WannaCry – ultimele informații primite de la Kaspersky Lab

3 min.
teodor ciontu
teodor ciontu


Preluare integrală a comunicatului de presă Kaspersky Lab din 15 mai 2017.

Pe 12 mai, organizații din toată lumea au fost afectate de un atac masiv de tip ransomware, denumit WannaCry, care a folosit o vulnerabilitate (rezolvată acum) a Microsoft Windows, dezvăluită în cazul Shadowbrokers, din 14 martie.

Cercetătorii Kaspersky Lab au continuat să urmăreasca evoluția acestei amenințări pe parcursul weekend-ului.

Evoluția programului ransomware

Numărul total de variante aflate în circulație luni, 15 mai, este încă neclar, dar în timpul weekend-ului au apărut două variante demne de menționat. Kaspersky Lab nu crede că aceste două variante au fost create de autorii inițiali. Cel mai probabil, au fost create de alții care au dorit să profite de atac, urmându-și propriile scopuri.

wannacry_05-1024x774.png

Prima a început să se răspândească duminică dimineața, în jurul orei 02.00 UTC/GMT și se conecta la un domeniu diferit. Kaspersky Lab a observat, până acum, trei victime ale acestei versiuni, localizate în Rusia și Brazilia.

Prima variantă care a apărut în weekend pare să fi fost creată pentru a înlătura acel killswitch.

Această versiune nu pare să se răspândească, posibil din cauza faptului că are un bug.

Numărul infectărilor până în prezent 

O analiză amănunțită sugerează posibilitatea ca programul ransomware WannaCry să fi început să se să răspândească  încă de joi, 11 mai.

Este dificil de estimat numărul total al infectărilor. Sistemul nostru indică faptul că peste 45 000 de utilizatori au fost atacați , dar acest număr reprezintă o fracțiune din numărul total al atacurilor (reflectând ponderea utilizatorilor Kaspersky Lab.)

O perspectivă mai clară asupra situației globale poate veni de la serverul de sinkhole pentru domeniul pe care malware-ul îl verifica inainte de a porni prodedura de criptare, acesta fiind setat static în majoritatea versiunilor WannaCry. Până în prezent, Malwaretech, care colectează redirecționările de la codul “kill switch”, a înregistrat în jur de 200.000 de atacuri.

Trebuie menționat faptul că acest număr nu include infectările din interiorul rețelelor corporate, unde este nevoie de un server proxy pentru conectarea la Internet, ceea ce înseamnă că numărul real al victimelor ar putea fi mai mare.

De luni, 15 mai, de la ora 6:00 UTC/GMT , Kaspersky Lab a observat în jur de 500 de noi încercări de atacuri WannaCry asupra bazei sale de clienți.

Prin comparație, vineri, 12 mai, au fost de șase ori mai multe încercări doar în decursul primei ore de la demararea atacului. Acest lucru sugerează că infecția începe să fie ținută sub control.

Sfaturile Kaspersky Lab pentru a reduce riscul infectării:

  • Instalati patch-ul oficial de la Microsoft, care rezolvă vulnerabilitatea folosită în acest atac (sunt, de asemenea patch-uri disponibile pentru Windows XP, Windows 8 și Windows Server 2003)
  • Asigurați-vă că soluțiile de securitate sunt pornite în fiecare nod de rețea.
  • Celor care nu folosesc soluțiile Kaspersky Lab, le recomandăm să instaleze versiunea gratuity Kaspersky Anti-Ransomware Tool for business (KART).
  • Dacă utilizați o soluție Kaspersky Lab, asigurați-vă că include System Watcher  o component de detecție proactivă bazată pe analiza comportamentală și că este pornită.
  • Lansați funcția Critical Area Scan a soluției Kaspersky Lab pentru a detecta posibile infectări cât mai repede (altfel, acestea vor fi detectate automat, dacă nu funcția nu este oprită, în 24 de ore).
  • Faceți reboot sistemului după detectarea MEM: Trojan.Win64.EquationDrug.gen.
  • Folosiți servicii de raportare privind informațiile despre amenințări, disponibile pentru clienți, pentru a fi la curent cu posibile atacuri.

WannaCry vizează, de asemenea, sisteme integrate. Vă recomandăm să vă asigurați că soluțiile dedicate de securitate pentru sisteme integrate sunt instalate și că ambele au protecție anti-malware și funcționalitate Default Deny activate.

Informații tehnice

O descriere detaliată a metodei de atac Wannacry, precum și indicatorii de compromitere, sunt disponibile în articolul de vineri, 12 mai, de pe Securelist. Articolul urmează să fie actualizat.

Log-uri de rețea Kaspersky Lab și date din SANS ISC (https://isc.sans.edu/port.html?port=445):

Cele două noi versiuni ale programului ransomware WannaCry sunt următoarele:

Versiunea 1: md5: d5dcd28612f4d6ffca0cfeaefd606bcf

Conectată la: ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Versiunea 2: md5: d724d8cc6420f06e8a48752f0da11c66

Te-AI pregătit pentru ce vine?
Abonează-te la "Pulsul AI", newsletter-ul care te ține la zi cu noutățile din Inteligența Artificială. Fără hype sau panică. Doar ce contează.

Ultimele Știri

Noutăți din AI

Pulsul Tehnologiei | pt.ro
Pasionați de tehnologie din fragedă pruncie. Dornici de a cunoaște ce e în spatele ecranului de la televizorul cu lămpi încoace. Dar dincolo de "gadget-uri", vrem să observăm, înțelegem și să explicăm impactul tehnologiei asupra a tot ce mișcă, de la om la furnică, de la cătunul din creierul munților până la întreg satul global. Pe scurt vrem să fim la curent cu tot ce se întâmplă în cea mai importantă îndeletnicire a omului: crearea de unelte pentru viețuirea, supraviețuirea, și de ce nu, evoluția în planul fizic. De metafizic ne ocupăm pe alt blog.
Contactați-ne: teo@pt.ro
Facebook Twitter Youtube
© Pulsul Tehnologiei | pt.ro 2022