Skoči na vsebino

SI-CERT 2017-03 / Širitev izsiljevalske okužbe WannaCry

Več ranljivosti v sklopu Microsoft varnostnega obvestila MS17-10, za katere popravek je sicer že dalj časa na voljo, omogoča širitev izsiljevalske okužbe WannaCry/Wcry prek omrežja.

Opis

Prejeli smo obvestila o zaznani hitri širitvi izsiljevalske okužbe WannaCry. Slednja za svojo širitev izrabljal ranljivosti opisane v Microsoft varnostnem obvestilu MS17-10, ki so bile zakrpane že s popravki meseca marca 2017. Zavoljo izrabljene ranljivosti je širitev okužbe lahko zelo hitra, sploh znotraj lokalnih omrežjih v skupnem omrežnem segmentu.

Zaščita

Skrbniki sistemov, ki tega še niso storili, naj nemudoma naložijo ustrezne popravke, kateri odpravljajo predmetne varnostne ranljivosti opisane v MS17-10. Ranljivost je bila tako odmevna, da je Microsoft izdal celo popravek za različice operacijskega sistema, ki jih uradno ne podpira več (Windows XP, Windows 8 in Windows Server 2003).

Skrbniki omrežij lahko v namen zaščite pred okužbo na požarnih pregradah blokirajo dohodni promet na vratih TCP/445 (SMB over IP). Pred postavitvijo je potrebno preveriti, da tovrstna blokada ne bo blokirala tudi morebitnih legitimnih povezav oz. prometa.

Rešitev v primeru okužbe

V primeru okužbe v določenih primerih obstaja možnost, da se s pomočjo orodja  pridobi šifrirni ključ, s katerim se restavrira zašifrirane datoteke. Orodje šifrirni ključ restavrira iz podatkov, ki jih pridobi iz delovnega pomnilnika okuženega računalnika. Za uspešno pridobitev šifrirnega ključa morata biti izpolnjena naslednja pogoja:

  • okužen računalnik po okužbi ni bil ponovno zagnan;
  • relevantni podatki v pomnilniku niso bili prepisani.

Navodila za uporabo orodja so na spletni strani https://blog.comae.io/.

Povezave

Preberite tudi

SI-CERT TZ012 / Analiza večstopenjske okužbe s trojanskim konjem Agent Tesla

Agent Tesla je trojanski konj za oddaljeni prevzem sistema (RAT, Remote-Access Trojan), ki se je prvič pojavil že leta 2014, prvo okužbo z njim pa na SI-CERT beležimo v letu 2019. Postopek okužbe se začne z Microsoft Office priponko, ki prispe po elektronski pošti. Proces okužbe vsebuje več stopenj.
Več

SI-CERT 2022-01 / Kibernetski napadi, povezani z vojno v Ukrajini

Trenutno v Sloveniji ne zaznavamo aktivnosti, ki bi bile neposredno povezane z napadi v Ukrajini, vendar bomo na SI-CERT še naprej pozorni na nadaljnji razvoj situacije. Organizacijam in posameznikom podajamo osnovne napotke za zaščito.
Več

SI-CERT TZ011 / Napadi z izsiljevalskimi virusi

Do leta 2019 so bile žrtve vdorov izbrane naključno, v obdobju po tem pa so napadi bolj ciljani. Vektorja okužbe sta elektronsko sporočilo z zlonamerno priponko ali vdor skozi neustrezno zaščitene storitve za oddaljen dostop (Remote Desktop). Storilci izkoriščajo tudi nove ranljivosti, ki omogočajo nepooblaščen vstop v omrežje.
Več