Ransomware napadi na korisnike u Europi i Južnoj Americi

Ransomware napad širi se kao malware pod imenima (Wana Decrypt0r, WannaCryptor, WCRY ili WannaCry) iskorištava ranjivost SMB protokola ("EternalBlue") kako bi izvršio maliciozni kod nakon čega se šifriraju podaci na računalu te se od korisnika zahtjeva uplata kako bi dobio ključ za dešifriranje podataka. Najčešće se zaraza širi putem zaraženih e-mail poruka i u slučaju da na računalu (s Win OS) nije primijenjeno odgovarajuće Windows Update ažuriranje kriptira datoteke na računalu te pokušava zaraziti ostala dostupna računala i poslužitelje na mreži.

Prijedlozi aktivnosti kako bi se minimizirala šteta:

1. Ažuriranje antivirusnog softvera sa najnovijim definicijama. Prioritet je da antimalware alat na radnim stanicama prepozna i ukloni malware. 2. Blokiranje dolaznih konekcija prema portovima 445 i 139, odnosno potpuno isključivanje SMBv1/CIFS protokola. Dodatno se preporučuje blokiranje konekcija prema TOR čvorovima, odnosno TOR promet kroz mrežu. 3. Kreiranje e-mail poruke za sve korisnike e-mail sustava tvrtke da se ne otvaraju sumnjive e-mail poruke, a posebno da ne otvaraju datoteke sa macro naredbama. 4. Provjera svih Windows Update ažuriranja na radnim stanicama i poslužitelja za WU MS17-010 i što brža instalacija najnovijih (sa liste https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) 5. Nije preporučeno korištenje korisničkih računa s Domain Administratorskim pravima računalima jer će to omogućiti izvršavanje malware-a bez ograničenja 6. Ukoliko nije moguće ažuriranje računala primijeniti ručno podešavanje SMB protokola 7. Ukoliko postoji sumnja da je računalo zaraženo, računalo odmah ugasite i nemojte ga uključivati dok je priključeno na mrežu