno govori i činjenica da je Microsoft ekspresno izdao novu zakrpu čak i za XP, operativni sistem čija podrška je zvanično završena pre više od tri godine.
Zato se postavlja pitanje koji je to virus i kako ga se rešiti? Prema izjavama stručnjaka u pitanju je virus koji se zove „WCry“ i „WannaCry“, dok se negde pominje i da se radi o izmenjenoj varijanti pomenutog virusa, pod imenom „WannaCryptor“. Napadi su zasnovani na ranjivosti Windowsa, odnosno na propustima u ovom operativnom sistemu. Iako je Microsoft ispravke za ove propuste objavio još u martu, očigledno je da mnogi računari nisu bili na vreme apdejtovani, što je malicioznom softveru omogućilo da iskoristi taj propust i da se brzo raširi.
Računari su zaraženi putem maila ili putem mreže. To je samoreplicirajući virus čiji je osnovni zadatak kriptovanje podataka. Virus koristi MS17-010 ranjivost i upotrebom EternalBlue i DoublePulsar alata ostvaruje pristup na zaraženom računaru. Za zarazu je korišćena fišing metoda putem koje je korisnicima kroz mail isporučivan i zlonamerni kod.
Kako se zaštititi?
Potrebno je izvršiti hitnu nadogradnju svih ranjivih operativnih sistema instalacijom zakrpe sa oznakom (KB4013389), koja postoji za sve pomenute operativne sisteme.
Ukoliko primena ove zakrpe nije moguća, potrebno je zabraniti SMBv1 protokol. Ukoliko imate Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 i Windows Server 2012, u komandnom promptu otkucajte sledeće naredbe:
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled
Za Windows 8.1, Windows Server 2012 R2 i noviji:
- Na radnim stanicama odaberite opciju: Control Panel -> Programs ->Turn Windows, a na serveru: Server Manager -> Manage -> Remove Roles and Features)
- Onemogućite opcije SMB1.0/CIFS File Sharing Support
- Restartuje računar
Onemogućite komunikaciju na mrežnim portovima 139 i 445 u mreži, ali treba imati na umu da ovo može da utiče i na rad nekih drugih programa unutar mreže.
Ažurirajte antivirusni softver i potpise virusa u njemu.
Kao dodatnu zaštitu, pojačajte mere opreza prilikom otvaranja mailova. Jedan, verovatno najveći izvor zaraze, spakovan je u obliku PDF datoteke koja stiže uz mail, ili u obliku linka do određene web adrese koji se nalazi u samoj poruci.
I naravno, pravite redovan bekap svih važnih fajlova!
Ukoliko niste sigurni kako da sami sprovedete pomenute korake ili ste primetili da se računar čudno ponaša u poslednje vreme, prepustite taj posao profesionalcima. Odnesite ga u servis računara, da ga pregledaju, reinstaliraju sve što je potrebno, optimizuju za nesmetan rad i eventualno očiste od svih virusa i drugih malicioznih fajlova.
Izvor: Servis laptop računara “Profi”
You must be logged in to post a comment.