Despre virusul WannaCry

[delta2k2]

Atacul cibernetic global inceput vineri a făcut până acum peste 200.000 de mii de victime in 150 de ţări, printre care şi România, potrivit Europol.

Deocamdată, in România bilanţul atacului este de 322 de adrese IP publice, existând informaţii că afectate ar fi patru reţele sau sisteme gestionate de sectorul public.

Este vorba de o nouă variantă de ransomware, care poartă denumirea de 'WannaCry'. Spre deosebire de alte campanii ransomware din trecut, cea de faţă dispune şi de capabilităţi de răspândire in reţea (lateral movement) prin exploatarea unei vulnerabilităţi a protocolului SMBv1.

Această ameninţare se propagă prin intermediul unor mesaje email ce conţin ataşamente şi link-uri maliţioase, atacatorii utilizând tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele maliţioase.

Odata infectată o staţie de lucru dintr-o reţea, malware-ul incearcă să se răspândească in interiorul reţelei prin intermediul protocolului SMB, utilizând porturile UDP/37, UDP/138, TCP/139 si TCP/445. Procesul de răspândire se realizează prin exploatarea unei vulnerabilităţi a protocolului SMBv1 din cadrul Windows, cunoscută ca CVE-2017-0145.

Microsoft a publicat incă din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilităţii exploatată de acest ransomware pentru răspândire, cunoscută ca MS17-010.

Următoarele sisteme de operare sunt cunoscute ca fiind pasibil să fie afectate de această ameninţare, in cazul in care nu au fost actualizate:

Microsoft Windows Vista SP2
Microsoft Windows Server 2008 SP2 si R2 SP1
Microsoft Windows 7
Microsoft Windows 8.1
Microsoft Windows RT 8.1
Microsoft Windows Server 2012 si R2
Microsoft Windows 10
Microsoft Windows Server 2016
Microsoft Windows XP
Microsoft Windows Server 2003


Ce trebuie să facem pentru a preveni infectarea

1. Actualizaţi la zi sistemele de operare şi aplicaţiile, inclusiv cu patch-ul MS17-010

Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP;

2. Blocaţi porturile SMB (139, 445) in cadrul reţelei
3. Utilizaţi un antivirus actualizat cu ultimele semnături
4. Manifestaţi atenţie sporită la deschiderea fişierelor şi link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email
5. Realizaţi periodic copii de siguranţă (backup) pentru datele importante


Despre MS17-010 : https://technet.microsoft.com/en-us/lib ... 7-010.aspx
Download actualizări, inclusiv pentru Windows XP : https://blogs.technet.microsoft.com/msr ... t-attacks/

[zmeura]

Close ports 135 and 445

According to the reports of antivirus companies, wcrypt penetrates computers through SMB (Server Message Block) ports. To prevent penetration, we block the ports 135 and 445 through which the virus penetrates (in most cases they are not used by ordinary users).

To do this, open the console with administrator rights (cmd.exe -> run as administrator). And we execute in turn 2 commands (after each command there should be status OK).

Code: Select all

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Disabling SMBv1 support

The vulnerability can also be closed by completely disabling SMBv1 support. Run this command in cmd (run as administrator).

Code: Select all

dism /online /norestart /disable-feature /featurename:SMB1Protocol

http://stackoverflow.com/questions/4395 ... -wanna-cry

PS: Nu stiu care e exact primul port, 135 sau 139, dar opirea SMBv1 cred ca e cea mai buna solutie, momentan.

[dMd]

"Deşi s-a răspândit în timp record, perturbând activitatea companiilor cu infrastructură IT slab protejată, malware-ul WannaCry nu pare a fi creat de programatori experimentaţi, eficienţa mecanismului de propagare fiind atribuită exploatării a două vulnerabilităţi folosite anterior în campanii de spionaj de către agenţia americană NSA (National Security Agency).
Publicate online în urma unui atac informatic ce a vizat chiar serverele NSA, cele 7 unelte dezvoltate special pentru infiltrarea PC-urilor vulnerabile în scopul facilităţii activităţilor de spionaj nu au fost utilizate până acum la întregul potenţial:

EternalBlue — SMBv1 exploit tool
EternalRomance — SMBv1 exploit tool
EternalChampion — SMBv2 exploit tool
EternalSynergy — SMBv3 exploit tool
SMBTouch — SMB reconnaissance tool
ArchTouch — SMB reconnaissance tool
DoublePulsar — Backdoor Trojan

Cunoscut drept un DoomsDayWorm de către cercetătorul ce l-a descoperit, noul malware exploatează nu mai puţin de 6 vulnerabilităţi ale protocolului Windows SMB, obţinând multiple căi de atac pentru compromiterea PC-urilor cu sistem de operare Windows. A şaptea vulnerabilitate este însă un backdoor de tip troian, care permite propagarea automată a infectării către toate PC-urile vulnerabile conectate la reţeaua locală.

Deghizat pentru a semăna cu mult mai cunoscutul ransomware WannaCry, malware-ul numit EternalRocks obţine acces neautorizat asupra PC-urilor compromise şi rămâne în aşteptare, fără a cauza pagube imediate. Reţeaua de tip botnet rezultată poate fi însă activată oricând pentru desfăşurarea altor atacuri informatice de mare amploare, asupra unor ţinte alese de hackeri.

Metoda de infiltrare, destul de complexă, presupune cel puţin două stagii activate la o distanţă de 24 de ore. În prima etapă, EternalRocks descarcă web browserul Tor, folosit pentru a facilita comunicarea cu serverele de comandă şi control găzduite în reţeaua Tor şi Dark Web. 24 de ore mai târziu, malware-ul descarcă fişierele necesare pentru exploatarea celor 7 vulnerabilităţi NSA într-un mod care ocoleşte mecanismele de protecţie tip Sandbox, infectarea trecând astfel neobservată. Procesul este reluat scanând apoi reţeaua locală în căutare de alte PC-uri vulnerabile, propagarea malware-ului EternalRocks crescând în mod exponenţial până la compromiterea întregii reţele."


The original source
Copy-Paste source