נלקח מאתר Eset.co.il , חברת צ'רצ'יל מחשבים הינה שותפה של חברת ESET ומפיצה את מוצריה בקרב לקוחותינו

כל הפרטים על מתקפת הכופר העולמית מסוף השבוע

עודכן לאחרונה: 14.05.17

אנו בטוחים שמרביתכם כבר שמע על מתקפת הכופר העולמית שהתרחשה ברחבי העולם בסוף השבוע באמצעות תוכנת כופר העונה לשם Wanna Crypt. הנוזקה מנצלת פרצה בפרוטוקול התקשורת SMB של מערכת ההפעלה של מייקרוסופט שפורסמה לפני חודשיים ומכונה eternalblue, כאשר הודלפו מסמכים של ה NSA ע"י קבוצת ההאקרים Shadow Brokers. מאז, מיקרוסופט הוציאה עדכון אבטחה למערכת ההפעלה שמכונה MS17-010 (כבר במרץ).

במתקפת הסייבר נפגעו ארגונים קטנים, בינוניים וגדולים, שלא התקינו את עדכון התוכנה שהפיצה מיקרוסופט בחודש מרץ האחרון. ארגונים רבים בישראל ובעולם ממתינים עם ביצוע עדכונים חדשים של מיקרוסופט. עצם ההפצה של התיקון מצביע על מיקום הפרצה, וההאקרים ממהרים לתקוף לפני שהארגונים הגדולים יעדכנו את כל המחשבים ברשת.

מחשב שנפגע והוצפן ע"י WannaCrypt יציג את דרישת הכופר שנראית כך:

wana decrypt0r 2 0

האם המתקפה הסתיימה?

יש להתייחס למתקפה כנמשכת, עד לביצוע עדכוני האבטחה המתאימים של מיקרוסופט. כנראה שינסו לנצל חברות שעדיין מתמהמהות בביצוע העדכונים.

האם הרשת שלי נפגעה מההתקפה?

אם מותקנת אצלכם גרסה עדכנית ומעודכנת של ESET ברשת, המשתמשים והמידע שלכם מוגנים – גם אם לא ביצעתם את עדכוני האבטחה של מיקרוסופט עד עכשיו.

איך מזוהה האיום ע"י מוצרי ESET?

מוצרי ESET חסמו את ההתקפה באמצעות הפירצה eternalblue עם מודול הגנת הרשת שמובנה במוצרים שלנו בתחנות. רמת ההגנה עלתה עוד יותר ביום שישי האחרון ה 12 למאי, כאשר יצאה חתימה עבור נוזקת הכופר בגרסתה העדכנית win32/Filecoder.WannaCryptor.D, בעדכון מספר 15404, וחתימה נוספת עבור הפירצה שנקראת

Win32/Exploit.CVE-2017-0147 בעדכון מספר 1507, גם כן ביום שישי.

במקביל מודול ה LiveGrid שלנו הגן גם כן כנגד המתקפה שהחלה בסביבות השעה 11:26 בבוקר יום שישי וזוהתה על ידי המערכת מבוססת הענן מיידית.

כיצד תתגוננו מהמתקפה?

  • עדכנו את מערכת ההפעלה של מיקרוסופט – ככלל, מומלץ לוודא כי ביצוע עדכוני מערכת הפעלה מוגדר לביצוע אוטומטי. כעת וודאו כי ביצעתם עדכון לפירצת האבטחה שבעקבותיה חדרה תכנת הכופר (גם למערכת הפעלה XP יצא עדכון מיוחד בגין אירוע זה). לפרטים המלאים . תוכלו למצוא את הפרטים ואת הקישורים להורדת העדכונים של מיקרוסופט בקישור הבא.

    קיים עומס רב על שרתי העדכון של מיקרוסופט, כך שניתן גם להוריד ישירות מהשרתים של רשות הסייבר בקישור הבא.

  • וודאו שהאנטי וירוס במחשבים ובשרתים מעודכן – עדכנו את האנטי וירוס  לגרסה העדכנית ביותר. כיצד ניתן לשדרג את גרסה 5 העסקית לגרסה 6?
  • גבו את המידע שלכם – חשוב לבצע עדכון אונליין ועדכון למדיה מקומית במקביל, כמו גם לבצע בדיקה תקופתית של שחזור מגיבוי.
  • אל תפתחו מיילים לא מזוהים, בדגש על מיילים עם קבצים מצורפים – אל תפתחו מיילים שנשלחים ממקורות לא מזוהים. שימו לב גם לניסוחים בכותרות המיילים הרבה פעמים שגיאות כתיב או כתיבת הספרה "0" במקום האות "O" יכול לתעתע. כמובן שאל תפתחו קבצים ממקור לא מזוהה ואל תלחצו על קישורים (לינקים) לא מוכרים.
  • סגרו את פורט 445 – בחלק מן המקרים משתמשים התוקפים בפירצה נוספת בשם Doublepulsar (גם היא הודלפה ע"י Shadow Brokers) שתוקפת דרך פורט 4455, לכן מומלץ לסגור אותו לעולם החיצון.
  • סגרו את שירות ה SMB – במידה ולא ניתן לבצע מיידית את עדכוני האבטחה של מיקרוסופט, יש לחסום את הגישה מבחוץ לשירות ה SMB באמצעות חומת האש.

    ניתן גם לנטרל מקומית (מומלץ לכלל הרשת דרך GPO) את שירות ה SMB דרכו מתבצעות מרבית ההתקפות:

    C v5sTUVwAEYR S.jpg large