Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

WannaCry - Hogyan védekezz?

2017. május 13. - hackerfeleség

UPDATE: A már nem támogatott operációs rendszereire is készített javítást a Windos, frissíts most!

Meglehetősen durva kibertámadás söpör végig a világon éppen: eddig közel 60.000 gép érintett és ki tudja, hol van még a vége.
Angliában kórházak működése került veszélybe, de telekommunikációs cégek, bankok, és rengeteg más cég érintett még. Elért már hozzánk is: a legfrissebb hírek szerint a magyar Telenorhoz is eljutott a WannaCry zsarolóvírus.

Mit neki Kínai Nagy Fal, óceánok, közlekedési dugók, meg ilyenek...

A WannaCry zsarolóvírus titkosítja a gépen található összes fájlt, és SMB-n kersztül a távoli parancsfuttatás sérülékenységét kihasználva a hálózatra kapcsolódó többi Windowsos gépet is megfertőzi.

Ne vedd félvállról a veszélyt! Pláne ne céges szinten!
Gondold végig, hogy milyen kárt okozhatna, ha egyszer csak nem férhetnél hozzá a dolgaidhoz. Angliában műtéteket halasztanak el, betegeket irányítanak még nem érintett kórházak sürgősségi osztályaira. Szóval ér ezt komolyan venni.

wannacry-real-time.pngA MalwareTech térképén követheted élőben a WannaCry támadásokat.

 

Hogyan védekezz?

  • Először is, ha még nem telepítetted a Windosos gépeken és szervereken az EternalBlue exploit (MS17-010) elleni javítást, akkor telepítsd most!
  • Az ilyen zsarolóvírusok elleni védelem során mindig gyanakodj az e-mailben kéretlenül érkezett dokuentumokra, és soha ne klikkelj a bennük lévő linkekre, míg nem tisztáztad biztosan a dokumentum eredetét.
  • Ahhoz, hogy mindig biztosan hozzáférj a fontos fájljaidhoz és dokumentumaidhoz, kell egy jó mentési eljárás. A másolatokat olyan külső tárolóeszközre mentsd, amelyhez nem kapcsolódik folyamatosan a mentett számítógép.
  • Ezen kívül győződj meg róla, hogy aktív a vírusvédelem a gépeden / szerveren.
  • És ami a legfontosabb, mindig biztonságosan böngéssz az interneten. (https, biztonságos internetkapcsolat, stb.)

 

Ellenőrizd ezeket, állítsd be, és légy most különösen tudatos az e-mailben érkező dokumentumok megnyitásával, kezelésével!

 

UPDATE: Fél óra telt el a poszt írása óta, azóta már közel 100.000 gép fertőzött.

A bejegyzés trackback címe:

http://hackerfeleseg.hu/api/trackback/id/tr3612501931

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

illaim 2017.05.13. 11:37:23

A Kaspersky kiadott egy Anti-Ransomware ingyen letölthető programot a zsaroló vírusok ellen.

gabiiii 2017.05.13. 12:05:50

A biztonsági másolatokat célszerű időnként olyan "elavult" dolgokra menteni, mint DVD, BD, esetleg CD. Igaz hogy lassú és sok helyet foglal, de később nem írható felül, még akkor sem, ha véletlenül egy fertőzött gépbe teszed. Ha hosszú távon is biztosra akarsz menni, akkor M-DISC-re mentesz.

enpera · http://c64blog.wordpress.com 2017.05.13. 12:44:29

Én úgy védekezem hogy oprendszert használok:)

qwertzu 2017.05.13. 13:47:01

Egy napi rendszerességgel frissített windowssal nem volt probléma.

@enpera: Nyilván más oprendszereken soha nem volt olyan biztonsági hiba, amit javítani kellett volna, ugye?

en.wikipedia.org/wiki/Shellshock_(software_bug)

Androsz · http://migransozo.blog.hu 2017.05.13. 13:48:18

Nekem az is nagyon nem szimpatikus, hogy víruspajzsot és tűzfalat is kénytelen vagyok már úgy telepíteni, hogy közben folyamatos és ellenőrizhetetlen internetforgalmat kell használnom, mert az offline telepítők előállítása valahogy nagyon fájdalmas már a fejlesztőiknek. Szívesebben bolygatnám meg a védelmet úgy, hogy közben ki van húzva a hálózati kábel, de hát nem lehet, nem korszerű.

@gabiiii: Nagyon igaz, én is ezt mondogatom, de mindig előugrik egy okostóni, aki szerint a winchester ma már annyira olcsó, hogy csak a hülye nem alapozza a teljes mentését mindössze két szektor érintetlenül maradásának reményére.

enpera · http://c64blog.wordpress.com 2017.05.13. 14:04:20

@qwertzu: de volt, de tegyél vírust bármelyik rendszeremre kérlek.

qwertzu 2017.05.13. 14:11:55

@enpera: Van olyan amelyik nem volt frissítve 3 hónapja?

enpera · http://c64blog.wordpress.com 2017.05.13. 14:57:24

@qwertzu: van. Amiga os 3.1
Az ipadomat meg rendesen frissítem

oldalas 2017.05.13. 15:58:23

hogy lehet megnézni, hogy ez az ms17 fent van-e?

hackerfeleség 2017.05.13. 16:37:51

@oldalas: nézd meg, hogy van-e frissítés a gépedre. ha nincs (tehát ha a legújabb frissítés is telepítve van), akkor nincs baj. amúgy március 14-én jött ki rá a frissítés. ha azóta frissítettél, akkor ezzel nincs baj.

oldalas 2017.05.13. 16:58:55

@hackerfeleség:köszönöm, win10, most frissített pár napja

szamaritánus 2017.05.13. 20:02:28

Ne hasznalj fostos windowst.

énisfélek 2017.05.13. 21:35:16

És tessék mondani, laikusok hol olvashatják el annak leírását, hogy hogyan lehet LETILTANI az SMB-t? Vagy ilyen jelegű segítség sehol sem található? Vajon miért nem csodálkozom?
Mert eddig is sok ezer vírus használta ilyen-olyan célra az SMB-t és ezentúl is lesz olyan vírus, amely ellen a mai javítócsomag semmit sem ér. Ha viszont nincs sehol SMB, akkor a vírusok egyel kevesebb segítséget kapnak.

énisfélek 2017.05.13. 21:44:59

@Androsz: "mert az offline telepítők előállítása valahogy nagyon fájdalmas már a fejlesztőiknek"

Minden online telepítő/frisítő egy-egy potenciális veszélyforrás (adatlopás). Komolyabb helyeken (minisztérium, honvédelem, kutatás, stb) megtiltanék minden olyan szoftver használatát, amelyet kizárólag online módon lehet installálni/frissíteni.

"alapozza a teljes mentését mindössze két szektor érintetlenül maradásának reményére"

Az az adatmentő winchester lehet ám akár egy RAID tömb is.

Hajdú Peter 2017.05.14. 00:07:39

"kihasználva a hálózatra kapcsolódó többi Windowsos gépet is megfertőzi.""
Melyik windows barmelyik ?

Azonkivul ugy olvastam, hogy levelben terjed, illetve le kell tolteni es futatni, szoval azert nem csak ugy magatol tamad.

szabonandi 2017.05.14. 08:38:03

@énisfélek: "És tessék mondani, laikusok hol olvashatják el annak leírását, hogy hogyan lehet LETILTANI az SMB-t? Vagy ilyen jelegű segítség sehol sem található? Vajon miért nem csodálkozom?"

Itt leirja a Microsoft:
support.microsoft.com/hu-hu/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

ebben a bekezdésben:
How to enable or disable SMB protocols on the SMB client

Mérnork 2017.05.14. 09:19:53

"Az ilyen zsarolóvírusok elleni védelem során mindig gyanakodj az e-mailben kéretlenül érkezett dokuentumokra, és soha ne klikkelj a bennük lévő linkekre, míg nem tisztáztad biztosan a dokumentum eredetét."
Itt a lényeg, ha nem vagy aktívan idióta, akkor nem tudnak megfertőzni....

énisfélek 2017.05.14. 10:37:36

@szabonandi: "Itt leirja a Microsoft:"

Küldj oda egy laikust és nézd meg, hogy mihez td kezdeni azzal a leírással. Még akkor is, ha véletlenül tud angolul. De még ha esetleg tud is angolul, vajon hány amatőr tud kezdeni valami a következő közérthető információval: "deactivates the following functionality"? Mert a Windows-ban nincs "Funkciók deaktiválása" nevű ikon, tehát ez a segítség így nem segítség.

A laikusoknak nem a színpadról kell segíteni, hanem leereszkedni hozzá és kézen fogni. Szakmai szlengtől csak még hülyébbnek érzi magát és ugye nem azt szeretnénk, hogy Magyarország még sokáig a digitális analfabéták országa legyen.

Kurt úrfi teutonordikus vezértroll 2017.05.14. 11:32:33

@Mérnork: "Itt a lényeg, ha nem vagy aktívan idióta, akkor nem tudnak megfertőzni...."

Pontosan. Semmilyen olyan levelet nem nyitok meg, amelynek nem ismerem a küldőjét. Simán törlöm.
Semmilyen linket nem nyitok meg. Ha valaki linket, csatolt fájl küld, előtte tisztázom vele miért küldte és az honnan származik.

Kurt úrfi teutonordikus vezértroll 2017.05.14. 11:33:29

@énisfélek: "és ugye nem azt szeretnénk, hogy Magyarország még sokáig a digitális analfabéták országa legyen."

De, de, szeretnénk, mert azért keresünk sok pénzt.

FalloutBoy 2017.05.14. 13:21:20

Még jó hogy 2 nap alatt 0kb frissités jött le, és a www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 oldal be sem tölt...

van offline telepítő a frissítéshez vagy az már meghaladná májkroszofték képességeit?

Androsz · http://migransozo.blog.hu 2017.05.14. 14:51:00

@énisfélek: "Az az adatmentő winchester lehet ám akár egy RAID tömb is. "

Amit viszont épp azért nem hívhatunk mentésnek, mert folyamatos használatban van, és nem leválasztva lapul egy fiókban vagy akár egy légkondicionált széfben. A hardverhiba esetén lehetőséget ad a hibajavítására (a RAID1 még csak az észlelésére, persze), de nem véd az ellen, hogy rosszindulatú szoftver, egy hibás szoftver vagy egy hülye felhasználó módosítson egyszerre az egész bokor tartalmán.

énisfélek 2017.05.15. 08:45:34

@Androsz: Attól, hogy valami RAID, attól még nem muszáj folyamatosan használatban lennie. Egy RAID tömböt ki-be lehet kapcsolni (akár fizikai energia elvétellel is), ha a mentés hálózaton történik, akkor a hálózati csatlakozását is meg lehet szakítani (akár fizikailag). Mindez lehet akár egy séfben is. De, egy RAID -et akár szállítani, mozgatni is lehet (NAS), persze ez újabb potenciális veszélyforrás, szóval inkább ne.
És meg kell különböztetni azt az aktív adathordozót, amire a rendszeres rutin adatmentés történik attól az adathordozótól, amin a kulcsfontosságú adatok ezer évre történő archiválása történik.