Le macchine sono state riparate contro WannaCry protetto dagli attacchi di Petya in corso?

Naviga le tue risposte
9

Il nostro ambiente ha alcuni server Windows 2012 R2 già corretti contro il ransomware WannaCry. L'aggiornamento installato era KB4012213.

  • È abbastanza buono da proteggere dagli attacchi di Petya in corso?
  • Qualsiasi altra cosa dovremmo fare se non disabilitare il servizio SMB se inutilizzati?
  • Si diffonde attraverso i computer collegati in rete senza l'intervento dell'utente?
posta Sree 27.06.2017 - 20:26
fonte

2 risposte

9

Assicurarsi che SMBv1 sia disabilitato è un buon inizio per la protezione contro l'exploit Ethernalblue.

Il malware utilizza anche gli strumenti WMIC e PSEXEC per infettare le macchine che sono computer Windows con patch complete. Disabilitare WMIC è consigliabile vedere qui su come disabilitare WMIC: link

Ho visto anche persone che dicono di bloccare l'uso remoto degli account locali tramite GPO, ma non ho ancora visto troppo su questo.

Ci sono anche rapporti che dicono che pagare il riscatto non ti ricompenserà con la chiave di decrittazione dato che l'e-mail utilizzata è stata bloccata.

Ci sono stati anche solo alcuni rapporti che, se si spegne la macchina non appena il messaggio appare, non crittograferà i file. link

UPDATE: Sembra che ora ci sia un kill switch trovato per fermare l'attacco tutto quello che devi fare è creare una cartella C: \ Windows \ perfc

link

    
risposta data 27.06.2017 - 21:07
fonte
2

Per proteggersi dal virus Petya:

Crea un file perfc.dll

Al momento dell'attacco, Petya cerca il file C: \ Windows \ perfc.dll. Se un tale file sul computer esiste già, allora virus termina senza infezione.

Per creare un file di questo tipo da proteggere contro Petya, puoi usare il solito "Blocco note". Gli esperti consigliano anche di rendere il file di sola lettura in modo che il virus non possa apportarvi alcuna modifica.

Installa patch di sicurezza

Il virus si diffonde anche attraverso le vulnerabilità di Windows CVE-2017-0199 e CVE-2017-0144. Si consiglia di installare patch di sicurezza che le chiudano:

link link

Abbiamo bisogno di installare patch di sicurezza non solo per Windows, ma anche per Microsoft Office.

È inoltre necessario installare patch che coprano la vulnerabilità precedentemente sfruttata per WannaCry:

link

Aggiorna firme antivirus

Il database delle firme dei software antivirus dovrebbe essere aggiornato dal 27 giugno 2017 non prima delle 20:00.

Blocca risorse

Il virus utilizza i seguenti indirizzi, dovresti bloccarne l'accesso: 

— 84.200.16[.]242
— 84.200.16[.]242/myguy.xls 
— french-cooking[.]com/myguy.exe
— 111.90.139[.]247
— COFFEINOFFICE[.]XYZ

Importante! I punti sono impostati per motivi di sicurezza. Non fare clic sui collegamenti. Questi indirizzi sono pubblicati per bloccarli manualmente.

Disabilita porte TCP

Se la rete ha già workstation o server infetti, è necessario disabilitare le porte TCP 1024-1035, 139 e 445.

Disattiva protocollo SMB

Se non è possibile installare gli aggiornamenti di sicurezza, disabilitare il protocollo SMB v1 / v2 / v3 su workstation e server.

Ulteriori informazioni: link

Configura il blocco degli attacchi

Nel caso delle funzionalità di sicurezza NGFW / NGTP / IPS, configurare il blocco degli attacchi che sfruttano EternalBlue (MS17-010).

    
risposta data 28.06.2017 - 11:56
fonte

Leggi altre domande sui tag

Quale software FOSS ti piace usare per costruire stack di intrusion detection? Come può la ricerca di Google cambiare la posizione in un suggerimento URL?