10 rekommenderade åtgärder gällande WannaCrypt (Wcrypt)

Uppdatering: Gentilkiwi har släppt en -decryptor här, men du måste ha den privata nyckeln från exempelvis en minnesdump. 

Här följer en lista på det som är bra att tänka på när det gäller WannaCrypt/.

  1. Patcha samtliga system, specifikt ms17-010. Stäng av SMBv1, samt så har MS även släppt patchar till EOL-system såsom Windows XP.
  2. Vid detekterad infektion: Koppla bort enheten från nätverket, gör en minnesdump samt avspegling av hårddisken och gör en ny installation av Windows. Spegelbilden kan eventuellt användas senare till att återställa filer.
  3. Se till att det finns offline-backups. Och testa regelbundet att göra återställningar
  4. Stöd aldrig de kriminellas affärsplaner genom att betala.
  5. Se över Er BYOD-policy. Infekterad enheter kan anslutas till nätverket via VPN, Wifi eller andra sätt.
  6. Se till att blockera scripts, makro-filer, exekverbara filer etc i web-gateways samt E-mail gateways
  7. Blockera portarna 139 och 445 i brandväggar
  8. Se till att användare och administratörer har så låga behörigheter som möjligt
  9. Om inte har en incidenthanteringsplan. Upprätta en nu
  10. Informera all personal generellt om  samt ovan punkter

Många av ovan rekommendationer gäller även andra typer av ransomware och således ej enbart WannaCrypt.

Minst två olika nya varianter av WannaCrypt har observerats inom de senaste dygnen. Bl.a. helt utan den ”kill-switch” domän som rapporterats om, som troligtvis används för att detektera om den skadliga koden går i en sandlåda.

Kan även rekommendera CERT-EU:s skrivelse som hittas här.

Meddelande till den som blir infekterad:

Bakgrundsbilden ändras till följande:

3 comments

  1. Mikael Olsson

    Ta även en funderare på att segmentera större nätverk i mindre segment. Gärna baserat på behörighetskrav om det går, men all segmentering hjälper.
    Har ni wifi till era smartphones? Kör separat SSID för dessa – med så låg åtkomst som möjligt.
    Är separat VLAN för laptops (via wifi) görbart?

    Kom ihåg att många accesspunkter kan hantera flera SSID – som går ut i separata VLAN – allt i samma enhet, så täckningen och plånboken behöver inte lida! Som vettigt budgetexempel: Ubiquitis UniFi-serie stödjer 4 SSID/VLAN.

  2. Robert Larsson

    Läste någonstans att Wcrypt sprider sig över RDP-sessioner. SMBv1 är avslaget och win-patchen är installerad, men hur skyddar man sig mot att det sprids över RDP?

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>