« Back

Napad izsiljevalskega virusa WannaCrypt

15 maj 2017

Napad izsiljevalskega virusa WannaCrypt

Lani so varnostni strokovnjaki napovedali porast napadov z izsiljevalskimi virusi v letu 2017. Izsiljevalski virus WannaCrypt, je po poročanju medijev ta konec tedna okužil in onesposobil vsaj 200.000 računalnikov v približno 100 državah. Med prizadetimi podjetji so bila tudi španski operater Telefonica, Deutsche Bahn, rusko notranje ministrstvo, Energias de Portugal, FedEx in novomeški Revoz. V slednjem so morali ta konec tedna celo ustaviti proizvodnjo avtomobilov. Virus zašifirira vsebino diskov okuženih računalnikov in zahteva 300$ v obliki bitcoina za ključ, ki povrne podatke na okuženem računalniku.

Napad se širi zaradi neposodobljenih sistemov, saj WannaCrypt izkorišča ranljivost, ki jo je Microsoft zakrpal s  popravkom, ki ga je objavil 14. marca letos (MS17-010), vendar le za sisteme Windows 7 in novejše. Žal mnogi novejši računalniki niso bili posodobljeni s tem popravkom in tako jih je WanaCrypt lahko okužil in zašifriral njihove podatke. Microsoft je medtem zaradi velikega obsega napada nepričakovano objavil posodobitve tudi za Windows XP, Windows 8 in Windows 2003, ki odpravljajo ranljivost, ki jo izkorišča WannaCrypt.  

Sophos je lani predstavil orodji InterceptX in EXP (Endpoint eXploit Prevention), specializirano zaščito pred izsiljevalskimi virusi. InterceptX namestimo na računalnik kot dodatek k obstoječi protivirusni zaščiti, EXP pa je namenjen kot dodatek k Sophosovi protivirusni zaščiti Endpoint protection. InterceptX in EXP nas varujeta pred množico še neznanih virusov, ki pa vsi izkoriščajo eno ali več ranljivosti v operacijskem sistemu ali drugi programski opremi, ki teče na računalniku. Tako se je izkazalo da so bili uporabniki, ki uporabljajo InterceptX ali EXP varni pred WannaCrypt virusom in podatki na njihovih računalnikih niso bili zašifrirani.

Podjetja bodo cenila tudi samodejno čiščenje računalnika in odstranitev ostankov okužbe in grafičen prikaz  okužbe, ki jo je InterceptX ustavil. Z analiza dogodka (Root cause analisys), ki nam prikaže vse datoteke, procese in ključe v registrih, ki so bili povezani s tem dogodkom, se tudi porabi veliko manj časa za lociranje žarišča in morebitna dodatna opravila. Poleg tega InterceptX ob blokiranju izsiljevalskega virusa  tudi samodejno zažene pregledovanje računalnika in odstranitev morebitnih ostankov okužbe.   

InterceptX je na voljo za 30-dnevno testiranje tukaj.