WannaCry ransomware – Cum te poţi proteja împotriva acestui virus (atac informatic)?
Anti WannaCry ransomware
Atacurile de tip ramsomware nu sunt o noutate, însă recentul atac de tip ransomware, numit WannaCry, a reuşit să atragă atenţia întregii planete, după ce WannaCry a afectat peste 220.000 de sisteme informatice. WannaCry este impropriu denumit “virus”, deoarece este folosită o vulnerabilitate prezentă în majoritatea sistemele de operare Microsoft Windows. Vulnerabilitatea MS17-010 permite de fapt hackerilor să ruleze coduri pe calculatoarele vulnerabile, reuşind astfel să infecteze/controleze sistemul de operare, fără ca utilizatorul să deschidă emailuri, să acceseze fişierele ataşate ale unui email ori să acceseze anumite linkuri aşa cum se întâmplă în cazul altor atacuri de acest gen. Vulnerabilitatea MS17-010 a fost descoperită de către Agenția Națională de Securitate (NSA) din Statele Unite ale Americii cu multă vreme în urmă, însă aceştia au preferat să “tacă”, folosindu-se de această vulnerabilitate pentru a spiona diverse sisteme informatice, respectiv pentru a avea acces la diverse sisteme informatice. Se spune că, un fost angajat NSA ar fi “plecat” cu vreo 140 de GB de informaţii din sediul NSA şi se speculează faptul că din această “sursă”, anumite informaţii au ajuns pe mâna hackerilor, care… încearcă şi ei să facă un ban “cinstit”.
Cum se manifestă WannaCry?
Un sistem informatic (calculator, laptop sau orice alt device care are instalat un sistem de operare Microsoft Windows) infectat şi controlat prin WannaCry, nu mai permite accesul utilizatorului la datele stocate pe acest sistem informatic. Datele sunt cripate, iar pentru decriptarea acestora, hackerii cer o sumă de bani drept “răscumpărare” în valoare de 300 de dolari, sumă de bani care poată fi achitată într-un anumit interval de timp. Dacă utilizatorul nu a achitat suma de 300 de dolari în timp util, suma se dublează. Plata se face prin BitCoin.
Pot fi recuperate datele criptate de WannaCry?
Da, pot fi recuperate, cu o condiţie: dacă, după ce sistemul tău informatic a fost infectat, criptat şi a apărut fereastra de atenţionare care te anunţă că trebuie să plăteşti pentru deblocarea datelor, utilizatorul nu a oprit calculatorul/sistemul şi nici nu a dat restart la calculator/sistem!
Utilitarul cu care pot fi decriptate datele se numeşte WanaKiwi şi poate fi descărcat de aici: https://goo.gl/CxAFQI (funcţionează pe Windows 2008, Windows XP, Windows Vista şi Windows 7).
Un alt utilitar similar cu care pot fi decriptate datele, este WanaKey (google it…).
Cum te poţi proteja împotriva atacurilor de tip ransomware, WannaCry?
Microsoft a lansat update-uri care rezolva această vulnerabilitate şi, evident, recomandă tuturor utilizatorilor să treacă la noul sistem de operare Windows 10 şi să-şi ţină calculatoarele updatate. Convenabil pentru ei, nu? Pentru că, Microsoft vrea ca toţi utilizatorii să treacă pe Windows 10. Adică, alţi bani (profit) pentru Microsoft. Totuşi, aşa… “cu o jumătate de gură” şi siliţi de împrejurări, au realizat update-uri şi pentru câteva sisteme de operare Windows mai vechi.
Există două metode pentru a te apăra împotriva atacurilor WannaCry:
1.) – Dezactivarea SMB (dezactivare manuală sau cu ajutorul unui utilitar);
2.) – Instalarea update-ului corespunzător sistemului de operare pe care-l aveţi. De asemenea, şi această instalare poate fi realizată “manual” (respectiv punctual) sau automat;
Poţi dezactiva SMB fără ca acest lucru să-ţi afecteze calculatorul?
Da, în majoritatea cazurilor poţi dezactiva liniştit SMB, fără nici o problemă. Pentru o utilizare “normală” a calculatorului, respectiv acasă, sau chiar la birou, nu ai nevoie de SMB. Există situaţii extrem de rare în care un utilizator ar avea nevoie de SMB, iar asta de obicei se întâmplă în cazul utilizatorilor avansaţi ori în mediile de lucru profesionale… care utilizatori avansaţi ştiu exact care este riscul să se expună.
Cum dezactivezi SMB?
Prima metodă: Cea mai simplă metodă pentru dezactivarea SMB este să folosiţi utilitarul “SMB2 Tools Disable” care poate fi descărcat de aici: https://goo.gl/ZO2VO2. Extrageţi fişierul executabil din arhivă, daţi dublu-click pe executabil şi va fi afişată o fereastră care vă va spune dacă SMB este activat sau dezactivat. Dacă SMB este activ, va apare mesajul “SMB2 is currently enabled…“. Daţi click pe “Ok“, apoi restartaţi calculatorul. Pentru a verifica dacă SMB a fost dezactivat, după ce calculatorul porneşte din nou, puteţi deschide din nou utilitarul “SMB2 Tools Disable” şi verificaţi ce mesaj afişează. Dacă SMB a fost dezactivat, va afişa mesajul “SMB2 is currently disabled…“.
Aşa arată mesajul cu SMB dezactivat pe calculatorul meu cu Windows 7:
A doua metodă: SMB poate fi dezactivat şi manual. Mergeţi în “Control Panel > Programs > Programs and Features > Turn Windows features on or off“, iar aici, trebuie să debifaţi căsuţa de la “SMB 1.0/CIFS File Sharing Support” apoi daţi “Ok“.
SMB mai poate fi dezactivat manual şi cu ajutorul unei comenzi executate în PowerShell. De exemplu, în Windows 7 daţi click pe butonul START din stânga-jos, în căsuţa de căutare căutaţi după termenul “powershell“. Daţi click-dreapta pe opţiunea “Windows PowerShell” din rezultatele afişate şi selectaţi “Run as administrator“. În fereastra albastră care se va deschide, adăugaţi comanda de mai jos şi daţi ENTER:
1 | Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force |
Aşteptaţi până când apare un rând nou, cu ceva de genul: “PS C:\Users\NumeleTau>“. Asta înseamnă că, SMB v1 a fost blocat.
Dacă ai nevoie totuşi de SMB, cum te poţi proteja împotriva WannaCry?
În situaţia extremă în care totuşi aveţi nevoie ca SMB să fie activ, atunci nu-l dezactivaţi dar trebuie obligatoriu să instalaţi update-urile de securitate pentru Windows. Evident, cei de la Microsoft încurajează ideea să ţineţi toate update-urile active, însă mulţi utilizatori nu doresc asta, drept urmare, eu vă recomand să instalaţi – punctual – strict update-ul care rezolvă vulnerabilitatea SMB.
Ce aveţi de făcut? În funcţie de sistemul vostru de operare Windows, descărcaţi update-ul corespunzător de pe pagina oficială Microsoft şi instalaţi-l.
Update-urile de Windows pot fi descarcate de aici:
– Pentru Windows 10 (KB4012606): click aici!
– Pentru Windows 8.1 şi Windows Server 2012 R2 (KB4012216): click aici!
– Pentru Windows 7 şi Windows Server 2008 R2 (KB4012212): click aici!
– Pentru Windows XP, Windows Server 2003 şi Windows 8: click aici!
Pur şi simplu descărcaţi fişierul, daţi dublu-clik pe el iar acesta se va instala automat. După instalare va cere un restart, iar la restart (atât la oprire cât şi la pornire) va afişa un mesaj care spune să nu opriţi calculatorul până când nu este finalizat update-ul. Aveţi răbdare şi aşteptaţi până când sistemul de operare va porni din nou.
Succes!
9 comentarii la “WannaCry ransomware – Cum te poţi proteja împotriva acestui virus (atac informatic)?”
Multumim, Dan!
Ca de obicei, un articol complet care iti da mura-n gura tot ce trebuie sa faci.
Cu plăcere
Si totusi la ce foloseste SMB?
Protocolul SMB (Server Message Block) este un protocol de partajare a fișierelor în rețea care permite aplicațiilor de pe un computer, să citească, să scrie fișiere și să solicite într-o rețea de calculatoare anumite servicii de la un server.
Protocolul SMB poate fi folosit pe lângă protocolul TCP/IP sau alte protocoale de rețea. Utilizând protocolul SMB, o aplicație (sau utilizatorul unei aplicații) poate accesa de la distanță fișiere sau alte resurse de pe un server. Acest lucru permite aplicațiilor să citească, să creeze și să actualizeze fișiere la distanță, pe şi de pe un server. De asemenea, poate comunica cu orice program de server care este configurat pentru a primi o solicitare de client SMB. Noua versiune 3.0 a protocolului SMB a fost introdusa in Windows Server 2012.
Pentru cine cunoaşte protocolul FTP (File Transfer Protocol), este oarecum asemănător…
Pe FTP există o aplicaţie de tip “server” care “serveşte” conţinut (fişiere) în rețea prin portul 21 şi mai există aplicaţia de tip “client” pt. conectare la serverul FTP …
De asemenea, dacă utilizaţi imprimante profesionale la birou, una dintre metodele cel mai des întâlnite pentru trimiterea documentelor scanate către calculatorul “destinaţie” selectat din meniul imprimantei, este SMB. Scanezi documentul, iar fişierul digital care rezultă în urma scanării (de exemplu .PDF) va fi trimis automat prin SMB către calculatorul “destinaţie”.
Înainte de apariţia în masă a televizoarelor de tip “Smart TV”, existau media playere dedicate care partajau în reţea fişierele prin SMB…
Eu de exemplu mai am şi acum, aruncat pe undeva prin dulap, un media player Eboda HD for all 500 care utiliza protocolul SMB (SAMBA) pentru partajarea fişierelor în reţea: http://dan-blog.ro...-for-all-500.html
Iată ce spun cei de la Microsoft: Nu recomandăm dezactivarea protocolului SMBv2 sau SMBv3. Dezactivați protocolul SMBv2 sau SMBv3 doar ca măsură temporară pentru depanare. Nu lăsați protocolul SMBv2 sau SMBv3 dezactivat.
În Windows 7 și Windows Server 2008 R2, dezactivarea protocolului SMBv2 determină dezactivarea următoarelor funcționalități:
-- Solicitări compuse – permite trimiterea de solicitări SMB 2 multiple ca solicitare de rețea singulară;
-- Scrieri și citiri de mai multe date – utilizare mai bună a rețelelor mai rapide;
-- Memorare în cache a proprietăților folderelor și fișierelor – clienții păstrează copii locale ale folderelor și fișierelor;
-- Handle-uri durabile – permit reconectarea transparentă a conexiunii la server în cazul unei deconectări temporare;
-- Semnare îmbunătățită a mesajelor – HMAC SHA-256 înlocuiește MD5 ca algoritm de combinare;
-- Scalabilitate îmbunătățită pentru partajarea de fișiere – a crescut numărul de utilizatori, partajări și fișiere deschise per server;
-- Suport pentru legături simbolice;
-- Model de atribuire cu blocare oportună a clientului – limitează datele transferate între client și server, îmbunătățind performanța în rețele cu latență ridicată și sporind scalabilitatea serverului SMB;
-- Suport pentru MTU-uri mari – pentru utilizare completă a conexiunilor 10-gigabye (GB) Ethernet;
-- Eficiență energetică îmbunătățită – clienții care au fișiere deschise la un server pot intra în stare de repaus.
În Windows 8, Windows 8.1, Windows 10, Windows Server 2012 și Windows Server 2016, dezactivarea protocolului SMBv3 determină dezactivarea următoarelor funcționalități (și, de asemenea, funcționalitatea SMBv2 descrisă în lista anterioară):
-- Reluare transparentă în caz de nereușită – clienții se reconectează fără întreruperi la noduri de cluster în timpul întreținerii și reluării în caz de nereușită;
-- Scalare pe orizontală – acces concurent la date partajate în toate nodurile de cluster;
-- Multicanal – agregare a lățimii de bandă a rețelei și toleranță la erori dacă sunt disponibile căi multiple între client și server;
-- SMB Direct – adaugă suport pentru lucru în rețea RDMA pentru performanțe foarte ridicate, cu latență scăzută și utilizare scăzută a unității centrale de prelucrare;
-- Criptare – asigură criptare integrală și protecție împotriva „ascultării” (eavesdropping) în rețele care nu sunt de încredere;
-- Atribuire de directoare – îmbunătățește timpii de răspuns ai aplicațiilor în birouri de sucursală în timpul memorării în cache;
-- Optimizări ale performanțelor – optimizări pentru intrări/ieșiri de citire/scriere aleatorii mici.
Buna ziua! Bun articol. Eu am SO Win8.1pro-32bit. Linkul care l-ati dat pentru descarcarea KB 4012216 este pentru win8.1-x64. Sunt utilizator “HOME” pe x86. Aveti un link si pentru Win8.1-32bit?
@jpm, pe aceeaşi pagină găseşti update-ul atât pentru Windows 8.1 pe 64 de biţi, cât şi pentru Windows 8.1 pe 32 de biţi.
Click pe imaginea de mai jos:
Frumos articol, bine conturat, sper sa nu muscam o criptare de date