CERT-RO: WannaCry, spre deosebire de alte campanii ransomware are si capacitatea de a se raspandi in retea / Ce sisteme de operare sunt afectate si ce masuri pot fi luate

de G.S.     HotNews.ro
Sâmbătă, 13 mai 2017, 15:54 Economie | IT

WannaCry
Foto: Kaspersky

Spre deosebire de alte campanii ransomware din trecut, actualul atac cu varianta WannaCry dispune si de capabilitati de raspandire in retea (lateral movement) prin exploatarea unei vulnerabilitati a protocolului SMBv1, informeaza Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO).


Aceasta amenintare se propaga prin intermediul unor mesaje email care contin atasamente si link-uri malitioase, atacatorii utilizand tehnici de inginerie sociala pentru a determina utilizatorii sa acceseze resursele malitioase.


Odata infectata o statie de lucru dintr-o retea, maware-ul incearca sa se raspandeasca in interiorul retelei prin intermediul protocolului SMB, utilizand porturile UDP/37, UDP/138, TCP/139 si TCP/445. Procesul de raspandire se realizeaza prin exploatarea unei vulnerabilitati a rotocolului SMBv1 din cadrul Windows, cunoscuta ca CVE-2017-0145.


Microsoft a publicat inca din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilitatii  exploatata de acest ransomware pentru raspandire, cunoscuta ca MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 


Impact:


Urmatoarele sisteme de operare sunt cunoscute ca fiind pasibile de a fi afectate de aceasta amenintare in cazul in care nu au fost actualizate:

  • Microsoft Windows Vista SP2
  • Microsoft Windows Server 2008 SP2 si R2 SP1
  • Microsoft Windows 7
  • Microsoft Windows 8.1
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2012 si R2
  • Microsoft Windows 10
  • Microsoft Windows Server 2016
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

 

Masuri de prevenire:


Organizatiile si utilizatorii sistemelor de operare Windows sunt sfatuiti sa intreprinda urmatoarele masuri:

  1. Actualizarea la zi a sistemelor de operare si aplicatiilor, inclusiv cu patch-ul MS17-010
  1. Microsoft a publicat actualizari de securitate inclusiv pentru sistemele de operare care nu mai beneficiaza de suport, precum Windows XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
  1. Blocarea porturilor SMB (139, 445) in cadrul retelei;
  2. Utilizarea unui antivirus actualizat cu ultimele semnaturi;
  3. Manifestarea unei atentii sporite la deschiderea fisierelor si link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
  4. Realizarea periodica a unor copii de siguranta (backup) pentru datele importante.

     

Masuri de remediere:


In eventualitatea infectarii cu ransomware, CERT-RO va recomanda sa intreprindeti de urgenta urmatoarele masuri:

  1. Deconectarea imediata de la retea a sistemelor informatice afectate;
  2. Restaurati fisierele compromise utilizand copiile de siguranta (backup);
  3. Dezinfectati sistemele compromise;
  4. Raportati incidentul catre CERT-RO la adresa de email alerts@cert.ro.

 




Citeste mai multe despre   












[P] Camera Consultantilor Fiscali organizeaza examen de atribuire a calitatii de consultant fiscal sau de consultant fiscal asistent in Bucuresti, in data de 4 noiembrie 2017

Camera Consultantilor Fiscali este organizatia profesionala de utilitate publica care coordoneaza activitatea de consultanta fiscala din Romania si are in evidenta peste 5.500 de membri la nivel national. Inscrierile la examen se fac in perioada 2 octombrie 2017 - 20 octombrie 2017 pe site-ul http://www.ccfiscali.ro/.

6991 vizualizari

  • 0 (0 voturi)    
    protocolul SMBv1 (Sâmbătă, 13 mai 2017, 17:02)

    omul.rau [utilizator]

    e un protocol vechi care poate fi sters fara probleme in Windows 8.1 prin intermediul Control Panel -> Programs and Features -> Turn Windows Features on and off

    mai multe detalii pe blogul lui Ned Pyle
    https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

    PS1: momentan raspandirea virusului a fost oprita
    https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

    PS2: oricand se poate lansa un virus similar care sa foloseasca aceeasi metoda: SMBv1


Abonare la comentarii cu RSS

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version