Ransomeware – WannaCry

Ransomeware este un tip de atac informatic relativ nou, prin care un program neautorizat (virus, troian etc) cripteaza datele de pe hard disk. Ulterior este ceruta o recompensa pentru trimiterea cheii de decriptare, de obicei intr-o cripto-moneda precum Bitcoin, deoarece tranzactia nu poate fi urmarita.

Vineri 12 Mai 2017 un atac Ransomware numit WannaCry a atacat sistemele de operare Windows neactuliazate (toate versiunile, inclusiv Windows 10). 

Ce face deosebit acest atac este magnitudinea sa (au fost afectate peste 100 de tari, au fost inchise spitale, corporatii, institutii publice etc), dar si faptul ca odata infectat un calculator dintr-o retea locala, acesta infecteaza automat alte calculatoare din reteaua locala, fara interventia utilizatorului.

Atacul se bazeaza pe un backdoor NSA pentru sistemele Windows si  care fost sustras in lunile trecute.

In momentul scrierii acestui articol, atacul este in desfasurare.

 

Cine este/nu este afectat:

– orice sistem de operare Windows neactualizat. Microsoft a lansat un update care acoperea vulnerabilitatea in luna Martie. Inclusiv sistemele vechi precum XP/Vista pot fi actualizate. Informatii oficiale de la Microsoft pt. fiecare sistem de operare: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

– sistemele de operare Windows 10 cu update-urile la zi nu sunt vulnerabile. Default in Windows Auto-Update este pornit.

– celelalte sisteme de operare precum Linux, Mac, telefoane mobile (Andoid, IOS) nu sunt afectate (indiferent de versiune). Atentie: pot exista alte versiuni, alte programe de tip malware, care sa afecteze si aceste sistem de operare.

 

Ce pot face daca calculatorul meu este compromis?

Nu exista nicio solutie in acest moment. Datele criptate trebuie considerate pierdute si compromise. Se recomanda reinstalarea sistemului de operare, instalarea ultimelor update-uri intr-o retea securizata, si restaurarea informatiilor din ultimul Backup.

 

Calculatorul meu a fost compromis. Datele sunt valoroase. Este bine sa platesc rascumpararea ceruta?

NU, in niciun caz. Chiar daca platesti, exista toate sansele sa nu primesti cheia de decriptate. In schimb intri pe lista "bunilor platnici" si este posibil sa fii targetat pe viitor cu alte atacuri similare.

 

Ce pot face pe viitor pentru a evita astfel de atacuri:

1. Instaleaza ultimele update-uri

2. Realizeaza un full backup si testeaza restaurarea acestuia. Indiferent de masurile luate, exista sansele compromiterii si pierderii datelor. 

Pastreaza backupul pe un suport offline criptat (ex: un hard disk extern). Poti realiza un backup eficient folosind un LiveCD Linux si rsync.

3. Urmeaza urmatoarele bune practici:

– nu intra pe site-uri dubioase precum cele de jocuri online, torrents, file sharing etc;

– foloseste ultimele versiuni ale programelor utilizate (browser etc);

– instaleaza o solutie de securitate (firewall, antivirus);

– nu da click pe linkurile din email si nu raspunde emailurilor care nu iti sunt adresate cu date de identificare exacte (nume, prenume etc) chiar daca vin din partea institutiilor cu care ai relatii comerciale (ex: banca);

 – ia in calcul ca orice sistem informatic poate fi vulnerabil si compromis. Realizarea constata a unui backup si testarea restaurarii acestuia este obligatorie;

– chiar daca exista vulnerabilitati pentru toate sistemele de operare, s-a dovedit in ultimii ani ca sistemele de operare Linux sunt mult mai sigure in fata celor mai multe vulnerabilitati, iar modul in care este gandit sistemul de operare il face imun in fata multor atacuri disponibile pe Windows (security by design). O distributie precum Linux Mint poate fi folosita cu succes ca Desktop Operating System in cele mai multe cazuri;