IT ČLÁNKY A NÁVODY - PORADŇA - IT MAGAZÍN
Ďakujeme za hodnotenie článkov. Hodnotením prispievate k ich pravidelnej aktualizácii a zvyšovaniu ich kvality.
Podporte nás:
28.03.2019
Ransomware WannaCry
Ako rozpoznať či bol počítač napadnutý WannaCry?
WannaCry šifruje súbory pomocou algoritmov AES a RSA a pripojuje ku každému z týchto súborov prípony .wcry, .wcryt, .wncry alebo .wncrrytt.
Zakážeme porty, ktoré používajú hackeri na prienik do zariadenia prostredníctvom EtheralBlue exploit a DoublePulsar backdoor
Metóda 1.
Dočasne zakážeme protokol SMB1 (Server Message Block)
Prostredníctvom úpravy v registroch, kde zmeníme parameter SMB1 na hodnotu 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\Registry entry: SMB1
REG_DWORD: 0 = Disabled (zakázať)
REG_DWORD: 1 = Enabled (povoliť)
Default: 1 = Enabled (predvolená hodnota je 1 čiže povoliť)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\Registry: SMB2
REG_DWORD: 0 = vypnuté
REG_DWORD: 1 = zapnuté
Predvolená hodnota: 1 = zapnuté (Nie je vytvorený žiadny kľúč databázy Registry)
Prípadne prostredníctvom Windows PowerShell 2.0 zakážeme SMB1
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Pre opätovné povolenie SMB1 použijeme príkaz:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
Metóda 2.
V PoweShell si zistíme stav zapnutia / vypnutia protokolov SMB
SMB v1
Zistenie: Get-SmbServerConfiguration | Select EnableSMB1Protocol
Vypnutie: Set-SmbServerConfiguration -EnableSMB1Protocol $false
Zapnutie: Set-SmbServerConfiguration -EnableSMB1Protocol $true
SMB v2/v3
Zistenie: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Vypnutie: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Zapnutie: Set-SmbServerConfiguration -EnableSMB2Protocol $true
Metóda 3.
Odškrtneme podporu zdieľania súborov SMB 1.0
Ovládací panel / Programy a súčasti / Zapnúť alebo vypnúť súčasti systému Windows /
Metóda 4 pre staršie systémy.
Pomocou príkazového riadka, ktorý spustíme ako správca, zakážeme porty 139 a 445.
netsh advfirewall firewall add rule name="Block port 445" dir=in action=block protocol=TCP localport=445
netsh advfirewall firewall add rule name="Block port 139" dir=in action=block protocol=TCP localport=139
Poznámka: V prípade potreby, pre opätovné odblokovanie portu použijeme príkaz:
netsh advfirewall firewall add rule name="Open port 445" dir=in action=allow protocol=TCP localport=445
Stiahneme patch
Na základe verzie a typu operačného systému si zo stránky Microsoftu bezplatne stiahneme patch (MS17-010 aktualizáciu) zabezpečenia chyby, ktorá by mohla umožniť vzdialené spustenie kódu, ak útočník odošle špeciálne vytvorené správy do 1.0 (SMBv1) servera Microsoft Server Message Block.
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Aktualizácie pre staršie systémy nájdeme tu:
KB4012598
Vypneme vzdialený prístup RDP (Remote Desktop Protocol)
• Ovládací panel\Všetky položky ovládacieho panela\Systém
• V ľavej časti Nastavenie vzdialeného prístupu
• Odškrtneme Povoliť pripojenia pomoci na diaľku k tomuto počítaču
• Zaklikneme Nepovoliť vzdialené pripojenia k tomuto počítaču
Ako zistím verziu operačného systému?
1. Stlačíme klávesovú skratku WIN+R
2. Do vyhľadávacieho poľa zadáme príkaz: winver
3. Zobrazí sa verzia aktuálna operačného systému
Ako zistím typ operačného systému?
Stlačíme klávesovú skratku WIN+END (WIN+FN+END)
V prípade, ak nepomohla žiadna z vyššie uvedených možností, alebo sa nazdávate, že nie ste dostatočne technicky zdatný/ná, neváhajte si objednať servisný výjazd.