Wcry ransomware kampanja (2)

Zavod za sigurnost informacijskih sustava i nadalje intenzivno prati razvoj globalne računalne ugroze Wcry koja se od petka, 12. svibnja nastavlja širiti diljem svijeta u obliku ransomwarea, samoreplicirajućeg računalnog virusa čija je osnovna zadaća kriptiranje podataka koji se nalaze na zaraženom računalu.
U nastavku donosimo dopunjene preporuke za prevenciju i sprječavanje širenja ovog i sličnih virusa kao i preporuke za postupanje u slučaju zaraze ovim virusom.

Proaktivne mjere za sprječavanje širenja i kompromitacije WCry zlonamjernim programom

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 i Windows Server 2012:
1. sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
2. sc.exe config mrxsmb10 start=disabled
Windows 8.1, Windows Server 2012 R2 i noviji:
1. Radne stanice: Odabir opcije Control Panel -> Programs ->Turn Windows features on or off
    Poslužitelji: Odabir opcije Server Manager -> Manage -> Remove Roles and Features
2. Onemogućavanje opcije SMB1.0/CIFS File Sharing Support
3. Ponovno pokrenuti računalo
  • Ne blokirati HTTP promet prema sljedećim domenama (TCP mrežni port 80):
    1. www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    2. www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Navedene domene predstavljaju sigurnosni mehanizam ugrađen u sam zlonamjerni program koji sprječava njegovo širenje. Ako je pristup domenama zabranjen, zlonamjerni program će provesti kriptiranje! Zbog navedenog, promet prema spomenutim domenama mora biti dopušten.
  • Ukloniti sve e-mail poruke sa zlonamjernim kodom u privitcima iz svojih e-mail pretinaca (popis datotečnih nastavaka nalazi se niže u tekstu)
  • Provesti nadzor svih dolaznih izvršnih datoteka kroz Web/Proxy infrastrukturu
  • Provesti nadzor prijenosnih računala koje korisnici donose iz vanjskog okruženja (privatna računala, računala koja se koriste kod kuće), a koja se spajaju na mrežu organizacije
  • Upozoriti korisnike o sumnjivim e-mail porukama odnosno upozoriti ih da iste ne otvaraju već da o zaprimanju takve poruke izvijeste nadležne službe
  • Provjeriti sustave za izradu pričuvnih kopija, osigurati da su (ažurne) pričuvne kopije pohranjene izvan računalne mreže (offline) te provjeriti valjanost njihovih posljednjih inačica
Opće preventivne mjere
  • Najbolja obrana od tzv. crypto ransomware prijetnji su funkcionalne pričuvne kopije. U slučaju da postoji sposobnost povrata podataka iz pričuvne kopije na jednostavan način, spriječen je osnovni cilj napadača
  • Pričuvne kopije moraju se čuvati u off-line načinu rada (odvojeno od računalne mreže). Crypto ransomware zloćudni kod pokušava kripitrati lokalne datoteke na disku, prijenosnim medijima, ali i dijeljenim diskovima. Iz tog razloga pričuvne kopije moraju biti pohranjene na off-line lokaciji kako bi se izbjeglo kriptiranje i tih podataka
  • Potrebno je revidirati organizacijsku politiku izrade pričuvnih kopija, a osobito razdoblje njihovog čuvanja. Što je to razdoblje duže, veća je vjerojatnost uspješnog oporavka podataka
  • Ne zaboraviti da poslužitelji za pohranu pričuvnih podataka također mogu biti meta napada
  • Omogućiti praćenje dnevničkih zapisa na poslužiteljima kako bi se što uspješnije moglo pratiti potencijalno zaražene sustave koji kriptiraju podatke
  • Koristiti skripte za praćenje promjena na velikom broju datoteka u kratkom periodu. Ovakve skripte mogu biti vrlo korisne za ranu identifikaciju zaraženih sustava
  • Potrebno je revidirati sigurnosnu politiku sustava elektroničke pošte i web gateway uređaja te omogućiti izradu dnevničkih zapisa na tim uređajima
  • Poslužitelji elektroničke pošte i web gateway uređaji trebali bi biti podešeni da blokiraju ili pohranjuju u karantenu sve izvršne datoteke, skriptne datoteke, datoteke koje su prijenosnici podataka te sve druge datoteke s potencijalno aktivnim sadržajem. U nastavku se nalazi popis svih mogućih ekstenzija privitaka koji bi trebali biti pohranjeni u karantenu i dodatno provjereni.
    • Datoteke prijenosnici podataka:
      “.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”  
    • Datoteke potencijalni prijenosnici podataka:
      “.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.odt”
    • Aplikacije:
      “.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
    • Skripte:
      “.bat”, “.cmd”, “.vb”, “.vbs”, “.vbe”, “.js”, “.jse”, “.ws”, “.wsf”, “.wsc”, “.wsh”, “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.msh”, “.msh1”, “.msh2”, “.mshxml”, “.msh1xml”, “.msh2xml”
    • Shortcuts:
       “.scf”, “.lnk”, “.inf”
    • Ostale datoteke:
      “.reg”, “.dll”, “.asf”, “.asx”, “.au”, “.htm”, “.html”, “.mht”, “.wax”, “.wm”, “.wma”, “.wmd”, “.wmv”, “.wmx”, “.wmz”, “.wvx”
    • Office macro:
      “.docm”, “.dotm”, “.xlsm”, “.xltm”, “.xlam”, “.pptm”, “.potm”, “.ppam”, “.ppsm”, “.sldm”
  • Potrebno je osigurati da se politike nadogradnji primjenjuju i na web preglednike, uređivače teksta, preglednike dokumenata te njihove dodatke (addon i plugin)
  • Revidirati politiku rada s privatnim računalima u organizaciji (BYOD policy) kako bi se umanjio mogući utjecaj računala koja se zaražena na infrastrukturu vaše organizacije.
Odgovor na potencijalni incident u slučaju Crypto Ransomwarea
  • U slučaju identifikacije zaraze, preporučuje se isključenje zaraženog dijela sustava s organizacijske mreže
  • U ponekim rijetkim slučajevima, postoji mogućnost oporavka nekih datoteka (shadow kopije u Windows okruženju, forenzički oporavak ili u slučaju korištenja slabih mehanizama kriptiranja od strane napadača). Nikako se ne preporučuje potpuno oslanjanje na ove mogućnosti, već isključivo na ispunjavanje preventivnih mjera
  • U slučaju zaraze, preporučuje se novo instaliranje operativnog sustava pomoću „čiste“ instalacije te povrat podataka iz pričuvnih kopija. Ne zaboraviti provjeriti oporavljene podatke kako bi se osiguralo da zaraza ne postoji i u tim podacima
  • Ne preporučuje se plaćanje otkupnine
  • Ako je moguće, potrebno je sačuvati kopiju originalnog, kriptiranog računala. Nije isključeno da će u budućnosti biti otkriveni ključevi za oporavak kriptiranih podataka
  • U slučaju sumnje na kompromitaciju sustava, obvezno kontaktirati mjerodavne službe i tijela

Dodatne informacije o prevenciji i zaštiti moguće je pronaći na službenim stranicama partnerskih organizacija: