CERT-RO: WannaCry, spre deosebire de alte campanii ransomware are si capacitatea de a se raspandi in retea / Ce sisteme de operare sunt afectate si ce masuri pot fi luate

de G.S.     HotNews.ro
Sâmbătă, 13 mai 2017, 15:54 Economie | IT

WannaCry
Foto: Kaspersky

Spre deosebire de alte campanii ransomware din trecut, actualul atac cu varianta WannaCry dispune si de capabilitati de raspandire in retea (lateral movement) prin exploatarea unei vulnerabilitati a protocolului SMBv1, informeaza Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO).


Aceasta amenintare se propaga prin intermediul unor mesaje email care contin atasamente si link-uri malitioase, atacatorii utilizand tehnici de inginerie sociala pentru a determina utilizatorii sa acceseze resursele malitioase.


Odata infectata o statie de lucru dintr-o retea, maware-ul incearca sa se raspandeasca in interiorul retelei prin intermediul protocolului SMB, utilizand porturile UDP/37, UDP/138, TCP/139 si TCP/445. Procesul de raspandire se realizeaza prin exploatarea unei vulnerabilitati a rotocolului SMBv1 din cadrul Windows, cunoscuta ca CVE-2017-0145.


Microsoft a publicat inca din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilitatii  exploatata de acest ransomware pentru raspandire, cunoscuta ca MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 


Impact:


Urmatoarele sisteme de operare sunt cunoscute ca fiind pasibile de a fi afectate de aceasta amenintare in cazul in care nu au fost actualizate:

  • Microsoft Windows Vista SP2
  • Microsoft Windows Server 2008 SP2 si R2 SP1
  • Microsoft Windows 7
  • Microsoft Windows 8.1
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2012 si R2
  • Microsoft Windows 10
  • Microsoft Windows Server 2016
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

 

Masuri de prevenire:


Organizatiile si utilizatorii sistemelor de operare Windows sunt sfatuiti sa intreprinda urmatoarele masuri:

  1. Actualizarea la zi a sistemelor de operare si aplicatiilor, inclusiv cu patch-ul MS17-010
  1. Microsoft a publicat actualizari de securitate inclusiv pentru sistemele de operare care nu mai beneficiaza de suport, precum Windows XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
  1. Blocarea porturilor SMB (139, 445) in cadrul retelei;
  2. Utilizarea unui antivirus actualizat cu ultimele semnaturi;
  3. Manifestarea unei atentii sporite la deschiderea fisierelor si link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
  4. Realizarea periodica a unor copii de siguranta (backup) pentru datele importante.

     

Masuri de remediere:


In eventualitatea infectarii cu ransomware, CERT-RO va recomanda sa intreprindeti de urgenta urmatoarele masuri:

  1. Deconectarea imediata de la retea a sistemelor informatice afectate;
  2. Restaurati fisierele compromise utilizand copiile de siguranta (backup);
  3. Dezinfectati sistemele compromise;
  4. Raportati incidentul catre CERT-RO la adresa de email alerts@cert.ro.

 




Citeste mai multe despre   










6845 vizualizari

  • 0 (0 voturi)    
    protocolul SMBv1 (Sâmbătă, 13 mai 2017, 17:02)

    omul.rau [utilizator]

    e un protocol vechi care poate fi sters fara probleme in Windows 8.1 prin intermediul Control Panel -> Programs and Features -> Turn Windows Features on and off

    mai multe detalii pe blogul lui Ned Pyle
    https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

    PS1: momentan raspandirea virusului a fost oprita
    https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

    PS2: oricand se poate lansa un virus similar care sa foloseasca aceeasi metoda: SMBv1


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Vineri