WannaCry širjenje okužbe

8 naročnikov

Pozdravljeni,

Verjetno ste vsi že slišali za okužbo, ki se širi že od petka preko spleta pod imenom WannaCry. (več na: https://www.cert.si/si-cert-2017-03/)

Za razliko od "klasičnih" ransom virusov, se ta širi brez privolitve uporabnika - torej klik ni potreben, ker izkoriša varnostne luknje Windows operacijskih sistemov - predvsem WinXP. Zato je tudi Microsoft izjemoma izdal popravke tudi za sisteme, za katere uradno ni več podpore. Vse piše na zgornjem linku.

OK arhiviranje je zakon in posodabljanje sistemov.
Kaj pa še delata, da se lahko izognete takšnim scenarijem? En dober nasvet je že naveden na zgornjem linku:
CITIRAM "Skrbniki omrežij lahko v namen zaščite pred okužbo na požarnih pregradah blokirajo dohodni promet na vratih 445 (SMB over IP). Pred postavitvijo je potrebno preveriti, da tovrstna blokada ne bo blokirala tudi morebitnih legitimnih povezav oz. prometa."

Kaj še? Za dobrobit vseh dajmo pod to temo objaviti vse dobre nasvete.

Lep pozdrav vsem in čim manj dela v ponedeljek, ko se bo še zapozneli učinek opazil vsega tega širjenja!

"ampak iz interneta moraš najprej sploh v interno mrežo priti mimo požarnega zidu."

začetni vektor vstopa na prvo mašino je:
1. klik na priponko (v večini)
2. direktno odprt port ( v manjšini)

Ko je enkrat na eni mašini potem se z pomočjo exploita razširi na celo lokalno mrežo preko SMB porta

druge možnnosti vstopa:

1. fileless infekcija/exploit med surfanjem
2. Fata (ali pa Micka) je prinesla okužen usb ključek, ki ga je najdla pred firmo in jo sedaj firbec matra kaj je gor
3. Nekdo je kupil ransomware SAS ključek z svojo kodo in ta ključek za par sekund porinil v vašo mašino kjer je vaš autorun poskrebel za zagon payloada (ne rabi admin pravic) in bo plačan 50 % če/ko vi plačate odkupnino

1qay1qay:
"ampak iz interneta moraš najprej sploh v interno mrežo priti mimo požarnega zidu."

začetni vektor vstopa na prvo mašino je:
1. klik na priponko (v večini)
2. direktno odprt port ( v manjšini)

Ko je enkrat na eni mašini potem se z pomočjo exploita razširi na celo lokalno mrežo preko SMB porta

druge možnnosti vstopa:

1. fileless infekcija/exploit med surfanjem
2. Fata (ali pa Micka) je prinesla okužen usb ključek, ki ga je najdla pred firmo in jo sedaj firbec matra kaj je gor
3. Nekdo je kupil ransomware SAS ključek z svojo kodo in ta ključek za par sekund porinil v vašo mašino kjer je vaš autorun poskrebel za zagon payloada (ne rabi admin pravic) in bo plačan 50 % če/ko vi plačate odkupnino

Ravno to sem spraševal malo višje v temi, da mi ni logično.
Potemtakem je Revoz imel odprt požarni zid, da se je okužil? Dvomim, da je šlo za klik klik okužbo.

Ima še kdo težave z Windows update sistemom?
Sem testiral na Windows 10 in 7 pa oba javljata nedostopnost. Predvidevam, da je velik naval.

Ransomware so tut na M$ fasal, zato je nedosegljiv.

Po poročanju novic, so okužil glavni računalnik v Renoultu v Franciji in posledično tudi potem revoz v slo.