Cosa succede se esegui WannaCry dopo aver installato le patch necessarie?

66

Comprendo che WannaCry si diffonde sfruttando la vulnerabilità SMBv1, che viene riparata dalla patch MS17-010.

Questo significa che anche con la patch installata, WannaCry può ancora infettare il computer - se l'utente lo scarica ed esegue - ma non si propaga attraverso la rete del computer?

Windows Defender / eventuali software di sicurezza attuali bloccano l'esecuzione di WannaCry se, ad esempio, un utente lo esegue?

    
posta Lh Lee 22.05.2017 - 06:36
fonte

3 risposte

95

Se scarichi ed esegui WannaCry, bloccherà comunque i tuoi file e tenterà di infettare altri computer privi di patch nella rete.

WannaCry richiede solo l'exploit SMB per ottenere in un sistema, non per uscire. Una volta che ha il controllo del tuo sistema, non ha bisogno dell'exploit per eseguire codice arbitrario, incluso il worm. La patch MS17-010 protegge il tuo computer dall'essere infetto da questo exploit, ma non impedisce al tuo computer di infettare altri computer sulla stessa rete se questi non vengono riparati.

Per proteggere altri computer sulla rete, è necessario bloccare tutto il traffico in uscita sulla porta 445. Non ho (ancora) visto WannaCry provare e aggirare una porta in uscita bloccata.

Ci sono diverse varianti di WannaCry là fuori. Tutti sembrano essere rilevati dai principali software antivirus, tra cui Windows Defender. È possibile visualizzare un elenco completo di software antivirus che rilevano una versione specifica su Total virus, ad es. per questo esempio . comae.io sembra avere una compilation decente di varianti trovate in natura che puoi cerca su Total virus.

    
risposta data 22.05.2017 - 12:27
fonte
17

Ci sono due attori nella difesa contro WannaCry.

Da un lato, c'è Microsoft, responsabile della risoluzione della modalità spreadability simile a worm, sfruttando come hai detto la vulnerabilità MS17-010 e utilizzando gli exploit EternalBlue e DouplePulsar rilasciati dagli Shadow Broker.

D'altra parte, ci sono i produttori di antivirus, che hanno bisogno di aggiornare le loro firme per proteggere effettivamente il sistema.

Quindi, se installi le patch (suppongo che tu stia facendo riferimento alle patch di Microsoft), stai proteggendo la tua rete dal punto di vista che non stai consentendo al malware di diffondersi attraverso MS17-010. Tuttavia, hai ancora bisogno di un antivirus aggiornato per proteggere i file in il tuo sistema .

Aggiorna

Per completezza, come ha sottolineato Knbk nella sua risposta, WannaCry potrebbe infettare altre macchine nella rete senza sfruttare MS17-010. Ciò sarebbe possibile se tali macchine hanno volumi condivisi con l'host infetto, ma se non è questo il caso, WannaCry utilizza l'exploit per spostarsi orizzontalmente su tutta la rete, raggiungendo quindi più computer. Precisamente, questo comportamento simile a un worm è ciò che lo ha reso al di sopra del resto del ransomware là fuori, perché solitamente il ransomware si basa su come ingannare l'utente per essere infettato.

    
risposta data 22.05.2017 - 09:22
fonte
4

Le versioni precedenti di WannaCry non si diffondevano tramite SMB, quindi sì - è assolutamente possibile che il PC venga infettato da WannaCry.

Leggi di più qui: link

Bitdefender, Symantec, Norton e probabilmente tutti i principali software antivirus dovrebbero essere in grado di rilevare e bloccare WannaCry nelle loro versioni più aggiornate.

È stato suggerito che si diffondesse prima via email, ma da quello che so non è ancora confermato.

Tieni presente che esistono più versioni di WannaCry e non tutte si diffondono nello stesso modo.

    
risposta data 22.05.2017 - 07:22
fonte

Leggi altre domande sui tag