WannaCry širjenje okužbe

8 naročnikov

Pozdravljeni,

Verjetno ste vsi že slišali za okužbo, ki se širi že od petka preko spleta pod imenom WannaCry. (več na: https://www.cert.si/si-cert-2017-03/)

Za razliko od "klasičnih" ransom virusov, se ta širi brez privolitve uporabnika - torej klik ni potreben, ker izkoriša varnostne luknje Windows operacijskih sistemov - predvsem WinXP. Zato je tudi Microsoft izjemoma izdal popravke tudi za sisteme, za katere uradno ni več podpore. Vse piše na zgornjem linku.

OK arhiviranje je zakon in posodabljanje sistemov.
Kaj pa še delata, da se lahko izognete takšnim scenarijem? En dober nasvet je že naveden na zgornjem linku:
CITIRAM "Skrbniki omrežij lahko v namen zaščite pred okužbo na požarnih pregradah blokirajo dohodni promet na vratih 445 (SMB over IP). Pred postavitvijo je potrebno preveriti, da tovrstna blokada ne bo blokirala tudi morebitnih legitimnih povezav oz. prometa."

Kaj še? Za dobrobit vseh dajmo pod to temo objaviti vse dobre nasvete.

Lep pozdrav vsem in čim manj dela v ponedeljek, ko se bo še zapozneli učinek opazil vsega tega širjenja!

Blokiranje ti ne bo pomagalo, ko ti bo nekdo prinesel v network okuženo napravo.

Sedaj odvisno kaksne podatke imas ampak backup, backup.
Drugace pa redno updatanje vsega (vsaj 1x/mesec).
Locen wifi za zaposlene in goste

Kriticne zadeve pa v dmz ali pa umakniti iz networka.

Je pa drugače že nekdo odkril kill switch in se je zadeva ustavila. Bo pa takih zgodb vse več, ker imaš celo serijo zlorab v vault7.
Ta napad ti je pa lepo pokazal, da se ne updata saj je še vedno veliko winxp

poleg 2x backupa je edina pomoč "default deny" app control (jaz uporabljam commodo FW z custom nastavitvami), pa še to samo toliko časa dokler se ne pojavi payload z veljavnim certifikatom ali dodelana file less infekcija.

Bistvo tega je da se zažene samo to, kar si ti dovolil + aplikacije z veljavnim in s tvoje strani odobrenim digitalnim cerifikatom.

širjenje trenutne verzije payloada se je ustavilo, ker je bil v tej verziji payloada naivno napisant test za ugotavljanje ali
ali teče v virtualni mašini (to je bil ta klic za neobstoječo domeno ,ki jo je Malwaretech potem registriral, ko je to opazil)

Bojim se da v naslednji inačici "fantje" ne bodo napravili enake napake ;( in bo masaker še večji.

Malwaretech je napisal podrobnosti tukaj : https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

ps. na antivirusne programe lahko pozabiš ... še ta ki je v windowsih 10 je bil exploitan nekaj časa nazaj, ker vsebuje svoj script engine

Backup je že ok (in nujen!) , a poglej Revoz ima backupe (upam!) in vseeno stoji že 48 ur ... in še nekaj časa bo zgleda trajalo, da iz backupov restavrirajo vse kar morejo (upam da backupe imajo, in da niso tudi IT ljudi najemali in plačevali tako kot ostale ... )

Hočem reči da restavriranje iz backupov (tudi če dela in je vse ok) ni takojšnja rešitev .. sploh ne če imaš XXX računalnikov kot jih ima verjetno Revoz ...

Glede firewalow : itak morajo biti vsi WAN porti zaprti , tisti ki pa niso (recimo RDP) pa morajo biti omejeni na statične IP naslove

Svoje firewale lahko preverite tukaj : https://www.grc.com/

Če nimate mail serverjev in www serverjev mora biti vse zeleno ;)

ali sem, varen, če vse pomembne fajle backupiram v Google Drive? Kar se fajlov tiče seveda

1qay1qay:
Backup je že ok (in nujen!) , a poglej Revoz ima backupe (upam!) in vseeno stoji že 48 ur ... in še nekaj časa bo zgleda trajalo, da iz backupov restavrirajo vse kar morejo (upam da backupe imajo, in da niso tudi IT ljudi najemali in plačevali tako kot ostale ... )

Hočem reči da restavriranje iz backupov (tudi če dela in je vse ok) ni takojšnja rešitev .. sploh ne če imaš XXX računalnikov kot jih ima verjetno Revoz ...

Glede firewalow : itak morajo biti vsi WAN porti zaprti , tisti ki pa niso (recimo RDP) pa morajo biti omejeni na statične IP naslove

Svoje firewale lahko preverite tukaj : https://www.grc.com/

Če nimate mail serverjev in www serverjev mora biti vse zeleno ;)

Sej to mi ni čisto logično glede širjenja te okužbe.
Večina routerjev ima po defaultu blokiran ves IN promet na WAN portu in uporabniki ne rabijo nekega težkega znanja. Firme pa sploh (naj bi) skrbijo za požarne zidove. Kako je potem okužba sploh lahko "zafohala" neposodobljene sisteme, da jih je okužila?

Eno je če se nekdo interno okuži in potem po lokalni mreži širi dalje, ampak iz interneta moraš najprej sploh v interno mrežo priti mimo požarnega zidu.

Balonar:
ali sem, varen, če vse pomembne fajle backupiram v Google Drive? Kar se fajlov tiče seveda

Sicer sem bral, da je imel tudi Google neke težave z vdori (ne pri tej okužbi), ampak če uporabljaš t.i. sinhronizacijo, bi moralo biti OK, ker ni direktne povezave kot je to npr. pri mapiranih portih in share mapah na lokalni mreži.

Ne morem se znebiti občutka, da je tale WannaCry en dober marketinški prijem. Zdaj bodo vsi naredili update na Windows 10, kar so njihove mokre sanje že kar nekaj časa. Pa cela antivirus industrija bo dobila kar velik zagon... Moje mnenje!

Seveda pa sta backup in update stvar minimalne higiene, ki je danes nujna!

Če uporabljate MIKROTIK routerje in posledično požarne zidove, je zanimiva rešitev v navezi z osveževanjem t.i. black liste povezane z ransome virusi.

Navodila kako nastaviti Mikrotik in več info tukaj:
http://robert.penz.name/1262/block-ransomware-botnet-cc-traffic-with-a-mikrotik-router/

habeco:
Ne morem se znebiti občutka, da je tale WannaCry en dober marketinški prijem. Zdaj bodo vsi naredili update na Windows 10, kar so njihove mokre sanje že kar nekaj časa. Pa cela antivirus industrija bo dobila kar velik zagon... Moje mnenje!

Seveda pa sta backup in update stvar minimalne higiene, ki je danes nujna!

Na to sem pomislil tudi sam...malo šlampasto a učinkovito. Definitivno so dosegli worldwide medijsko pozornost, s tem pa si je verjetno vsaka firma malo zamislila.

Poleg updejtov in arhiviranja je pametno tudi, da odstranite oz. izklopite zastarel SMB v1 protokol. Glede na to, da je za pričakovati, da bodo vse razne variacije te okužbe po enaki logiki izkoriščale luknje za vdor.

Več tukaj:
https://support.microsoft.com/nl-nl/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012