Skoči na vsebino

SI-CERT 2017-03 / Širitev izsiljevalske okužbe WannaCry

Več ranljivosti v sklopu Microsoft varnostnega obvestila MS17-10, za katere popravek je sicer že dalj časa na voljo, omogoča širitev izsiljevalske okužbe WannaCry/Wcry prek omrežja.

Opis

Prejeli smo obvestila o zaznani hitri širitvi izsiljevalske okužbe WannaCry. Slednja za svojo širitev izrabljal ranljivosti opisane v Microsoft varnostnem obvestilu MS17-10, ki so bile zakrpane že s popravki meseca marca 2017. Zavoljo izrabljene ranljivosti je širitev okužbe lahko zelo hitra, sploh znotraj lokalnih omrežjih v skupnem omrežnem segmentu.

Zaščita

Skrbniki sistemov, ki tega še niso storili, naj nemudoma naložijo ustrezne popravke, kateri odpravljajo predmetne varnostne ranljivosti opisane v MS17-10. Ranljivost je bila tako odmevna, da je Microsoft izdal celo popravek za različice operacijskega sistema, ki jih uradno ne podpira več (Windows XP, Windows 8 in Windows Server 2003).

Skrbniki omrežij lahko v namen zaščite pred okužbo na požarnih pregradah blokirajo dohodni promet na vratih TCP/445 (SMB over IP). Pred postavitvijo je potrebno preveriti, da tovrstna blokada ne bo blokirala tudi morebitnih legitimnih povezav oz. prometa.

Rešitev v primeru okužbe

V primeru okužbe v določenih primerih obstaja možnost, da se s pomočjo orodja  pridobi šifrirni ključ, s katerim se restavrira zašifrirane datoteke. Orodje šifrirni ključ restavrira iz podatkov, ki jih pridobi iz delovnega pomnilnika okuženega računalnika. Za uspešno pridobitev šifrirnega ključa morata biti izpolnjena naslednja pogoja:

  • okužen računalnik po okužbi ni bil ponovno zagnan;
  • relevantni podatki v pomnilniku niso bili prepisani.

Navodila za uporabo orodja so na spletni strani https://blog.comae.io/.

Povezave

Preberite tudi

Izmenjava informacij o kibernetskih grožnjah v slovenskem prostoru

Stičišče MISP v Sloveniji upravlja SI-CERT, ki širi zavedanje o pomembnosti izmenjave informacij med lokalnimi deležniki ravno prek platforme MISP
Več

Okužbe s trojanskim konjem Anatsa v maju in juniju 2024

Na SI-CERT ponovno zaznavamo porast okužb z zlonamernimi aplikacijami, t.i banking trojan infostealer iz družine Anatsa.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več