Dear Colleagues,<br style="font-family:sans-serif;font-size:medium"><br>Thought of sharing this information.<div><span style="font-size:15px"><br></span><span style="font-family:sans-serif;font-size:medium">Yesterday, May 12, at about 5:00 pm GMT, a massive ransomware hit </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">computer systems of hundreds of private companies and public </span><span style="font-family:sans-serif;font-size:medium">organizations across the world which is believed to have the highest </span><span style="font-family:sans-serif;font-size:medium">infection rate of all time.</span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">The Ransomware in question has been identified as a variant of </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">ransomware known as WannaCry (also known as 'Wana Decrypt0r,' </span><span style="font-family:sans-serif;font-size:medium">'WannaCryptor' or 'WCRY').</span><div><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">Like other dangerous ransomware variants, WannaCry also blocks access to </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">a computer or its files and demands money to unlock it.</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">Once infected with the WannaCry ransomware, victims are asked to pay up </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">to $300 in order to remove the infection from their PCs; otherwise, </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">their PCs render unusable, and their files remain locked.</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">WannaCry attackers use a Windows exploit detected and tested by the NSA </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">called EternalBlue, which was stolen and released by the Shadow Brokers </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">hacking group over a month ago.</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">Microsoft released a patch for the vulnerability in March (MS17-010), </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">but many users and organizations who did not patch their systems are </span><span style="font-family:sans-serif;font-size:medium">open to attacks.</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">The exploit has the capability to penetrate into machines running </span><span style="font-family:sans-serif;font-size:medium">unpatched version of Windows by exploiting flaws in Microsoft Windows </span><span style="font-family:sans-serif;font-size:medium">SMB Server. This is why the WannaCry ransomware is spreading at an </span><span style="font-family:sans-serif;font-size:medium">astonishing pace.</span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">Once a single computer in your organization is hit by the WannaCry </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">ransomware, the worm looks for other vulnerable computers and infects </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">them as well.</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">In just a few hours, the ransomware targeted over 45,000 computers in 74 </span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">countries, including United States, Russia, Germany, Turkey, Italy, </span><span style="font-family:sans-serif;font-size:medium">Philippines and Vietnam, and that the number was still growing.</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">A screenshot of detailing nations attacked are attached in this email.</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">The ransomeware's actual mode by which it initiates and spreads itself </span><span style="font-family:sans-serif;font-size:medium">on networks has not been discovered but like other ransomware variant, </span><span style="font-family:sans-serif;font-size:medium">malicious links and emails are most likely the culprit.</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">CERT-GH recommends users and system admins:</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">1. Take all windows OS systems off the internet and off the network.</span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">2. Create a backup of all files needed.</span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">3. Store backup in an airgapped location.</span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">4. Download windows update(KB4019472) in a sandbox environment.</span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">5. Install the update without connecting to a network/internet.</span><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">6. After the update, the system can be connected to the internet.</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">Kind Regards</span><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><br style="font-family:sans-serif;font-size:medium"><span style="font-family:sans-serif;font-size:medium">CERT-GHANA</span></div></div><br><br>-- <br><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><div style="font-size:small"><b>WISDOM DONKOR (S/N Eng.)</b><br></div><div style="font-size:small">E-government and Open Government Data Platforms Specialist<b><br></b></div><div style="font-size:small">ICANN Fellow / Member, UN IGF MAG Member, ISOC Member,<br></div><div style="font-size:small">Freedom Online Coalition (FOC) Member, Diplo Foundation Member,</div><div style="font-size:small">OGP Open Data WG Member, GODAN Memember, ITAG Member<br></div></div><div><div style="font-size:small"><div>Email: <a href="mailto:wisdom.dk@gmail.com" style="color:rgb(17,85,204)" target="_blank">wisdom.dk@gmail.com</a></div><div>Skype: wisdom_dk</div><div>facebook: facebook@wisdom_dk<br></div><div>Website: <a href="http://www.data.gov.gh/" style="color:rgb(17,85,204)" target="_blank">www.data.gov.gh</a><br></div><div><a href="http://www.isoc.gh/" style="color:rgb(17,85,204)" target="_blank">www.isoc.gh</a> / <a href="http://www.itag.org.gh/" style="color:rgb(17,85,204)" target="_blank">www.itag.org.gh</a></div></div></div></div></div></div></div></div></div></div></div><br>