CERT-RO: WannaCry, spre deosebire de alte campanii ransomware are si capacitatea de a se raspandi in retea / Ce sisteme de operare sunt afectate si ce masuri pot fi luate

de G.S.     HotNews.ro
Sâmbătă, 13 mai 2017, 15:54 Economie | IT

WannaCry
Foto: Kaspersky

Spre deosebire de alte campanii ransomware din trecut, actualul atac cu varianta WannaCry dispune si de capabilitati de raspandire in retea (lateral movement) prin exploatarea unei vulnerabilitati a protocolului SMBv1, informeaza Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO).


Aceasta amenintare se propaga prin intermediul unor mesaje email care contin atasamente si link-uri malitioase, atacatorii utilizand tehnici de inginerie sociala pentru a determina utilizatorii sa acceseze resursele malitioase.


Odata infectata o statie de lucru dintr-o retea, maware-ul incearca sa se raspandeasca in interiorul retelei prin intermediul protocolului SMB, utilizand porturile UDP/37, UDP/138, TCP/139 si TCP/445. Procesul de raspandire se realizeaza prin exploatarea unei vulnerabilitati a rotocolului SMBv1 din cadrul Windows, cunoscuta ca CVE-2017-0145.


Microsoft a publicat inca din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilitatii  exploatata de acest ransomware pentru raspandire, cunoscuta ca MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 


Impact:


Urmatoarele sisteme de operare sunt cunoscute ca fiind pasibile de a fi afectate de aceasta amenintare in cazul in care nu au fost actualizate:

  • Microsoft Windows Vista SP2
  • Microsoft Windows Server 2008 SP2 si R2 SP1
  • Microsoft Windows 7
  • Microsoft Windows 8.1
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2012 si R2
  • Microsoft Windows 10
  • Microsoft Windows Server 2016
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

 

Masuri de prevenire:


Organizatiile si utilizatorii sistemelor de operare Windows sunt sfatuiti sa intreprinda urmatoarele masuri:

  1. Actualizarea la zi a sistemelor de operare si aplicatiilor, inclusiv cu patch-ul MS17-010
  1. Microsoft a publicat actualizari de securitate inclusiv pentru sistemele de operare care nu mai beneficiaza de suport, precum Windows XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
  1. Blocarea porturilor SMB (139, 445) in cadrul retelei;
  2. Utilizarea unui antivirus actualizat cu ultimele semnaturi;
  3. Manifestarea unei atentii sporite la deschiderea fisierelor si link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
  4. Realizarea periodica a unor copii de siguranta (backup) pentru datele importante.

     

Masuri de remediere:


In eventualitatea infectarii cu ransomware, CERT-RO va recomanda sa intreprindeti de urgenta urmatoarele masuri:

  1. Deconectarea imediata de la retea a sistemelor informatice afectate;
  2. Restaurati fisierele compromise utilizand copiile de siguranta (backup);
  3. Dezinfectati sistemele compromise;
  4. Raportati incidentul catre CERT-RO la adresa de email alerts@cert.ro.

 




Citeste mai multe despre   












Jurnal​ din Israel

FOTOGALERIE Tel Aviv: artistic si sofisticat

Tel Aviv e un oras nou pornit de la un port vechi si are un tip de sofisticare, nearoganta, care-l face definitiv interesant. Arhitectura lui, accentele moderne, tusele europene, aspiratiile americane, muzeele, casele memoriale permit calatorilor sa traiasca in el si o experienta culturala. Spiritul relaxat al orasului si umorul generatiei tinere din Tel Aviv se traduce uneori in mici capodopere in culoare pe ziduri. Unul dintre cele mai bune, amuzante si interesante tururi e cel din cartierul florentin, cunoscut ca partea boema a orasului.

7018 vizualizari

  • 0 (0 voturi)    
    protocolul SMBv1 (Sâmbătă, 13 mai 2017, 17:02)

    omul.rau [utilizator]

    e un protocol vechi care poate fi sters fara probleme in Windows 8.1 prin intermediul Control Panel -> Programs and Features -> Turn Windows Features on and off

    mai multe detalii pe blogul lui Ned Pyle
    https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

    PS1: momentan raspandirea virusului a fost oprita
    https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

    PS2: oricand se poate lansa un virus similar care sa foloseasca aceeasi metoda: SMBv1


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Miercuri