ΕΠΕΙΓΟΥΣΑ ΕΝΗΜΕΡΩΣΗ ΧΡΗΣΤΩΝ ΔΙΚΤΥΟΥ ΑΠΘ

Έναρξη προβλήματος: 12-05-2017 11:29
Λήξη προβλήματος: 12-05-2017 16:00
Κατάσταση δελτίου: Κλειστό
Τύπος δελτίου: Βλάβη
Καταγράφων τεχνικός ΚΗΔ: Δημήτριος Ζαχαρόπουλος
Χρόνος αποκατάστασης: 4 ώρες, 31 λεπτά
Αποκατάσταση από: ΚΗΔ
Τρέχουσα σοβαρότητα: Σοβαρό πρόβλημα σε δευτερεύον σύστημα παραγωγής που επηρεάζει μικρή ομάδα χρηστών  Επεξήγηση
12-05-2017 13:42 - Αρχική περιγραφή δελτίου


Η εξυπηρέτηση χρηστών του Κέντρου Ηλεκτρονικής Διακυβέρνησης (ΚΗΔ) έλαβε μεγάλο αριθμό αναφορών από χρήστες του Δικτύου Δεδομένων που περιγράφουν συμπτώματα μόλυνσης ΕΠΙΘΕΤΙΚΟΥ ιού κρυπτογράφησης (ransomware). Στα συμπτώματα περιλαμβάνεται κρυπτογράφηση τοπικών αρχείων, αρχείων σε αφαιρούμενα μέσα (πχ USB Flash Drives ή USB hard disks) αλλά ΚΑΙ ΑΡΧΕΙΑ ΠΟΥ ΒΡΙΣΚΟΝΤΑΙ ΣΕ ΔΙΚΤΥΑΚΟΥΣ ΦΑΚΕΛΟΥΣ. Το ΚΗΔ ξεκίνησε τη διερεύνηση του προβλήματος αλλά δεν γνωρίζουμε ακόμα τους τρόπους μετάδοσης ούτε την αδυναμία που εκμεταλλεύεται για να μεταδοθεί από υπολογιστή σε υπολογιστή.

Καθώς συλλέγουμε πληροφορίες για το πρόβλημα, σας επισημαίνουμε τα εξής:

1. Θα πρέπει να κρατάτε Αντίγραφα Ασφαλείας των σημαντικών αρχείων των υπολογιστών σας.
2. Εφόσον δεν χρειάζεται να χρησιμοποιήσετε υπολογιστή, κρατήστε τον σβηστό (power off) για όσο διάστημα διαρκεί αυτή η επίθεση και αν υπάρχει δυνατότητα, αφαιρέστε το καλώδιο του δικτύου
3. Σε περίπτωση που διαπιστώσετε να έχει μολυνθεί ο υπολογιστής σας με τον κρυπτο-ιό, προσπαθήστε να συλλέξετε στοιχεία (πχ φωτογραφίζοντας την οθόνη του υπολογιστή με το μήνυμα του ιού) και να τα προωθήσετε στη διεύθυνση support@auth.gr

Θα ενημερωθείτε εκ νέου μόλις συγκεντρωθούν περισσότερες πληροφορίες.

12-05-2017 14:05 - Ενημέρωση


Σε συνέχεια του προηγούμενου μηνύματος, για την προστασία του υπολογιστή σας βεβαιωθείτε ότι έχετε ενημερώσει *σήμερα* το πρόγραμμα προστασίας από ιούς που χρησιμοποιείτε καθώς και το λειτουργικό του υπολογιστή σας. Επιπλέον, μην ανοίγετε συνημμένα αρχεία μηνυμάτων που λαμβάνετε από άγνωστους αποστολείς καθώς αυτά μπορεί να περιέχουν τον ιό.
Τέλος, αποσυνδέστε οποιεσδήποτε συσκευές μπορεί να έχετε συνδεδεμένες που περιέχουν αντίγραφα ασφαλείας.

Οι πρώτες ενδείξεις που έχουμε είναι ότι πρόκειται για ιό που εμφανίζεται με πολλά ονόματα:

https://www.hybrid-analysis.com/sample/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25?environmentId=100
https://www.virustotal.com/en/file/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25/analysis/


12-05-2017 16:50 - Ενημέρωση

Σύμφωνα με τα μέχρι στιγμής ευρήματα, πρόκειται για Wcry Ransomware (http://myspybot.com/wcry-ransomware/) ή WannaCry Ransomware (http://sensorstechforum.com/wanna-decryptor-wannacry-ransomware-restore-files/).

Οι υπολογιστές που εμφάνισαν προβλήματα και προσπάθησαν να μεταδώσουν τον ιό, έχουν απομονωθεί από το Δίκτυο και οι διαχειριστές τους έχουν ενημερωθεί.

Ταυτόχρονα, ενεργοποιήθηκαν -προσωρινά- μηχανισμοί περιορισμού της δικτυακής κίνησης από δίκτυα εκτός ΑΠΘ προς υπολογιστές του ΑΠΘ, και συγκεκριμένα η πρόσβαση προς τη TCP θύρα 445. Ο συγκεκριμένος περιορισμός δεν επιτρέπει από υπολογιστές εκτός Δικτύου του ΑΠΘ να προσπελάσουν απευθείας υπηρεσίες διαμοιρασμού αρχείων μέσω πρωτοκόλλου SMB (windows shares όπως η υπηρεσία \\myfiles.auth.gr). Οι χρήστες του ΑΠΘ που επιθυμούν να χρησιμοποιήσουν υπηρεσίες διαμοιρασμού αρχείων μέσω SMB, μπορούν να συνδεθούν προηγουμένως με την υπηρεσία VPN (https://it.auth.gr/el/netAccess/VPN).

Εκτιμούμε ότι ο άμεσος κίνδυνος έχει εξαλειφθεί. Το δελτίο παραμένει ανοικτό καθώς η κατάσταση θα βρίσκεται υπό παρακολούθηση.

13-05-2017 07:32 - Ενημέρωση

Από ανακοινώσεις μεγάλων μέσων μαζικής ενημέρωσης, φαίνεται ότι το φαινόμενο που έκανε την εμφάνισή του και στο ΑΠΘ ήταν παγκόσμιας κλίμακας.

* https://www.theregister.co.uk/2017/05/12/nhs_hospital_shut_down_due_to_cyber_attack/
* https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#7154921de599
* https://www.rt.com/news/388153-thousands-ransomeware-attacks-worldwide/

Εικάζεται (χωρίς να έχει επιβεβαιωθεί από κάποια επίσημη πηγή) ότι οι επιτιθέμενοι εκμεταλλεύτηκαν το παρακάτω κενό ασφάλειας που υπάρχει στα Windows

* https://technet.microsoft.com/en-us/library/security/ms17-010.aspx το οποίο διορθώνεται με το
* https://support.microsoft.com/en-us/help/4013389/title

Βεβαιωθείτε ότι στον υπολογιστή σας είναι εγκατεστημένα τα τελευταία updates των Windows ώστε να προφυλαχθείτε από τη συγκεκριμένη και παρόμοιες επιθέσεις. Σας συνιστούμε να μην αφήνετε τους υπολογιστές σας χωρίς ενημερώσεις ασφάλειας και να ρυθμίσετε τα προγράμματα antivirus να ενημερώνονται καθημερινά.

13-05-2017 21:56 - Ενημέρωση

Σύμφωνα με νεότερα δεδομένα, το μέρος του ιού (worm) που πραγματοποιεί τη μετάδοση/επέκταση, έχει απενεργοποιηθεί. Αυτή η απενεργοποίηση δεν θα επαναφέρει τα αρχεία των υπολογιστών που κρυπτογραφήθηκαν.

Λόγω του μεγέθους της ζημίας που προκάλεσε το συγκεκριμένο κενό ασφάλειας των Windows, η Microsoft πέρα από τις κανονικές ενημερώσεις ασφάλειας που κυκλοφόρησε για τα τρέχοντα υποστηριζόμενα Λειτουργικά Συστήματα, δημοσίευσε ενημερώσεις ασφάλειας και για μη -πλέον- υποστηριζόμενα λειτουργικά συστήματα όπως Windows XP, Windows server 2003, που θα βρείτε στο σύνδεσμο http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.

Σας υπενθυμίζουμε ότι αν και το συγκεκριμένο "worm" απενεργοποιήθηκε, θα μπορούσε να κάνει την εμφάνισή του κάποιο άλλο που θα εκμεταλλεύεται το ίδιο κενό ασφάλειας των Windows. Γι' αυτό συνιστούμε να γίνουν το συντομότερο οι εγκαταστάσεις των επίσημων Updates στα Windows μηχανήματα των χρηστών.

Τα μέτρα προφύλαξης του Δικτύου που ενεργοποιήθηκαν από την Παρασκευή, εξακολουθούν να ισχύουν δίνοντας χρόνο στους διαχειριστές/υπεύθυνους Η/Υ του Δικτύου να εγκαταστήσουν τις απαραίτητες ενημερώσεις ασφάλειας.

24-05-2017 13:26 - Ενημέρωση

Θα θέλαμε να σας ενημερώσουμε ότι την Δευτέρα 5 Ιουνίου, θα αρθούν οι περιορισμοί που βρίσκονται σε εφαρμογή από τις 12 Μαΐου λόγω του ιού κρυπτογράφησης. Οι υπεύθυνοι και διαχειριστές υπολογιστών του Δικτύου Δεδομένων ΑΠΘ θα πρέπει να έχουν ολοκληρώσει τις ενημερώσεις ασφάλειας, ακολουθώντας τις οδηγίες του τεχνικού δελτίου, διαφορετικά οι υπολογιστές τους κινδυνεύουν από κάποια άλλη παραλλαγή του ίδιου ή παρόμοιου ιού.

Ανάλυση του ιού που εμφανίστηκε στις 12 Μαΐου θα βρείτε στη διεύθυνση https://baesystemsai.blogspot.gr/2017/05/wanacrypt0r-ransomworm.html

06-06-2017 08:33 - Κλείσιμο δελτίου

Αφαιρέθηκαν οι περιορισμοί για windows services (ports 137, 139, 445).

Επεξήγηση σοβαρότητας:

Πρόβλημα που έχει ως αποτέλεσμα τη διακοπή της σύνδεσης περιορισμένου αριθμού χρηστών του δικτύου (πχ χρηστών ενός κτιρίου ή ορόφων ενός κτιρίου), ή πρόβλημα (διακοπή) σε δευτερεύουσα κεντρική υπηρεσία. Αν η επίλυση εξαρτάται από το ΚΗΔ, διατίθενται οι απαραίτητοι ανθρώπινοι πόροι εντός του ωραρίου 08:00-16:00 για την αντιμετώπιση του προβλήματος.