Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Aktualności (https://safegroup.pl/forum-28.html) +--- Wątek: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab (/thread-11069.html) |
Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - Mikołaj - 14.05.2017 W ubiegły piątek doszło do zmasowanego, ogólnoświatowego ataku oprogramowania ransomware o nazwie WannaCry. Zadaniem szkodliwego programu było zaszyfrowanie danych ofiar i żądanie zapłacenia okupu. Badacze z Kaspersky Lab przeanalizowali dane dotyczące ataku i mogą poinformować, że systemy ochrony wykorzystywane w rozwiązaniach firmy wykryły przynajmniej 45 000 prób infekcji w 74 krajach, z czego najwięcej odnotowano w Rosji. Szkodliwe oprogramowanie zastosowane w ataku wykorzystuje lukę w systemach Windows, która została opisana i usunięta w biuletynie MS17-010 opublikowanym przez firmę Microsoft. Narzędzie wykorzystane w ataku – „Eternal Blue” – zostało ujawnione w zestawie informacji opublikowanych przez grupę Shadowbrokers 14 kwietnia. Po zainfekowaniu systemu atakujący instalują szkodliwy moduł (rootkit), który pozwala na pobieranie oprogramowania ransomware szyfrującego dane ofiary. Po zakończeniu szyfrowania wyświetlany jest komunikat o konieczności zapłaty równowartości 600 dolarów amerykańskich w walucie Bitcoin za odszyfrowanie danych. Wartość okupu rośnie z czasem. Eksperci z Kaspersky Lab szukają obecnie możliwości odszyfrowania danych zablokowanych w trakcie tego ataku – celem jest jak najszybsze przygotowanie i udostępnienie narzędzia, które będzie mogło pomóc ofiarom odzyskać swoje dane bez płacenia okupu cyberprzestępcom. Produkty Kaspersky Lab wykrywają szkodliwe programy wykorzystywane w ramach omawianego ataku z następującymi nazwami: • Trojan-Ransom.Win32.Scatter.uf • Trojan-Ransom.Win32.Scatter.tr • Trojan-Ransom.Win32.Fury.fr • Trojan-Ransom.Win32.Gen.djd • Trojan-Ransom.Win32.Wanna.b • Trojan-Ransom.Win32.Wanna.c • Trojan-Ransom.Win32.Wanna.d • Trojan-Ransom.Win32.Wanna.f • Trojan-Ransom.Win32.Zapchast.i • Trojan.Win64.EquationDrug.gen • Trojan.Win32.Generic Porady bezpieczeństwa Aby pomóc w zredukowaniu ryzyka infekcji omawianym oprogramowaniem ransomware (i innymi podobnymi zagrożeniami), eksperci z Kaspersky Lab przygotowali kilka porad bezpieczeństwa: • Zainstaluj [Aby zobaczyć linki, zarejestruj się tutaj] opublikowaną przez firmę Microsoft w celu usunięcia podatności wykorzystywanej w ramach ataku.• Upewnij się, że rozwiązania bezpieczeństwa są aktywne na wszystkich węzłach w sieci. • Zadbaj o regularne wykonywanie kopii zapasowych, dzięki którym możliwe będzie przywrócenie danych w przypadku ataku. • Korzystaj z rozwiązania bezpieczeństwa wyposażonego w technologie wykrywania zagrożeń na podstawie ich zachowania w systemie. Daje to możliwość identyfikowania nawet nieznanych szkodliwych programów. • Przeprowadź audyt oprogramowania zainstalowanego na wszystkich węzłach firmowej sieci i upewnij się, że wszystkie aplikacje oraz systemy są uaktualnione. • Przeszkól pracowników pod kątem zwiększenia świadomości w zakresie nowoczesnych metod wykorzystywanych przez cyberprzestępców. • Jeżeli korzystasz z rozwiązania Kaspersky Lab, upewnij się że włączony jest moduł Kontrola systemu, który oferuje proaktywne wykrywanie nowych zagrożeń na podstawie ich zachowania w systemie. • Jeżeli korzystasz z rozwiązania Kaspersky Lab uruchom zadanie skanowania obszarów krytycznych, by maksymalnie przyspieszyć wykrycie potencjalnej infekcji. Źródło: Kaspersky Lab RE: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - ichito - 15.05.2017 Nareszcie...dzięki Mikołaj za artykuł w tym temacie, ponieważ mamy do czynienia z największym, jak określa Europol i większość badaczy, atakiem w historii. Trzeba oddać co cesarskie M'cinowi, bo to on pierwszy u nas [Aby zobaczyć linki, zarejestruj się tutaj] , ale w kontekście tylko Windows XP, który wymieniany był jako jeden z głównych celów (jako system).Okazuje się jednak, że sprawa jest dużo szersza i w tej chwili mówi się o 223 tysiącach ofiar w nawet w 150 krajach i trudno nawet podawać przykładowe instytucje czy firmy będące ofiarą ataku...znajdziecie to w wielu publikacjach na ten temat z ostatniego weekendu, ale pewnie i w nowszych ponieważ do tej pory nie wiadomo, co będzie po weekendzie, kiedy pracownicy na całym świecie zaczną otwierać swoje komputery po 2-3 dniach przerwy...skala ataku może być znacznie większa. Wiadomo, że pierwszy atak dał się w miarę prosto zdezaktywować, choć odkrycie tego było raczej przypadkiem. Sytuacja jest dość dynamiczna i już w tej chwili jest mowa o kilku kolejnych odmianach WannaCry, które atakują do systemów Windows 8 włącznie i tak właśnie zaleca się pobranie odpowiednich łatek - poniżej lista [Aby zobaczyć linki, zarejestruj się tutaj] Spore opracowanie ataku poniżej [Aby zobaczyć linki, zarejestruj się tutaj] a tu lista artykułów na Bleepingcomputer, gdzie atak rozpracowywano w miarę nowych kolejnych informacji[Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Info na DP [Aby zobaczyć linki, zarejestruj się tutaj] oraz na Z3S[Aby zobaczyć linki, zarejestruj się tutaj] RE: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - dolar444 - 15.05.2017 Na niebezpeiczniku też jest artykuł: [Aby zobaczyć linki, zarejestruj się tutaj] dodatkowo jak ktoś by chciał jeszcze:[Aby zobaczyć linki, zarejestruj się tutaj] RE: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - ichito - 15.05.2017 I jeszcze od Microsoft TechNet "Customer Guidance for WannaCrypt attacks" [Aby zobaczyć linki, zarejestruj się tutaj] --------------------------- edit: Na BC znalazłem interesującą informację na temat drugiego odkrytego wariantu WannaCry...jego też da się zdezaktywować odpowiednią domeną, jak przy pierwszym wariancie Cytat:After researchers sinkholed the first kill switch domain, the group behind WannaCry took almost two days to release a new WannaCry version, which was first detected by French security researcher Benkow on Sunday morning. [Aby zobaczyć linki, zarejestruj się tutaj] Podobno atak może się udac też na linuksowych systemach, jeśli używa się Wine Cytat:2. Can I get affected by using Wine? [Aby zobaczyć linki, zarejestruj się tutaj] RE: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - neon - 15.05.2017 Według tego co podają źródła najnowszy Windows 10 CU jest odporny na te zagrożenie. RE: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - buri - 16.05.2017 Wyłącznie SMB 1 powoduje jakieś problemy? Kurde zagłębianie się w to nie ma dla mnie sensu. 2-3 komputery w sieci, drukarka po sieci, chyba to wyłączę i będzie spokój. RE: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - neon - 16.05.2017 wyłączysz SMB1 to nie będzie Ci działało udostępnianie w sieci. RE: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - buri - 16.05.2017 Czyli nic nie stracę bo i tak zwykle nie mogłem tego ustawić, a po sieci komp i tak się nie widzą u mnie - takie mam szczęście. RE: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - ichito - 17.05.2017 Najnowsze badania wskazują na dużo starsze korzenie WannaCry podobnie, jak wiele lat temu odkryto w przypadku Stuxneta...kurde, ktoś pamięta jeszcze tego szkodnika? Cytat:JJakkolwiek abstrakcyjnie by nie brzmiał temat naszego wpisu, to odkryto namacalne dowody wskazujące na możliwe powiązania pomiędzy autorami WannaCry a sprawcami niedawnych ataków na polskie banki. Tropy prowadzą do Korei Północnej. [Aby zobaczyć linki, zarejestruj się tutaj] RE: Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab - ichito - 05.06.2017 Interesujący artykuł o WannaCry na DI - "Nie taki WannaCry straszny? Analiza" [Aby zobaczyć linki, zarejestruj się tutaj] |