Pe 12 mai, un atac ransomware masiv a lovit sistemele informatice din întreaga lume. România se află printre cele mai afectate 10 țări.

Reaminim că la noi, sistemul informatic din uzina Dacia a picat în noaptea de vineri spre sâmbătă, blocând total activitatea mai multor secţii robotizate. Astfel, mii de angajaţi care urmau să intre în tura de dimineaţă au fost trimişi acasă.

Cercetatorii unei dintre cele mai mari companii de softuri de securitate, Kaspersky Lab au analizat datele și sunt în măsură să confirme că subsistemele de protecție ale companiei au detectat cel puțin 45.000 de tentative de infectare în 74 de țări, majoritatea în Rusia.

”Programul ransomware infectează victimele, profitând de o vulnerabilitate Microsoft Windows, descrisă și rezolvată în Microsoft Security Bulletin MS17-010. Exploit-ul folosit, "Eternal Blue", a fost dezvăluit în cazul Shadowbrokers din 14 aprilie. Odată ajunși în sistem, atacatorii instalează un rootkit, care le permite să descarce programul pentru a cripta datele. Malware-ul criptează fișierele. Ulterior, este afișat un mesaj în care se solicită 600 de dolari în Bitcoin și wallet-ul, iar rascumpărarea crește în timp”, explică experții Kaspersky Lab.

Ei încearcă în prezent să stabilească dacă este posibilă decriptarea datelor criptate în timpul atacului, pentru a dezvolta un instrument de decriptare cât mai curând posibil.

Soluțiile Kaspersky Lab detecteaza programul malware folosit în atac, sub următoarele denumiri:

* Trojan-Ransom.Win32.Scatter.uf

* Trojan-Ransom.Win32.Scatter.tr

* Trojan-Ransom.Win32.Fury.fr

* Trojan-Ransom.Win32.Gen.djd

* Trojan-Ransom.Win32.Wanna.b

* Trojan-Ransom.Win32.Wanna.c

* Trojan-Ransom.Win32.Wanna.d

* Trojan-Ransom.Win32.Wanna.f

* Trojan-Ransom.Win32.Zapchast.i

* Trojan.Win64.EquationDrug.gen

* Trojan.Win32.Generic (trebuie activata componenta System Watcher)

Experții Kaspersky Lab recomandă urmatoarele măsuri pentru a reduce riscul infectării dispozitivelor:

* Instalați patch-ul oficial de la Microsoft, care rezolvă vulnerabilitatea folosită în acest atac.

* Asigurați-vă că soluțiile de securitate sunt pornite în fiecare nod de rețea (daca este folosită o soluție Kaspersky Lab, asigurați-vă că include componenta System Watcher, o componentă de detecție proactivă, bazată pe analiză de comportament și că aceasta este activată).

* Faceți o scanare folosind funcția Critical Area Scan dintr-o soluție Kaspersky Lab, pentru a detecta infecția cât mai posibil (altfel, va fi detectată automat, daca nu este oprită, în cursul a 24 de ore).

* Faceți un reboot al sistemului, dacă detecteaza MEM: Trojan.Win64.EquationDrug.gen.

* Folosiți servicii de raportare privind informațiile despre amenințări, disponibile pentru clienți.

O descriere detaliată a metodei de atac WannaCry și a indicatorilor de compromitere este disponibilă în acest articol de pe Securelist: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/.