Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
WannaCrypt / Wana Decrypt0r 2.0 / Wanacry – jak się chronić?
Mowa jest już o co najmniej 200 000 zainfekowanych komputerach na całym świecie. Robak/ransomware znany jako WannaCrypt / Wana Decrypt0r 2.0 / Wanacry rozpowszechnia się wyjątkowo szybko. Zobaczmy jak możemy się chronić.
Zanim zaczniemy, warto powtórzyć, że atak rozpowszechnia się przez sieć – wykorzystywana jest przede wszystkim komunikacja na port 445 TCP (protokół SMB). Aby więc być zarażonym nie trzeba nawet otwierać podejrzanych plików – i z tego też powodu średnia skuteczność antywirusów może być tutaj kiepska (choć jest coraz lepiej).
Obecnie najszybsza i skuteczna metoda to zaktualizowanie Windowsów.
- Jeśli masz wspieraną wersję Windows (np. 7, 8.1, 10, 2008 server) aktualizacja przyszła marcu tego roku. Sprawdź czy masz wgrane wszystkie poprawki.
- Jeśli masz niewspierany system operacyjny – np. Windows XP, Windows 2003 Server, czy starą Vistę – Microsoft wypuścił na nie dedykowane patche. Zainstaluj je ręcznie.
Dobrą wiadomością jest to, że wspierana jest też polska wersja Windowsów:
Wsparcie dla polskiego Windows XP
Nie możesz zainstalować aktualizacji do Windows? Wyłącz wsparcie do SMBv1
Microsoft opisał to ładnie krok po kroku (Windows 8.1, Windows 10, Windows 2012 R2, Windows Server 2016), więc nie będziemy się zbytnio powtarzać.
Przypominamy, że podatność występuje tylko obsłudze protokołu w SMBv1 – więc nie ma potrzeby wyłączać go zupełnie (jest jeszcze wersja 2 oraz 3).
Wyłączenie SMBv1
Samo też ww. opisane patchowanie wystarczy do ochrony.
Zablokuj dostęp z Internetu do portu 445 TCP
To z tego portu korzysta feralny protokół SMB. Obecnie w Internecie shodan widzi przeszło 1 500 000 hostów z otwartym portem SMB (choć część z nich to niepodatne Uniksy):
TCP 445
Rozważ też monitorowanie komunikacji wychodzącej (w szczególności do Internetu) z Twoich komputerów. Taka komunikacja może świadczyć o infekcji maszyn.
Pamiętaj o kopiach zapasowych
Warto też kopie testować. Pamiętaj też, że RAID raczej Ci nie pomoże (zaszyfrowane zostaną wszystkie dyski)…
Nie wpinaj się do otwartych sieci WiFi
Przypominamy, że opisywany malware nie wymaga interakcji użytkownika i potrafi roznosić się po sieci (w szczególności bez problemu po sieciach lokalnych). Szczególnie problematyczne mogą być lotniska, hotele, itp.
–ms
A wiadomo jak sprawują się różne programy anty ransomware?
np antimalware ransomware
Bitdefender ma moduł, w którym można ustawić katalogi, które będą monitorowane pod kątem modyfikacji plików więc w teorii to by zadziałało. Realnie nie będę nawet sprawdzał. Ale zwykle jak coś mi zmieniało pliki np. kompilator to Bitdefender reagował na to.
Z rozwiązań znanych firm najlepiej wygląda InterceptX Sophosa
Jeśli to nowy wirus, to mogą jeszcze go nie rozpoznawać. Ale mimo wszystko je aktualizuj. Dla zasady.
krótko i treściwie THX
:) no można by się mądrzyć pewnie o jakiś separacjach sieci, itp, itd. ale rzeczywiście bardziej chodzi o szybkie i skuteczne rady na start :]
I to tyle, jeśli chodzi o darmowy internet w autobusach…
Używasz laptopa jeżdżąc autobusem? :o
Może przeżyjesz 20min bez internetu w laptopie jadąc autobusem :v
Z telefonu możesz korzystać bez obaw
Szukałem kiedyś – z ciekawości – wi-fi w autobusie. Mimo, ze był oznaczony specjalną naklejką nie znalazło sieci. A z laptopami lepiej nie jeździć. Za dużo ludzi zagląda przez ramię (z ciekawości nawet) i istnieje ryzyko podejrzenia hasła, albo wgrania czegoś przez właśnie otwarte wi-fi. Ogólnie mówiąc przez kilka minut da się wytrzymać nie sprawdzając poczty. W ostateczności jest transmisja danych z telefonu.
A co robić, jeśli przy instalacji patcha na XP wyskakuje komunikat „błędna wersja językowa”?
patrz na inny komentarz w tym wątku
Nie widzę porady na ten temat w innym komentarzu na tym wątku. Co zrobić gdy XP nie chce zainstalować łatki?
A nie pobrałeś przypadkiem nie tej instalki?
Pobrać właściwą instalkę:))
Dzięki za info. Ostatnio na swoim blogu również ostrzegałem o tego typu zagrożeniach, jednak teraz to już powstaje istna plaga.
Imponujący zasięg i skuteczność. Ale mam pytanie, od dwóch lat siedzę na windows Defenderze i inteligentnie korzystam z internetu, polecacie jednak jakiś program do ochrony pcta czy wystarczy?
Zobacz na ostatni test różnic między antywirusami wykonany przez AV-Comparatives:
http://chart.av-comparatives.org/chart1.php?chart=chart2&year=2017&month=4&sort=0&zoom=0
Po czym odpowiedz sobie na pytanie:
Czy moje „inteligentnie korzystam z internetu” jest większe niż czerwona cześć paska dla Windows Defender (czyli w mniej niż 1% przypadków)?
Jeżeli odpowiedź jest twierdzącą to znaczy ze Defender wystarczy. A jeżeli nie jesteś w stanie udzielić takiej odpowiedzi to sprawdź koszt dowolnego płatnego antywirusa z detekcją lepszą „o ten niecały 1%” i zważ czy jesteś gotow wydać tyle pieniędzy na ten cel.
Każdy myśli, że jego jest najlepszy. Po prostu sprawdź ranking skuteczności antywirusów, zanim wydasz kasę.
Defender – ile razy trzeba to pisać jeszcze – to aplikacja systemowa. Trzeba ją traktować jako dodatek, bo pewnie połowę wirusów przepuszcza i dla tego nie dostajesz komunikatów. Jeśli szukasz antywirusa, to są testy w pismach komputerowych. Albo wpisz coś w stylu „porównanie antywirusów” i szukaj na ten rok. Są też darmowe skanery online. Warto puścić kilka na pełne skanowanie. Potrwa długo, ale trudno. Na noc można wyłączyć monitor, a skaner niech chodzi. Przyda się też jakaś aplikacja antymalware, bo większość programów nie ma tej funkcji.
Xp bez problemu przyjmuje poprawkę, ale Visty (każda wersja) śpiewają, że ta poprawka nie ma zastosowania. Miał ktoś taki problem?
Gdzie szukać tego okna w którym mogę sprawdzić czy protokół jest wyłączony? Wpisanie nazwy protokołu w wyszukiwarkę systemową nie daje wyników:(
Artykuł odnośnie poprawki do xp.
https://sekurak.pl/pieklo-zamarza-microsoft-wypuszcza-jednak-aktualizacje-bezpieczenstwa-dla-windows-xp/
Radzę pobrać ekspresowo:))