Wanna-cry RANSOMWARE से बचने के लिये दिये गये निर्देश पर एडवाईजरी जारी की गयी

लखनऊ: पुलिस महानिदेशक, उ0प्र0 द्वारा साइबर अपराध अन्वेषण केन्द्र नोयडा को Wanna-cry RANSOMWARE अटैक से बचने के लिये एडवाइजरी जारी करने के निर्देश दिये गये थे।

    उक्त निर्देश के अनुपालन में श्री दिनेश यादव, अपर पुलिस अधीक्षक, साईबर अपराध अन्वेषण केन्द्र नोयडा द्वारा निम्न एडवाइजरी जारी की गयी है:-

    समाचार पत्रों एवं सोशल मीडिया पर पढ़ रहे होंगे कि पिछले कुछ दिनों में दुनिया के कई देशों की कम्प्यूटरों को वाना-क्राई (Wanna-cry) नामक वायरस/रेन्समवेयर द्वारा संक्रमित किया गया है ।

Wanna-cry RANSOMWARE क्या है -यह एक RANSOMWARE ATTACK है जिसमें विण्डोज वेस्ड आपरेटिंग सिस्टम वाले कम्प्यूटरों को टारगेट किया जाता है इसमें डाटा को इनक्रिप्ट कर दिया जाता है एवं डिक्रिप्ट करने हेतु फिरौती के रूप में बिटक्वाइन की मांग की जाती है । बिटक्वाइन का प्रयोग साइबर अपराधियों द्वारा लेनदेन हेतु किया जाता है । वाना-क्राई कम्प्यूटर सिस्टम की फाइलों (Core System Files) को इनक्रिप्ट कर देता है जिससे आपरेटिंग सिस्टम काम करना बंद कर देता है। जब किसी भी कुंजी को दबाते हैं तो एक पाप अप विंडो खुलती है जिसमें अटैकर द्वारा फाइलों को दोबारा डिक्रिप्ट करने के लिये फिरौती की मांग लिखी होती है। पिछले दिनों में वाना-क्राई द्वारा विश्व के 120 से अधिक देशां के कम्प्यूटरों के आपरेटिंग सिस्टमों पर अटैक किया गया है।

    वाना क्राई का आक्रमण सम्भवतः आज तक के इतिहास का सबसे बड़ा वायरस हमला है । यह वायरस Window XP, Window Vista, Window 7, Window server 2008 तथा उससे पुराने वर्जन के विंडो आपरेटिंग सिस्टम की सुरक्षा कर्मियों (vulnerabilities)  को एक्सप्लोइट करता है, अभी तक इस वायरस ने लाईनेक्स, मैक तथा विन्डोज 10 आपरेटिंग सिस्टम पर अटैक नहीं किया है। अभी

तक बड़ी संख्या में बड़े संस्थान व कम्ननियाॅ जैसे ब्रिटेन की नेशनल हैल्थ सर्विस, चीन की नेशनल पेट्रोलियम कार्पोरेशन, निशान मोटर्स, रसियन रेलवेज, रिनाल्ट फेक्टरी, फैड एक्स कोरियर सर्विस तथा भारत में आन्ध्र प्रदेश पुलिस, पश्चिम बंगाल सरकार तथा अन्य संगठनों पर इस वायरस का हमला हो चुका है ।

    भारत में इसका खतरा इसलिये भी अधिक है कि हमारे यहाॅ अधिकतर बैंक व सरकारी कार्यालय Window XP, Window Vista अथवा पूर्व के वर्जनों का प्रयोग कर रहे हैं तथा आपरेटिंग सिस्टम सामान्यतः अपडेट अथवा अपग्रेड नहीं किये जाते हैं ।

Wanna-cry के फैलने/आक्रमण का तरीका

      यह वायरस ई मेल अटेचमेन्ट के माध्यम से सिस्टम तक पहंुचता है तथा वर्म (Warm) की तरह उस नेटवर्क से जुड़ी सभी मशीनों के आपरेटिंग सिस्टम संक्रमित करता है। इतना ही नहीं यह नेटवर्क के सर्वर को भी संक्रमित कर देता है ।

Wanna-cry के हमले से बचने के लिये सावधानियाॅ

1-  सर्वप्रथम माइक्रोसाफ्ट कम्पनी द्वारा जारी पैच MD-17010 सिक्योरिटी अपडेट को अप्लाई करें ।

SOURCE LINK-  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
2- किसी भी प्रकार के अनजाने ई-मेल (लुभावने विज्ञापन/लाटरी/विभिन्न प्रकार के प्लान, जाॅब आदि) में अटैच लिंक पर अनावश्यक क्लिक न करें। अन्यथा आपके कम्प्यूटर में मालवेयर/रेन्समवेयर प्रवेश कर सकते हैं ।
3-    कोई भी अपरचित ई मेल ना खोले, उसमें किसी भी अपरचित लिंक को क्लिक ना करें ।
4-स्पैम मेल को पहचाने ।
5-सिस्टम पर आक्रमण हो रहा हो तो तुरंत नेटवर्क से अलग कर कम्प्यूटर को बंद कर दें।
6-भविष्य में होने वाले साईबर अटैक से बचने के लिये अपने सिस्टम में Windows Firewell  का प्रयोग करें एवं देखें कि कम्प्यूटर में Windows Firewell  ठीक से कार्य कर रहा है या नहीं ।
7- Windows का नवीनतम तथा लाइसेंस वर्जन प्रयोग में लायें ।
8-अपने कम्प्यूटर सिस्टम में 139, 445, 3389 पोर्ट को Windows Firewell  से बंद कर दें।
9-  ओटोमेटिक अपडेट को इन्वेबल रखें ।
10- पायरेटेड साफ्टवेयर का प्रयोग न करें एवं एन्टीवायरस का प्रयोग करें।
11- यह सुनिश्चित करें कि फायरवाल नेटवर्क आधारित अटैक को ब्लाक करे ।
12-अपने महत्वपूर्ण डाटा/फाइल की कापी दो कापी रखे एवं समय समय पर अपने कम्प्यूटर का बैकअप लें ।
13-अपने कम्प्यूटर का एसएमबी पोर्ट न खोलें ।
14-अपने कम्प्यूटर में माइक्रोसाफ्ट आफिस की फाईल को प्रोटेक्ट करने के लिये निम्न लिंक पर क्लिक करें एवं उसमें दी गयी गाइड लाइन का प्रयोग

Background

A new wave of the WanaCrypt / WannaCry ransomware has been affecting a significant number oforganisations across a wide range of target industries. Several victims have already been namedin the openincluding various NHS Trusts in the UK, numerous private and government organisations in India and somemission-critical installations worldwide.

The WannaCry ransomware can self-propagate by exploiting a recently discoveredvulnerability in Windows systems. Once the malware enters the system, it encrypts the contents of thesystem.

The user is demanded ransomware in terms of bitcoins (typically $300) to provide the key fordecryption.

The WannaCry may enter your organisation as a phishing email with malicious attachment or URL whichinfects the user computer and later spread across the organisation. The malware may also infect anyinadequately protected servers on the internet.

This advisory outlines:

• Key requirements for an organisation to be resilient to such attacks
• Prevention: Steps and methods to protect against this WannaCry
• Detection &Response: Steps so to detect and respond to WannaCry malware

Immediate actions required

• Patch all Microsoft systems with MS17-010
• Ensure Antivirus updates on all systems
• Strengthen the email filtering and spam gateway
• Set-up a local sinkhole to activate kill switch within the organisation
• Implement additional firewall rules, web gateway rules and detection mechanisms mentioned in detailed advisories

Key requirements for an organisation to be resilient to such attacks

• Robust IT Disaster Recovery Plans: Ensuring that individual user systems and key servers can be restored rapidly from backups and that the frequency of backups aligns to the timeframe of data your organisation is prepared to lose in the event of any system being rendered unusable.
• Strong security hygiene policies and user awareness: Preventing ransomware entering your IT environment through the most common delivery vector, phishing, by enforcing strong controls at your email gateways, and developing vigilant employees through robust awareness campaigns
• Rigorous patch and vulnerability management: The vulnerabilities exploited in this attack have already been addressed via Microsoft ‘critical’ patches released in March, as well as this week, and a robust vulnerability management programme will help reduce the likelihood of exploitation
• Crisis and incident response planning and exercising: Ensuring that there are formal procedures in which employees and those responsible for the management of high priority incidents are well versed to streamline the organisation’s reaction to ransomware events and its ability to restore service to employees and customers;

Prevention: Steps and methods to protect against this WannaCry 

Steps to be taken on Servers / Desktops 

• Immediately ensure MS17-010 update for all window machines. The bulletin can be found here

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

• For systems which are unsupported by Microsoft, there is a special update issued by Mircosoft.

Get it here:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

• If you OS is still unsupported, disable the SMB service v1. Using the group policy or instructions given below

• Ensure the AV Engines and signatures are updated on all servers and desktops and run full scans immediately

• Configure group policy to stop theexecution of unsigned macros.

Steps at network level 

• Update DNS entry for Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com to point to dummy local webserver which can respond to HTTP Get request. Alternatively, you may be able to open a direct resolution to the said domain in certain cases. However, we urge caution in such situations.
• Block the following domains / IP addresses

URLs:

57g7spgrzlojinas[.]onion

76jdd2ir2embyv47[.]onion

cwwnhwhlz52maqm7[.]onion

gx7ekbenv2riucmf[.]onion

lvbrloxvriy2c5[.]onion

r2embyv47[.]onion

rzlojinas[.]onion

xxlvbrloxvriy2c5[.]onion

IP Addresses:

217.182.172[.]139

144.217.74[.]156

• Ensure TCP ports 3389, 445 and 139 are not exposed to the Internet. Block them on the firewalls 

Steps for Email Gateway

Strengthen the anti-phishing and email filtering rules:

• Enable strong spam filters to prevent phishing e-mails from reaching the end users and authenticate inbound e-mail using technologies like Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC), and DomainKeys Identified Mail (DKIM) to prevent e-mail spoofing
• Stop executables from reaching the end-users via email.
• Stop VB Scripts and Macros being transmitted through email
• Block the following file names at Web and Email Gateway

diskpart.exe

Tasksche.exe

Mssecsvc.exe

taskdl.exe taskse.exe

• Additional list of file names to be blocked as provided in the Filename.txt

Detect and Response

• UP Police never recommends paying a ransomware ransom – unless there is a threat to life. Doing so fuels the ransomware economy, funding development of additional ransomware techniques and campaigns.
• Inform us for such attacks
• Your immediate efforts should be towards preventing further spread of the malware within your environment followed by hunting for any dormant infection and sanitising your network.
• In case any of your critical systems has been infected, and you need to restore operations immediately, we recommend that you should:
  • Restore the last known good backup
  • Test it for any known IOCs using the latest AV signatures and Yara Scripts provided here
  • Apply the latest patches
  • Block SMB v1.
  • Resume operations

Guidance for isolation, hunt, eradication and recovery 

Isolation:

1.Physically isolate the computer by disconnecting the network cable or turning off the wi-fi for the device

2.Isolate the network segment from any SMB traffic and ports 3389, 445 and 139

3.Try and identify the source of malware (any open SMB ports, unrestricted internet connection,etc.)

Hunting:

1.Run latest AV scans entire network

2.Run Yara rules on suspects, high risk and critical servers (yara_USCERT_wannacry.txt)

3.If you have an endpoint forensics tool installed – run hunts for malware hashes and filenames

(see File_hashes.txt and Filename.txt).

4.Isolate any detections and continue hunts

Eradication:

1.Implement the preventive measures mentioned herein

2.Monitor the systems and network for any further signs of infection 

Recovery:

For ransomware attacks, we highly recommend using fresh OS builds, and new application builds and restoring only the database. However depending upon your environment and application, you shouldtake risk based decisions and minimise the possibility of previously infected backups.

Steps to Disable SMBv1 

For customers running Windows Vista and later See Microsoft Knowledge Base Article

2696547. Alternative method for customers running Windows 8.1 or Windows Server 2012

R2 and later

For client operating systems:

1. Open Control Panel, click Programs, and then click Turn Windows features on or off.
2. In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
3. Restart the system.

For server operating systems:

1. Open Server Manager and then click the Manage menu and select Remove Roles and Features.
2. In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
3. Restart the system. The Impact of workaround. The SMBv1 protocol will be disabled on the target system.

How to undo the workaround. Retrace the workaround steps, and select the SMB1.0/CIFS File Sharing

Support check box to restore the SMB1.0/CIFS File Sharing Support feature to an active state.