ה-CERT הישראלי: אירוע "חץ וקשת" - הנחיות התמודדות עם כופרת WannaCry
מאת: מערכת Telecom News, 13.5.17, 23:36

עדכונים בדבר הנחיות לארגונים בתחתית הכתבה.

הרשות הלאומית להגנת הסייבר פרסמה הנחיות למשקי בית להתגוננות מפני  WannaCry תחת הכותרת "אירוע חץ וקשת".

ביממה החולפת זוהה גל התקפות כופרה מאסיבי נגד עשרות אלפי מחשבים בארגונים רבים ובעשרות מדינות ברחבי העולם, באמצעות פוגען כופר ממשפחת  WannaCry כפי שדיווחנו עם כל העדכונים– כאן.

תוכנת הכופר מגיעה למחשבי המשתמשים באמצעות הודעת דוא"ל עם קובץ מצורף. פתיחת הקובץ ע"י המשתמש, מפעילה את תהליך ההתקנה וההתפשטות של תוכנת הכופר. בעת ההפעלה, מבצעת תוכנת הכופר סריקה של כתובות בתוך הרשת הפנימית של הארגון וגם בטווח כתובות רנדומאלי באינטרנט לטובת חיפוש אחר מחשבים פגיעים לחולשת שירות שיתוף הקבצים של מיקרוסופט בגרסה. (SMBv1)   
תוכנת הכופר סורקת את תיקיות המחשב ומצפינה את רוב סוגי הקבצים השימושיים. לאחר ההצפנה, התוכנה מציגה הודעה הדורשת מהמשתמש לשלם עבור פתיחת ההצפנה סכום של בין 300-600 דולרים בביטקוין. פרטים נוספים נמצאים עדיין בחקירה.

להלן אוסף פעולות לביצוע עבור משקי בית מטעם הרשות הלאומית להגנת הסייבר:

גיבויים - גבו את הקבצים החשובים ביותר – גיבוי על כונן חיצוני ועל הענן. עצה זו מגנה לא רק מנוזקת הכופר אלא גם מפוגענים אחרים  שימו לב – הכונן החיצוני נדרש לטובת גיבוי בלבד, חשוב לנתקו באופן מסודר עם סיום הגיבוי מהמחשב.

חשוב לוודא, שמערכת ההפעלה והתוכנות המותקנות במחשב הן בגרסתן האחרונה ומעודכנות בעדכוני האבטחה האחרונים. מומלץ לוודא, שמצב העדכון האוטומטי במערכת מופעל.

התקנת תוכנות אנטי וירוס הכוללות מנגנונים של מוניטין, הגנה על דפדפנים ובדיקות מקיפות רוב תוכנות אנטי וירוס מכילות רכיבים אלה.

הגדרת הדפדפן לחסימת חלונות קופצים תצמצם באופן ניכר את קפיצתן של פרסומות, שעלולות לשמש כהדבקה בפוגענים בעת גלישה באתרים. יש לזכור, שהפעלת קוד מאקרו בקבצי אופיס עשויה להתקין פוגען על המחשב.

מיקרוסופט שילבה בדפדפן Internet Explorer בגרסה 11 ואילך את אופציית ,Smart-Screen שיכולה לסייע בצמצום המקרים הבאים: 
.Anti – Phishing
 .Application Reputation
 .Anti-Malware Protection

קישור לדף ההסבר על התוכנה:
  https://support.microsoft.com/he-il/kb/930168
 
רשימת כלים להתמודדות עם כופרות: כפי שדיווחנו - כאן, הכלי החינמי של חברת סייבריזן הישראלית RasnsomFree
Mcaffe free tools וגם הכלי 

מערכות הפעלה הפגיעות לתוכנת הכופרה:
עדכון 14.5.17: ה-CERT פרסם היום בנוסף גם טיוטא ללנוסח הודעה בארגון, רשימת מוצרים לסיוע בהתמודדות מול הנוזקות, חוק SNOR וחוק YARA - כאן.

עדכון 14.5.17:  ה-CERT רענן היום כאן את ההנחיות והוציא גרסה משופרת לארגונים, מעבר לגרסה הנ"ל למשקי הבית, עם הנחיות נוספות להלן:  
אוסף פעולות לביצוע:
מנהלי:
 יש להוציא הודעה לעובדים בארגון להעלאת מודעות לזיהוי דוא"ל חשוד עוד לפני תחילת שבוע העבודה הקרוב. מצורפת המלצה לנוסח לעדכון עובדים.
יש להיערך עם צוותי תגובה לקראת אפשרות להידבקות והתפשטות היום.
טכני:
מומלץ לא לחסום את התעבורה לכתובת .www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com  
אם הארגון עושה שימוש בשרת פרוקסי, יש להגדיר את הדומיין הנ"ל ברשימת ה- BYPASSשל הפרוקסי עבור כלל התחנות.
עדכון גרסה אחרונה ועדכנית של תוכנת האנטי וירוס בעמדות הקצה והשרתים. מצורף נספח המפרט את הגרסאות והעדכונים.
יש לוודא ב-,Firewall ששירותי SMB לא נגישים מהאינטרנט פורטים 139 ,445 TCP ו-.138 ,137 UDP 5
מומלץ לוודא, ששרתי Terminal Services ארגוניים אינם נגישים ישירות מרשת האינטרנט פורט 3389 אלא רק דרך שירותי VPN עם הזדהות מתאימה
אם מותקן רכיב SNORT יש לצרף את החוק המפורט בנספח ד.
יש לעדכן את מערכות ההפעלה בארגון:
 א. התקנת עדכון MS-17-010    https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
ב. התקנת עדכון MS-17-010 למערכות, שאינן נתמכות יותר כמו חלונות    Windows Server 2003 ו-XP https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt- /attacks
יש לעדכן מערכות ההגנה והניטור באינדיקטורים המופיעים בקובץ המצורף. כמו כן יש להוסיף את חוקי YARA במערכות הרלוונטיות ראה נספח ה.
במידה וקיימת מערכת הלבנה יש לוודא יישום הגדרת Reconstruction במערכות הסינון וההלבנה לקבלת דוא"ל המכיל צרופות מסוג Office . בנספח ו' מצורף חוק לניטור שינוים רלוונטיים ב-Registry של עמדת הקצה שניתן להפעילו ב- GPOהארגוני.
יש לבחון ניטור שינויי קבצים במערכות הקצה ובשרתי הקבצים לניטור שינוי סיומות קבצים לסיומת."WNCRY " ניטור זה מהווה אינדיקציה לקבצים שהוצפנו.
במידה וניתן יש לחסום שירותי SMB v1 בשרתים ובתחנות קצה בארגון.
מצורף קובץ אינדיקטורים .IoC
ממשל זמין בשיתוף עם רשות הסייבר הקימו אתר להורדת עדכונים חיוניים להתמודדות עם האירוע.  יש קישור.
הcert- הספרדי פרסם כלי ייעודי לתחנת קצה המשמש למניעת הדבקה של  wannacry החדש ע"י החדרת ה-mutex שלו למערכת. הכלי דורש הפעלה מחדש לאחר  .restart

עדכון 16.4.17 מאחר שנוספו  גרסאות לכופרה, פרסמה הרשות הלאומית לסייבר עדכונים נוספים לארגונים - כאן. הגרסאות החדשות עושות שימוש בדומיינים חדשים עבור מנגנון הנטרול העצמי של הפוגען.

דרך אגב: האם מישהו שמע במקרה מה עשה מרכז הסייבר של איגוד האינטרנט הישראלי, מרכז, שנשפכו עליו מיליוני ש"ח מכספי משלמי הדומיינים בישראל ושאמור היה להגן על הציבור בכלל והציבור העסקי הקטן בפרט, בפני התקפות מהסוג שיש כעת??? אם כן, נשמח לשמוע מה עשו במרכז הזה, או יותר נכון - מה לא עשו שם במהלך השישי-שבת שחלפו

עדכון 30.10.17 בכיר במשרד הביטחון הבריטי, בן וואלאס, אמר ל-BBC, שמדינתו ומדינות נוספות הגיעו למסקנה, שצפון קוריאה תקפה באמצעות WannaCry  מדינות אחרות באירופה, באמריקה ובאסיה.