Národní úřad pro kybernetickou a informační bezpečnost

15. květen 2017

Ransomware se začal šířit během pátečního odpoledne a velmi rychle infikoval velké množství počítačů po celém světě. WannaCry je unikátní tím, že kromě standardního způsobu šíření (phishing) přidává i druhý způsob – zneužití SMB zranitelnosti ve Windows. Podporované systémy získaly opravu zranitelnosti během března (MS17-010). Microsoft navíc vydal mimořádnou aktualizaci i pro nepodporované systémy včetně Windows XP, Vista, Windows 8, Windows Server 2003 a 2008. Podrobný popis chování ransomwaru WannaCry můžete najít zde a zde. V případě detekce incidentu nás prosím kontaktujte na cert.incident@nukib.cz.

POSTIŽENÉ SYSTÉMY

Počítače s OS Microsoft Windows.

Ochrana proti běžnému šíření pomocí phishingu nebo spamu:

(o phishingu jsme psali podrobně zde)

Doručené podezřelé e-maily ignorujte.
Neklikejte na žádné odkazy v podezřelém nebo nevyžádaném e-mailu.
Neotevírejte podezřelé nebo nevyžádané přílohy e-mailu.
U podezřelých e-mailů kontrolujte podrobnosti (kudy e-mail putoval, přes jaké IP adresy - položky „Received“, které obsahují záznamy o „cestě“ zprávy mezi jednotlivými přenosovými uzly atp.).
Pravidelně aktualizujte internetový prohlížeč, antivirový program a e-mailového klienta.
V případě pochybností si obsah podezřelého e-mailu ověřte telefonátem do zákaznického centra instituce.

Ochrana proti zneužití zranitelnosti:

Aktualizujte všechny Microsoft systémy, a to i včetně těch, kterým skončila oficiální podpora (i pro ně byla vydána záplata).
Pokud nelze systém aktualizovat, blokujte TCP a UDP porty 137, 138, 139 a 445.
Případně můžete SMB vypnout úplně. Podrobný návod zde.