Pytanie:
W jaki sposób rozprzestrzenia się złośliwe oprogramowanie „WannaCry” i jak użytkownicy powinni się przed nim bronić?
Rory McCune
2017-05-13 00:02:43 UTC
view on stackexchange narkive permalink

Pojawił się nowy rodzaj ataków, który wpływa na wiele systemów na całym świecie (w tym NHS w Wielkiej Brytanii i Telefonica w Hiszpanii), nazywany między innymi „WannaCry”.

Wygląda na to, że jest to zarówno standardowy atak phishingowy / ransomware, ale także rozprzestrzenia się jak robak, gdy dostanie się do sieci docelowej.

W jaki sposób to złośliwe oprogramowanie narusza systemy ludzi i co najlepszy sposób na ochronę ludzi przed tym atakiem?

Czy po przeczytaniu artykułu, do którego utworzyłeś link, zostało Ci coś niejasnego?W końcu _ mówi_, że używany jest ETERNALBLUE i że MS17-010 rozwiązuje problemy (i oczywiście kopie zapasowe) ...
Cóż, przydatne może być dodatkowe wyjaśnienie, kto jest zagrożony, jak się chronić i jak dokładnie działa złośliwe oprogramowanie.
Możesz blokować na obwodzie za pomocą reguły IDS / IPS zgodnie z wytycznymi SANS tutaj: https://isc.sans.edu/diary/22412
@Melkor Niezupełnie;NHS leczy ludzi, a nie systemy komputerowe.Doktorat z bezpieczeństwa nie oznacza, że możesz operować na człowieku i odwrotnie.
Zwróć uwagę, że robak jest ** całkowicie ogólny ** - możesz go usunąć i zastąpić własnym programem, a będzie działał całkowicie dobrze
Czy mogę poprosić o kontynuację?Czy ten błąd jest specyficzny dla firmy Microsoft, czy też jest częścią samej specyfikacji?Jeśli uruchamiam coś innego (na przykład Sambę na serwerze * nix), czy to mnie dotyczy?
Nie uruchamiaj systemu Windows XP.
@wizzwizz4: Korekta: lekarze (i do pewnego stopnia pielęgniarki) w NHS leczą ludzi.Księgowi traktują książki.Personel sprzątający zajmuje się podłogami i powierzchniami.Podobno personel IT traktuje system komputerowy.NHS to nie tylko organizacja lekarzy i pielęgniarek.
Hashy V2 tutaj: https://gist.github.com/Blevene/2ef2b808a114722e5061297a5897a710
Chiński raport ze skrótami powiązanych plików (# 53) - https://nti.nsfocusglobal.com/pdf/Wannacry_Ransomware_en.pdf
Czy istnieją dowody na wektor phishingu?
To dobra dyskusja po skróconej wersji tego pytania: https://security.stackexchange.com/questions/159740/wannacrypt-smb-exploit-known-since-stuxnet-circa-2008-but-microsoft-hid-the-fi
Powiązane: https://security.stackexchange.com/questions/159742/has-anybody-successfully-been-decrypted-after-paying-the-wannacrypt-ransom
https://security.stackexchange.com/questions/155169/is-it-risky-to-allow-smb-traffic-to-the-internet/155177?noredirect=1#comment303267_155177
@MarkKCowan: Chociaż może to być prawda, prawdopodobnie najlepiej nie oskarżać innych otwarcie o nielegalną działalność bez dowodów na forum publicznym.Może to stanowić zniesławienie.
Oto prosty sposób na użycie skrótów, gdy już je masz: https://security.stackexchange.com/questions/168940/what-harm-is-there-in-obtaining-password-hashes-in-a-windows-środowisko
Dziesięć odpowiedzi:
Nik Nik
2017-05-13 01:31:22 UTC
view on stackexchange narkive permalink

Ataki WannaCry są inicjowane przy użyciu luki SMBv1 umożliwiającej zdalne wykonanie kodu w systemie operacyjnym Microsoft Windows. Exploit EternalBlue został załatany przez firmę Microsoft 14 marca i udostępniony publicznie za pośrednictwem „zrzutu Shadowbrokers” 14 kwietnia 2017 r. Jednak wiele firm i organizacji publicznych nie zainstalowało jeszcze tej poprawki w swoich systemach . Poprawki firmy Microsoft dla starszych wersji systemu Windows zostały wydane w zeszłym tygodniu po ataku.

Jak zapobiec infekcji WannaCry?

  1. upewnij się, że wszystkie hosty mają włączone rozwiązania chroniące punkty końcowe przed złośliwym oprogramowaniem.

  2. Zainstaluj oficjalną poprawkę systemu Windows (MS17-010) https://technet.microsoft.com/en -us / library / security / ms17-010.aspx, co zamyka lukę w zabezpieczeniach serwera SMB używaną w tym ataku ransomware.

  3. Przeskanuj wszystkie systemy. Po wykryciu ataku złośliwego oprogramowania jako MEM: Trojan.Win64.EquationDrug.gen, zrestartuj system. Upewnij się, że poprawki MS17-010 są zainstalowane.

  4. Utwórz kopię zapasową wszystkich ważnych danych na zewnętrznym dysku twardym lub w usłudze przechowywania w chmurze.

Więcej informacji tutaj: https://malwareless.com/wannacry-ransomware-massively-attacks-computer-systems-world/

Poczekaj - powiedziałeś, że „udostępnione publicznie przez zrzut Shadowbrokers 14 kwietnia 2017 r. I załatane przez firmę Microsoft 14 marca”.Czy więc został poprawiony miesiąc * przed * upublicznieniem, czy przypadkowo zmieniłeś daty?
@Dragomok Zauważ, że jest to * exploit *, który pojawił się miesiąc po aktualizacji.To nie jest takie niezwykłe.Biorąc pod uwagę, ile komputerów nie jest aktualizowanych, jednym z łatwych sposobów znalezienia luk, które można wykorzystać, jest oczekiwanie na pojawienie się łat.
Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/58852/discussion-on-answer-by-nik-nik-how-is-the-wannacry-malware-spreading-and-w jaki sposób).
Ponieważ jest to obecnie najwyższa głosowana odpowiedź, a osoby, które nie są administratorami sieci, mogą trafić na tę witrynę, pomocne byłoby włączenie „nie otwieraj dziwnych załączników” (może z krótkim opisem, jak sprawdzić, czy załącznik jestplik wykonywalny przebrany za coś innego), ponieważ takie rzeczy mogą być niektórymi wektorami ataku dla osób nieposiadających własnej sieci LAN, a także mogą stanowić „zero pacjenta” dla większej sieci.
@Dragomok: Przypuszczalnie TSB poinformował Microsoft o problemie z wyprzedzeniem.Wydaje się, że czas to potwierdza.AFAIK jest to typowe dla hakerów w białych / szarych kapeluszach.
Czy błąd SMB nie jest tylko jednym wektorem?Odniosłem wrażenie, że jest wysyłany pocztą elektroniczną masowo, staromodny phishing, więc wszyscy trzymają babcie z dala od e-maila.
@tomasz [NSA poinformowała Microsoft o tym problemie z wyprzedzeniem] (https://arstechnica.com/security/2017/05/fearing-shadow-brokers-leak-nsa-reported-critical-flaw-to-microsoft/) (po wycieku EternalBlue).
@DeanMacGregor: Dlaczego mieliby teraz trzymać z dala swoje babcie?Nie jest to pierwsze, a już na pewno nie ostatnie krążące po świecie oprogramowanie ransomware.Zresztą nie sądzę, by babcie były szczególnie dobrymi celami dla oprogramowania ransomware.
https://security.stackexchange.com/questions/155769/find-smbv1-status-with-nmap/158896#158896
dark_st3alth
2017-05-14 00:36:12 UTC
view on stackexchange narkive permalink

Ransomware wykorzystuje znany, publicznie ujawniony exploit w SMBv1 (Server Message Block Version 1). Jest to protokół poziomu aplikacji używany do udostępniania plików i drukarek w środowisku sieciowym.

Protokół SMBv1 jest powszechnie stosowany w sieciowych środowiskach Windows i obejmuje systemy operacyjne, takie jak Windows XP, Windows 7, 8, 8.1 i 10. Windows Vista i nowsze pozwalają na korzystanie z SMBv1, mimo że obsługują ulepszone protokoły SMBv2 i v3.

Te środowiska, które nie używają implementacji firmy Microsoft, są prawdopodobnie nie będzie zagrożony przez exploit i powiązane luki. Ponadto nie ma to wpływu na te środowiska, które nie obsługują SMBv1.

Możesz wyłączyć obsługę SMBv1 zgodnie ze wskazówkami firmy Microsoft: https://support.microsoft .com / kb / 2696547

Osoby korzystające z systemu Windows 8.1 lub Windows Server 2012 R2 i nowszych mogą wyłączyć obsługę, usuwając funkcję Windows „Obsługa udostępniania plików SMB1.0 / CIFS”.

Istnieje sześć głównych luk w zabezpieczeniach implementacji SMBv1 firmy Microsoft. Pięć pierwszych (i bardziej krytycznych) to te, które pozwalają na zdalne wykonanie dowolnego kodu. Ta ostatnia pozwala na „ujawnienie danych”. Ransomware wykorzystuje pięć pierwszych luk w zabezpieczeniach i je wykorzystuje.

Środki, jakie użytkownicy / przedsiębiorstwa mogą podjąć w celu złagodzenia tego i innych programów ransomware, obejmują:

  • Upewnij się, że systemy są załatane, luki zostały załatane w marcu 2017 r.
  • Zachowaj aktualną kopię zapasową systemu lub krytycznych danych użytkownika / firmy.
  • Używaj i utrzymuj rozwiązanie antywirusowe.
  • Użyj schematu tworzenia kopii zapasowych, takiego jak GFS (dziadek, ojciec, syn).
  • Usuń używanie lub obsługę SMBv1 (patrz wyżej).
  • Segreguj sieć w taki sposób, aby zmniejszyć wpływ na uszkodzenia .
  • Jeśli to możliwe, korzystaj z różnorodnego zestawu systemów i systemów operacyjnych.

Linki internetowe:

https: // technet. microsoft.com/en-us/library/security/ms17-010.aspx

http://msdn.microsoft.com/en-us/library/aa365233(VS.85).aspx

http: // www. eweek.com/security/wannacry-ransomware-attack-hits-victims-with-microsoft-smb-exploit

Czy protokół SMB jest domyślnie włączony w osobistych konsumenckich wersjach systemu Windows systemów operacyjnych, których dotyczy luka?
Najwyraźniej system Windows przesyła aktualizacje nawet do nieobsługiwanych systemów, takich jak XP, Vista i tym podobne
@raphael Tak, SMBv1 jest domyślnie włączony.Zobacz stronę pomocy technicznej Microsoft, aby uzyskać instrukcje dotyczące wyłączania go (jeśli oczywiście nie używasz wersji 1).
@LunarWatcher Tak, pchnęli to na nieobsługiwane systemy, gdy tylko zobaczyli, jakie szkody wyrządził.
AndyO
2017-05-13 16:27:53 UTC
view on stackexchange narkive permalink

Firma Cisco opublikowała artykuł na ten temat, który zawiera więcej szczegółów niż jakikolwiek inny, jaki widziałem. Oto podstawowe czynności zapobiegawcze:

  • Upewnij się, że wszystkie systemy Windows są w pełni załatane. Jako minimum upewnij się, że został zastosowany biuletyn Microsoft MS17-010.
  • Zgodnie ze znanymi najlepszymi praktykami każda organizacja, która ma publicznie dostępny SMB przez Internet (porty 139, 445) powinna natychmiast blokować ruch przychodzący .

A przynajmniej na podstawie tego biuletynu firmy Microsoft mogłoby się wydawać, że jest to luka w zabezpieczeniach SMBv1, a nie SMBv2.

Jak w łatwy sposób użytkownik może sprawdzić, czy „MS17-010 został zastosowany”.w moim systemie?
Może nie jest to najbardziej eleganckie rozwiązanie, ponieważ jest to kod golfowy, ale z pewnością jest łatwe i działa (sam się na to natknąłem): https://codegolf.stackexchange.com/a/120787
Dzięki Andy!To cudownie.Niestety, aktualizacja nie jest zainstalowana w moim systemie.Eeks !!Myślałem, że Win Updates automatycznie go zainstalował.
Czy istnieje kod golfowy do łatwej instalacji odpowiedniej aktualizacji? !!
Ed Daniel
2017-05-13 00:25:08 UTC
view on stackexchange narkive permalink

Kto jest zagrożony? Każdy, kto korzysta z systemów operacyjnych wymienionych w ogłoszeniu o aktualizacji tutaj: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

W jaki sposób? Złośliwe oprogramowanie może być dostarczane na wiele sposobów. Gdy tylko jeden punkt końcowy zostanie naruszony, aspekt „robaka” tego złośliwego oprogramowania wykorzystuje ms17-010. Może to być kliknięcie linku, otwarcie archiwum wysłanego pocztą e-mail itp. Itp. https://www.microsoft.com/en-us/security/portal/mmpc/help/infection .aspx

Wydaje się, że tak? Żartujesz sobie ;-)

Zobacz, jak to się rozpowszechnia: https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all

Wskaźniki włamania: https://otx.alienvault.com/pulse/5915d8374da2585a08eaf2f6/

Skanuj w poszukiwaniu wrażliwych punktów końcowych (nmap): https: // github .com / cldrn / nmap-nse-scripts / blob / master / scripts / smb-vuln-ms17-010.nse

Dobra odpowiedź, wszystko, co możesz dodać dla zwykłych użytkowników czytających to, którzy mogą się zastanawiać, co powinni zrobić, aby się chronić?
Po prostu uruchom aktualizację systemu Windows.
@tbodt niestety nie zadziała dla osób korzystających z takich programów, jak Windows XP.W zwykłym przypadku nie otrzymaliby żadnej łatki, ale MS wydało jedną dla tego https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/, jednak jest to specyficzneaktualizacja, która wymaga pobrania.
Uważam, że to jest brak odpowiedzi zgodnie z [Twoja odpowiedź jest w innym zamku: kiedy odpowiedź nie jest odpowiedzią?] (Https://meta.stackexchange.com/q/225370/157730) Zasadniczo spróbuj przeczytać toale zignoruj linki;ile się z tego uczysz?(Bardzo mało, IMO). Rozważ włączenie ważnych szczegółów z powiązanych stron do samej odpowiedzi, tak aby ta odpowiedź pozostała ważna, nawet jeśli te strony zostaną zmienione lub staną się niedostępne w przyszłości.
w takim przypadku pobierz nowoczesną wersję systemu Windows, a następnie uruchom aktualizację systemu Windows.
@tbodt, który nie zawsze jest możliwy (szczególnie w środowiskach korporacyjnych)
„Kto jest zagrożony?Każdy, kto używa systemów operacyjnych, które są wymienione w ogłoszeniu o łatkach tutaj ”a co, jeśli jesteś jedyny w swojej sieci lokalnej?Robak musi skądś pochodzić.
Soufiane Tahiri
2017-05-15 16:48:04 UTC
view on stackexchange narkive permalink

Ważne jest również, aby wiedzieć, że istnieją nowe warianty Wannacry (zwane Wannacry v2), które prawdopodobnie nie pochodzą od tych samych autorów.

W jaki sposób to złośliwe oprogramowanie atakuje systemy:

Najpierw tworzy i ustawia następujące wpisy rejestru:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Harmonogram zadań aktualizacji Microsoft" = "" [ PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME] "/ r"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ WannaCryptor \ "wd" = "[PATH_TO_RANSOMEWARE]"
  • HKEY_CURRENT_USER \ Control Panel \ Desktop \ % UserProfile% \ Desktop! WannaCryptor! .Bmp "

WannaCry tworzy następnie następujące muteksy:

  • Global \ WINDOWS_TASKOSHT_MUTEX0
  • LGlobal \ WINDOWS_TASKCST_MUTEX

Następnie kończy następujące procesy za pomocą taskkill / f / im :

  • sqlwriter.exe
  • sqlserver.exe
  • Microsoft.Exchange. *
  • MSExchange *

WannaCry rozpoczyna wyszukiwanie, szyfrowanie i dołączanie .WCRY na końcu nazw plików w następujących formatach plików:

.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pdf
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip

W celu zapobiegania Nik dał ci wszystko, co musisz wiedzieć, ale dodam, że y powinieneś spróbować zablokować połączenia przychodzące na porcie 445 / TCP. Upewnij się, że nie blokujesz następującej domeny leja, ponieważ jest to wyłącznik awaryjny znajdujący się w pliku binarnym Wannacry v1: 

  hxxp: // www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com

Mam nadzieję, że to pomoże.

IAmBarry
2017-05-15 19:44:54 UTC
view on stackexchange narkive permalink

Wygląda na to, że jest to zarówno standardowy atak phishingowy / ransomware, ale także rozprzestrzenia się jak robak, gdy dostanie się do sieci docelowej.

Serwery Windows są zwykle za zaporami ogniowymi które nie przechodzą przez SMB. Gdy pierwsza maszyna w chronionej sieci zostanie zainfekowana, robak propaguje atak przy użyciu wspomnianego powyżej exploita SMB.

Chciałbym uzyskać potwierdzenie phishingowej strony ataku. Microsoft (dwa dni temu) nadal nie miał informacji o początkowym kompromisie:

Nie znaleźliśmy dowodów na dokładny początkowy wektor wejścia używany przez to zagrożenie, ale są dwa scenariusze, które naszym zdaniem są wysoce prawdopodobnymi wytłumaczeniami rozprzestrzeniania się tego ransomware:

Przybycie przez e-maile socjotechniczne zaprojektowane w celu nakłonienia użytkowników do uruchomienia złośliwego oprogramowania i aktywowania funkcji rozprzestrzeniania robaków za pomocą exploita SMB Infekcja poprzez exploit SMB kiedy niezałatowany komputer jest adresowalny z innych zainfekowanych maszyn ( https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/)

[Edytuj] Właśnie zauważyłem, że Forbes nie uważa phishingu za główny składnik tego ataku. zobacz https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#37038021e599:

"... jest mało prawdopodobne, że wiadomości phishingowe były główną metodą infekcji, biorąc pod uwagę, że niewielu udostępniło wiadomości e-mail zaprawione złośliwym oprogramowaniem. Dział Cisco Talos nie wierzy, że użyto żadnych wiadomości phishingowych ..."

To spowodowałoby pozostawienie niezabezpieczonych serwerów z portami SMB wystawionymi na otwarty Internet jako główny wektor infekcji. To może wyjaśniać niektóre z najważniejszych zgłoszonych celów, którzy mają szeroko rozpowszechnione sieci (FedEx, NHS itp.). Wystarczyłby jeden nienaświetlony komputer, który łączył się również z szerszą siecią, aby załadować infekcję.

wydaje się bardziej komentarzem niż odpowiedzią
Pytanie jest również twierdzeniem, więc myślę, że można na nie odpowiedzieć, odrzucając pewność co do twierdzeń o wyłudzaniu informacji i skuteczność jedynego wektora SMBv1.
Nasze prywatne kanały informacyjne InfoSec informują o szczegółach niektórych ataków phishingowych.Nie mogę znaleźć żadnych informacji publicznych, ale rzeczywiście wydaje się, że zawierają one wektor phishingowy.Sprawdź dostawców.
Zrobiłem dużo badań, ale nie widzę żadnych e-maili związanych z wannacry.Pokonaj mnie, jeśli się mylę, ale dla mnie poszukiwania tego wektora infekcji dobiegły końca.Nie ma wtedy nic: „Słyszałem, że ktoś powiedział, ma taki mail”.W rzeczywistości jestem zarejestrowany w stackexchange, ponieważ na askubuntu są użytkownicy, którzy twierdzili, że mają fałszywe wiadomości phishingowe.Po dwóch dniach komunikacji mogłem z całą pewnością powiedzieć: nie mają.I nikt inny.Zajrzyj także tutaj: https://nakedsecurity.sophos.com/2017/05/17/wannacry-the-ransomware-worm-that-didnt-arrive-on-a-phishing-hook/
WinEunuuchs2Unix
2017-05-17 05:55:20 UTC
view on stackexchange narkive permalink

NHS było skazane na pierwsze trafienie

Istnieje wiele świetnych odpowiedzi, ale ta odpowiedź jest pouczająca, biorąc pod uwagę ostatnie wydarzenia. 18 stycznia 2017 r. US-Cert wezwał administratorów do wyłączenia zapory sieciowej z SMBv1, ale w komentarzach do tej historii stwierdzono, że jedynym powodem, dla którego wsparcie dla systemu Windows XP jest nadal dostępne, jest NHS (brytyjska służba zdrowia, która została zamknięta w piątek 12 maja) płaci M $ ton gotówki, aby utrzymać go przy życiu.

Jedno łącze do wszystkich wyłączonych ze wsparcia wersji z lukami w systemie Windows

Jeśli masz starszego laptopa z kopią zapasową systemu Windows Vista, takiego jak ja, może być zainteresowany KB4012598 dla Windows 8, XP, Vista, Server 2008 i Server 2003, które są odpowiednikami często omawianego MS17-010 . Są to ręczne poprawki dla wersji EOL (End of Life) systemu Windows, które nie są objęte pomocą techniczną i automatyczne aktualizacje. Microsoft podjął niezwykły krok, publikując te poprawki w ciągu ostatnich 48 godzin.

Użytkownicy Linuksa też mogą być dotknięci.

Jeśli są użytkownicy Linuksa czytający tę odpowiedź, chciałbym zwrócić uwagę luki w zabezpieczeniach omówione w Ask Ubuntu na to pytanie, które zamieściłem.

Szczegóły techniczne nie wymienione w innych odpowiedziach

Ten artykuł omawia blokowanie określonych portów i wyłączanie SMBv1 i SMBv2 na korzyść SMBv3. Część artykułu stwierdza, że ​​ FBI mówi, że nie należy płacić przestępcom za odzyskanie danych, ale szczerze mówiąc, zapłaciłbym 300 dolców, aby odzyskać swoje życie.

Straszne zbiegi okoliczności

Według jednego z dzisiejszych artykułów, Brokerzy Cieni zarobili do tej pory 31 tysięcy. Interesujący fakt, że nazwa pojawiła się po raz pierwszy (AFAIK) jako fikcyjna grupa krążąca i zajmująca się tajemnicami w grze wideo Sci-Fi wynalezionej w Edmonton około 10 lat temu. Drugi interesujący fakt, że pobierają 300 $ za odblokowanie twoich wykupionych danych, a ja pobierałem 300 $ za naprawy danych GL, AR, IC, PR itp. To powiedziawszy, bardzo wątpię, że Shadow Brokers mają siedzibę poza Edmonton, gdzie mieszkam.

Wersja druga jest niedostępna i wyłącznik awaryjny nie będzie działać

Utworzenie witryny internetowej http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/, która działa jako wyłącznik awaryjny dla Zgłoszono, że ransomware zostało zastąpione przez nową wersję „Wanna Cry”. Nie przeczytałem wielu artykułów potwierdzających to, ale pod każdym względem otwory SMBv1 i SMBv2 powinny być zaślepione. Ludzie nie powinni polegać na wyłączniku awaryjnym działającym z przyszłymi wersjami „Wanna Cry” ani na jakimkolwiek nowym złośliwym oprogramowaniu / oprogramowaniu ransomware wykorzystującym tę lukę.

Jeśli zastanawiasz się, co łagodnie mówi strona z wyłącznikiem awaryjnym, to to:

sinkhole.tech - gdzie boty imprezują ostrzej, a badacze mocniej ...

Microsoft Conspiracy Theories

Te którzy nie wierzą w spiski, mogą nacisnąć przycisk Wstecz. NSA i Microsoft wiedzieli, że to nadchodzi, zgodnie z tym artykułem rozpowszechniającym petycję żądającą informacji co Microsoft wie, kiedy, gdzie i jak. Zarzuty opierają się na czasie, w którym Shadow Brokers, NSA zostały zhakowane i aktualizacje zabezpieczeń MS.

NHS nie jest jedyną firmą, która utrzymuje wsparcie XP, inna duża firma płaci miliony ... IMO to okropny pomysł, zamiast tego powinni zainwestować w aktualizację swojego systemu!
dr_
2017-05-16 19:39:08 UTC
view on stackexchange narkive permalink

Oprócz poprzednich odpowiedzi, które wspominają tylko o systemie Windows, a ponieważ istnieje zamknięte pytanie „ Czy WannaCry infekuje Linuksa?” wskazujące na to, chciałbym dodać, że Linux maszyny też mogą zostać zainfekowane, jeśli działają na nich Wine: https://twitter.com/hackerfantastic/status/863359375787925505

Prawdziwe pytanie brzmi: _ dlaczego to działa? _!
symcbean
2017-05-15 16:44:10 UTC
view on stackexchange narkive permalink

Chociaż instalowanie poprawek dostawców jest zawsze dobrym pomysłem, warto również zauważyć, że złośliwe oprogramowanie przeprowadza kontrolę DNS podczas aktywacji. Widziałem jedną zgłoszoną domenę: 

  www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Ale prawdopodobnie jest ich więcej. Dlatego powinno być możliwe monitorowanie sieci pod kątem nowych infekcji przy użyciu czegoś takiego (na komputerze z systemem Linux / Unix), które sprawdza bardzo długi ciąg znaków jako składnik domeny w zapytaniu DNS: 

  tcpdump -K dst port 53 | awk '$ 8 ~ /[^\.]{20,}/ {print $ 0; } '

(nie testowano: YMMV)

Ponieważ sprawdzenie DNS było przyczyną pokonania pierwszego szczepu, wydaje się prawdopodobne, że kolejne szczepy go nie będą miały.
Wygląda to dość podobnie do [czegoś, co robi Chrome po uruchomieniu] (// unix.stackexchange.com/q/363512).Różnica polega na tym, że żądania Chrome dotyczą niekwalifikowanych nazw hostów, a nie nazw „.com”.
Ci goście mają lepszą wersję tej metodologii: https://www.youtube.com/watch?v=ZNas6BmbRvo
usr-local-ΕΨΗΕΛΩΝ
2017-05-19 19:40:12 UTC
view on stackexchange narkive permalink

Odpowiem trochę zwięźle na część „jak chronić”

0. Działaj szybko

Złośliwe oprogramowanie wciąż się rozprzestrzenia. Jeśli twój system nie jest chroniony, jego pozostały czas jest liczony w godzinach

1. Upewnij się, że wykonałeś wymagane aktualizacje systemu.

Firma Microsoft wydała już poprawki dla wszystkich wersji systemu Windows, które są objęte konserwacją. Być może Windows ME nie został załatany, w przeciwnym razie przejdź do # 4

2. Kopia zapasowa

Możesz chronić swoją infrastrukturę przed dowolnym oprogramowaniem ransomware lub przynajmniej ograniczyć jej uszkodzenia, egzekwując obowiązujące zasady tworzenia kopii zapasowych. Tworzenie kopii zapasowej na podatnej maszynie jest w tej sytuacji bez znaczenia. Synchronizacja z chmurą może być niebezpieczna

3. Zapora sieciowa z zewnątrz

Zarówno jeśli jesteś użytkownikiem domowym, jak i dużym przedsiębiorstwem, zawsze powinieneś stosować praktyczną zasadę zapory: wyłącz wszystko oprócz usług, z których faktycznie korzystasz.

Prowadzisz aplikację internetową? Otwieraj tylko porty 80/443. Uruchamiasz Torrent w domu? Użyj upnp lub wybierz porty do otwarcia w modemie.

Nie używaj DMZ. Jeśli naprawdę potrzebujesz SMB, musisz dobrze się nad tym zastanowić. Dyskusja na temat ServerFault może być dobra.

4. Stare maszyny z przerwą powietrzną lub silną zaporą ogniową

Jeśli posiadasz starszy system, który jest naprawdę krytyczny dla biznesu i nie można go zaktualizować w krótkim czasie, rozważ jego zastosowanie. Wirtualizacja starej wersji systemu Windows jest bezużyteczna, ponieważ złośliwe oprogramowanie może rozprzestrzeniać się w sieci przestarzałych komputerów. Jeśli nie uda Ci się uruchomić zapory i / lub całkowicie wyłączyć SMB, ostatnią opcją jest usunięcie kabla sieciowego do czasu znalezienia lepszego rozwiązania



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...