Tuntud küberturvalisuse ettevõte Kaspersky Lab analüüsis möödunud reedel kogu maailma ettevõtteid raputanud lunavaraviirust WannaCry ning jagas soovitusi sellest hoidumiseks.
Mida kujutab endast maailma raputanud lunavara WannaCry – Kaspersky Lab selgitab
15. mai 2017, 13:21
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Ettevõtte analüüs näitas, et rünnak toimus läbi tuntud võrguhaavatavuse Microsoft Security Bulletin MS17-010. Seejärel paigaldati nakatunud süsteemi rootkit, mida kurjategijad kasutasid krüpteerimisprogrammi käivitamiseks.
Kõik Kaspersky Lab lahendused avastasid rünnakus kasutatud pahavara järgmiste tuvastusotsustega:
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- Trojan.Win32.Generic
Andmete dekrüpteerimiseks nõuavad kurjategijad luna tasumist, mille suurus on 600 USD krüptovaluutas Bitcoin. Käesolevaks hetkeks on ainuüksi Kaspersky Lab fikseerinud ligi 45 000 rünnakukatset 74 riigis üle maailma. Enim rünnakukatseid on täheldatud Venemaal.
«Juhul, kui teie failid osutusid krüpteerituks, ei tohi mingil juhul kasutada Internetist või e-mailidega saadud dekrüpteerimisvahendeid. Failid on krüpteeritud algoritmiga, mida pole võimalik dekrüpteerida ja pakutavad vahendid võivad põhjustada veel suuremat kahju teie ja teie organisatsiooni arvutitele, kuna on tõenäoliselt pahavaralised ning suunatud epideemia uue laine tekitamisele,» kommenteeris Kaspersky Lab. «Kui avastasite, et teie arvuti on nakatunud, siis on vaja see välja lülitada ja pöörduda arvutiturbe osakonna poole saamaks juhiseid edaspidiseks käitumiseks.»
Nakatumise riski vähendamiseks soovitas ettevõte järgmisi meetmeid:
- Paigaldada ametlik Microsoft-i turvapaik, mis sulgeb rünnakus kasutatava haavatavuse (osaliselt on saadaval uuendus versioonidele Windows XP ja Windows 2003);
- Veenduda, et kaitselahendused on sisse lülitatud kõigis võrgusõlmedes;
- Veenduda, et viirustetõtje programmi versioon sisaldab komponenti «Süsteemiseire» ja see on sisse lülitatud;
- Pärast Trojan.Win64.EquationDrug.gen tuvastamist on vaja süsteem taaskäivitada;
- Hoida silma peal ohtude eest hoiatamise teenustel, et olla õigeaegselt teadlik kõige ohtlikumatest pahavara trendidest.
Eesti pääses
Riigi Infosüsteemi Ameti tänase info kohaselt pole kõnealune viirus ühtegi arvutit ega süsteemi rikkuda suutnud.
Küll aga langesid mujal maailams rünnaku ohvriks näiteks Venemaa siseministeerium, Suurbritannia terviseamet ja logistikaettevõte Fedex. Reeglina oli neis kõigis kasutusel iganenud ja turvavärskendusteta operatsioonisüsteem Windows XP.