Sluzbena obavijest
Zagreb, 15.05.2017.
HITNO
Smjernice za zastitu od "WannaCry" ransomware zlonamjernog
programa
==========================================================
Vezano uz kampanju sirenja ransomware zlonamjernog programa
"WannaCry", Nacionalni CERT nize donosi proaktivne i reaktivne mjere
koje se mogu poduzeti te kako postupati u slucaju infekcije spomenutim
zlonamjernim programom. Napominjemo da su ugrozene sve inacice Windows
operativnih sustava na kojima nisu instalirane sigurnosne zakrpe s
danasnjim danom.
Prokativne mjere zastite za "WannaCry" ransomware:
- Azuriranje Microsoft operativnog sustava sa zakrpom izdanoj u
Microsoft preporuci oznake MS17-010 u ozujku ove godine
- Azuriranje onih Microsoft operativnih sustava za koje vise
sluzbeno ne pruza podrsku, a radi se o Windows XP, Windows 8 i
Windows Server 2003. Zakrpe su dostupne na sljedecoj poveznici u
odjeljku "Further resources":
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
- Azuriranje web preglednika zadnjom dostupnom inacicom
- Azuriranje antivirusnog i anti-malware alata
- Onemogucavanje SMBv1 protokola s koracima dokumentiranima na
clanku Microsoft Knowledge Base Article 2696547
- Razmotriti blokiranje dolaznog SMB prometa prema portu 445 i 139
na usmjerivacu ili vatrozidu
- Kontrolirati sve dolazne izvrsne datoteke preko Web/Proxy
infrastrukture
- Pokusati ustanoviti koji sustavi u internoj mrezi mogu biti
podlozni na napad te ih izolirati, azurirati i/ili iskljuciti
- Izdvojiti ili iskljuciti iz mreze one sustave koji nemaju
dostupnu podrsku ili zakrpe. Kao dodatna opcija, postoji javno
objavljeni alat koji moze blokirati izvrsavanje zlonamjernog
programa na ranjivom sustavu
- Oprezno postupati sa svim sumnjivim porukama iz pretinca
elektronicke poste koja sadrze potencijalno zlonamjerni privitak
ili URL u tekstu poruke
- Upozoriti sve djelatnike u tvrtki/ustanovi na pazljivo
postupanje s e-mail porukama
- Provjeriti status sustava za pohranu sigurnosnih kopija podataka
te integritet sigurnosnih kopija podataka
- Ograniciti medjusobni pristup portovima ako je ukljucena zastita
za krajnje korisnike interneta (eng. endpoint protection)
Reaktivne mjere:
- Placanje otkupnine se NE preporucuje! (nema garancije za
povratom podataka) kao ni bilo kakav pokusaj kontaktiranja
napadaca
- Izolirati/ukloniti racunalo s mreze (ne zaboraviti i na bezicnu
povezanost), kako bi se sprijecilo daljnje sirenje zlonamjernog
programa
- U slucaju infekcije racunala i sifriranja podataka, preporuca se
da se ti sifrirani podaci prvo sacuvaju prije uklanjanja
zlonamjernog programa s racunala, buduci da postoji mogucnost da
ce kljuc za desifriranje u nekoj blizoj/daljnoj buducnosti biti
dostupan, iako tomu nema garancije
- Preporuca se potpuno nova instalacija operativnog sustava ili
povrat pohranjenih podataka iz sigurnosne kopije ako postoji (eng.
backup) potom azurirati operativni sustav zadnjim izdanim zakrpama
Sigurnosne preporuke:
- Opcenito, najbolja zastita od ovakvog oblika napada je ucestala
i pouzdana pohrana sigurnosnih kopija (eng. backup) te pohrana
odvojeno od racunala na kojem ih izradjujete
- Uredjaj s pohranjenim sigurnosnim kopijama podataka (eng.
backup) mora biti iskljucen iz mreze ili sustava s obzirom da
ransomware pokusava sifrirati lokalne datoteke na tvrdom disku,
prijenosnim medijima te povezane dijeljene mrezne direktorije
Srdacan pozdrav,
Marko Stanec
HR-CERT - Odjel za Nacionalni CERT
Hrvatska akademska i istrazivacka mreza - CARNet
Josipa Marohnica 5, 10000 Zagreb
tel: +385 1 6661 650, fax: +385 1 6661 767
www.cert.hr