Prevence proti ransomware WannaCry
V pátek 12. května 2017 napadl ransomware WannaCry přes 200 000 počítačů, po celém světě. Nebudu se zde zbytečně rozepisovat, informací je na netu k této problematice dost. Přináším zde jen návod, jaké by měl uživatel na své PC preventivně udělat kroky pro zabezpečení svého operačního systému. Více k problematice na Githubu.
- Uživatelská opatrnost
- Nainstalovaný a aktualizovaný antivirový program
- Aktualizovaný systém, především Windows patch Microsoft Security Bulletin MS17-010
- Vypnout SMBv1
- Mít zapnutý Firewall
- Otestovat si zranitelnost zařízení v síti
Uživatelská opatrnost
Obecně platí, že by měl uživatel vždy věnovat pozornost všem emailům, které si otevírá. Zejména pokud obsahují nějakou přílohu a působí podezřele. Ne vždy to jde ale odhadnout, útočník umí emaily podvrhnout tak, že působí velice důvěryhodně.
Nainstalovaný a aktualizovaný antivirový program
Mít aktualizovaný AV je základ. Je sice pravda, že většina AV není schopná detekovat v prvotních hodinách, že se jedna o virus, tak tady existují možnosti co nejvčasnější detekce. Například ESET má tuto funkčnost integrovanou do svých produktů pod názvem LiveGrid. Pokud využíváte řešení od ESETu, tak doporučuji tedy mít aktivovaný systém včasné ochrany ESET LiveGrid. Pokud byste měli zájem o řešení od ESETu, tak se ozvěte. Můžu vám zajistit výhodnější podmínky.
Aktualizovaný systém
Útok byl tak rozsáhlý, že i Microsoft reagoval a vydal updaty pro starší, nepodporavané OS Windows XP/Vista/8.
Aktualizace k nainstalování si stáhněte z Windows Update a nebo přímo na Technetu MIcrosoftu a informace máte taky zde.
Pro starší nepodporované verze Windows si stáhněte update ZDE.
Vypnout SMBv1
Vypněte si SMBv1, ve kterém je zranitelnost.
Jdete Ovládací panely\Programy\Programy a funkce a zde klepněte na Zapnout nebo vypnout funkce systému Windows. Nalistujte si položku Podpora pro protokol sdílení souborů SMB 1.0/CIFS. Tu odfajfkujte a klikněte na OK a restartujte PC.
Podrobněji jak vypnout SMB na všech platformách MS na webu Technetu Microsoftu.
Pro MS Windows XP/2003 lze jednoduše vypnout SMB ve vlastnostech Připojení k místní síti, kde stačí odfajfkovat Sdílení souborů a tiskáren v sítích Microsoft.
Mít zapnutý Firewall
Zapněte si firewall, ať už zabudovaný ve Windows, nebo v antivirovém programu. Dále si můžete vytvořit ve firewallu pravidlo blokující komunikaci na portu 445 – Microsoft Active Directory / Sdílení Windows (SMB) .
Jak na to?Zde jsou kroky jak nastavit firewall. Pravidla jsou dvě. Nejprve zvolte pravidlo pro TCP a pak vytvořte pravidlo pro UDP. Pokud vše vykonáte dobře, vytvořené pravidla se vám ukážou v seznamu pravidel.
- Jděte na Ovládací panely\Systém a zabezpečení\Brána Windows Firewall.
- Klikněte na položku v levém panelu Upřesnit nastavení.
- Vytvořte si pravidlo pro příchozí komunikaci. Klepněte na položku Příchozí pravidla nalevo. Načtou se vám všechny pravidla pro příchozí komunikaci.
- Na pravé straně klikněte na položku Nové pravidlo.
- Zvolte PORT
- TCP/UDP a vyplnit port 445 v kolonce Konkrétní místní porty.
- Dále zvolte Blokovat připojení
- Aplikovat na Doménu/Privátní/Veřejný
- Nazvěte si toto pravidlo tak, abyste věděli, že se jedná o blokování SMB – např. SMB blokování TCP/UDP
Otestovat si zranitelnost zařízení v síti
Otestujte si, jestli nemáte v sítí zařízení, které je případně zranitelné proti útoku.
Pomocí aplikace Nmap (Network MAPer) si můžete proskenovat naši síť. Skript pro skenování stahujte ZDE.
Na linuxu
- stáhněte si skript wget https://raw.githubusercontent.com/cldrn/nmap-nse-scripts/master/scripts/smb-vuln-ms17-010.nse
- spusťte skript z konzole: nmap –script smb-vuln-ms17-010.nse -Pn -p 445 192.168.1.0/24
Na MS Windows
- stahněte si aplikaci ZDE.
- Stažený skript musí mít příponu .nse, tedy konkrétně skript v odkazu smb-vuln-ms17-010.nse. Osvědčilo se mi ukládat přes Firefox – uložit jako a v oknu pro uložení přepnout Uložit jako typ: Všechny soubory
- Stažený skript vložte do C:\Program Files (x86)\Nmap\scripts
- V aplikaci NMAP vložte do položky Command tento příkaz: nmap -p 445 -T4 -A -v –script smb-vuln-ms17-010.nse 192.168.1.0/24
Je pro info, 192.168.1.0/24 je rozsah adres, které budete chtít skenovat, tedy zde konkrétně 192.168.1.1 až 192.168.1.254. Zvolte si svůj rozsah.