I domaći MUP žrtva ransomware napada

Ljudi patchirajte dok je zatišje. Pitanje je vremena kad će opet

https://www.tportal.hr/tehno/clanak/evo-kako-se-mozete-zastititi-od-globalnog-kibernetickog-napada-20170513

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Zakrpa sluzi samo da se Ransomware ne prosiri po mrezi (slicno kao crv) nece vam pomoci u tome da vas zastiti od enkripcije podataka.

BTW:  2. runda je vec pocela...nema KillSwitch-a 

WannaCry 2.0 

Koje legende majke mi.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

ja sam na 8.1 64-bit, ima li netko da se kuži u ovo da mi samo potvrdi jesam dobro skinuo s linka poviše, uzeo sam Windows 8.1 for x64-based Systems (4012213) Security Only[1]

hvala!

 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216

Provjeri u history update imaš li zakrpu, trebao bi ako ti je update na auto.

nemam instaliranu sigurno jer mi je ovo na prastarom pc-u na kojem su mi isključene

ali i dalje ne kužim koju trebam skinuti, u ovim objavama su dali info da treba skinuti MS17-010 (KB4013389), i kada odem tamo, pronađem za svoj OS (8.1 64-bit), to ispadne 4012213.

da li je to to? radije ne bih stavljao taj monthly što si dao link ako mogu ovu pojedinačnu

 A tko koga sluša u GB gdje 'National Health Service' koristi Xp i odgađao je preglede radi napada? Da se to desilo u RH bilo bi glupi balkanci ...

https://www.google.hr/amp/s/amp.theguardian.com/technology/2017/may/12/nhs-ransomware-cyber-attack-what-is-wanacrypt0r-20

Sve to štima ali dojam je krivi, i onda imaš klasičnu paniku kao da je to puno opasnije(a nije) od bilo kojeg drugog Ramsomware alata. Ovako kako se to okvirno prezentira, WannaCry gamad kao da na daljinu sama bez pomoči smotanog korisnika uskače u Windowse.

WannaCry 1 ili 2 nije daljinski upravljač, preko kojeg hakeri iz recimo Sibira skeniraju portove i uletavaju na Windowse kak im se sprdne.

I dalje je neupučen/neiskusan/nezaštičen=ne koristi Adblock korisnik največi problem, i opet se njega cilja preko raznih Malwaretising/Exploit browser zamki.Dakle kratko i jasno, neiskusnom korisniku bude namjerno ili ciljano podvaljeno/poslan Mail ili neko reklamno Malwaretising sranje, pa onda to ekipa instalira ili preuzme da vidi o čem se turadi.Ako je cijela bolnica umrežena, dosta je da Ramsomware zamka upeca/instalira samo jedan komp ili zafrkne samo jednog korisnika.Dalje je sav posao vrlo lagan za WannaCry, fino se elegantno proširi po mreži kompova kao nož u putar.Ako se i ne može proširit, dakle propust je zakrpan opet če zeznut jedan komp+enkripcija tražeči šaku dolara itd.

http://www.bug.hr/forum/topic/komentari-it-vijesti/hrvati-opet-zrtve-ransomwarea/232314.aspx?page=0&jumpto=4835979&sort=asc&view=flat

Ne kaže se badave, bez dobrog Browser AdBlock alata danas ne moš niti na zahod to sigurno.Kad kod sebe vidim, kolku količinu raznog iskakajučeg smeča ili reklama poblokira UBlock Origin jezuš kristuš.

Realno WannaCry nije ništa posebno, a pogotovo nije jedini takav Ransomware koji se mrežno širi kud god stigne pa onda enkripcija+otkupnina itd.

Ovaj dolnji link je okačen u gornjem linku, ali nije ga loše posebno istaknut to sigurno.Ako se WannaCry širi i na ovaj način, dakle bez klikanja na bilo šta to je onda največi problem u praksi=Browser Exploit.

https://blog.malwarebytes.com/threat-analysis/2015/04/a-history-lesson-brought-to-you-by-the-nuclear-exploit-kit/?utm_source=facebook&utm_medium=social

Malwaretising Ransomware napadi traju več godinama, i to na vrlo poznatim stranicama koje hakeri lako razvale pa natrpaju razno smeče.Eto sad se digla ogromna panika, samo zato kaj su uspjeli zarazit par bolnica pa eto panike na kvadrat.

https://blog.malwarebytes.com/threat-analysis/2015/09/large-malvertising-campaign-goes-almost-undetected/

Za pocetak evo jedan slican ovom koji se poceo sirit (vjerojatno ce uskoro biti jos i vise ovakvih)...

Uiwix Ransomware Is Here and It Can Be Worse Than Wannacry

As we feared in yesterday’s alert, another ransomware variant, known as Uiwix, has begun to spread by exploiting the same vulnerability in Windows SMBv1 and SMBv2 as WannaCry used. Cyber criminals are quick to incorporate vulnerabilities, especially when they have the potential to infect a large number of targets like the EternalBlue exploit has.

As expected, this strain does not include a killswitch domain, like WannaCry did.

We reckon that this is the first of many variants to follow, which will aim to exploit this vulnerability and infect as many devices as possible until the necessary patch is applied.  Uiwix also has self-replicating capabilities, as WannaCry did,

Uiwix works in the same way as other ransomware variants. When the encryption starts, it adds the .uiwix extension to all the infected files. Additionally, it will drop a text file called “_DECODE_FILES.txt” that contains the requirement for decryption payment.

https://www.rt.com/uk/388334-cyber-attack-nuclear-weapons-trident/

 Tako je. Znači ako se zarazi jedno računalo u mreži, ako nema sigurnosni softver koji će ga detektirati i uklati, ponašat će se kao klasični ransomware, enkriptirati će podatke na računalu, plus sve ostala mjesta poput mrežnih diskova gdje trenutno logirani korisnik ima NTFS permissions Read-Write prava. I to nebi bilo ništa novo u svijetu ransomwarea, da nije tog famoznog NSA exploita koji se nakači na zastarjeli file sharing SMB v1.0 protokol koji je na svim windows mašinama uključen pod default kao legacy support feature.

Što znači bez obzira da li trenutačno zaraženo računalo tj. account trenutno logiranog korisnika ima read-write access prava prema ostalim strojevima u mreži, wannacry se također širi kao stari klasični worm preko tog exploita što ga praktički u okruženjima gdje nemaju 2 mjeseca star patch fix izdan od Microsofta, čini taj ransomware praktički nezaustavljivim ako je stanje okruzenja sljedeće:

Sad su tu dvije varijacije u pitaju:

Na win  Vista, 7, 8.1, 10, Server 2012R2, Server 2016 strojevima, tj. OS-ovi kojeg MS jos uvijek trenutno oficijalno podrzava (osim viste ali su svejedno izdali) i izdaje zakrpe to nebi bio problem  jer je MS izdao patch prije 2 mjeseca koji popravlja taj exploit pa čak i ako je SMB v1.0 uključen malware se neće moći širiti preko tog exploita, nego bi napravio štetu na lokalnom računalu plus gdje user ima permission prava i to bi bio kraj priče, klasični ransomware stuff.

Ali ni to nebi bio problem da ekipa koja je zaduzena za administraciju istih (ili u većini slučajeva glavešine zaduzene za odobravanje sredstava istima) radila svoj posao pa da su stavili bilo kakav solidan AV/Firewall/UTM koji će ga uredno detektirati kao prijetnju jer nema validan digitalni certifikat/signature te ga izolirati, jer rješenja bazirana isključivo na blacklistama tj. tipa klasični Antivirusi koji dobivaju definicije tek kada se naknadno otkriju jednostavno ne pomazu protiv ovakve gamadi, a opet ih propuštaju umjesto da ih stave u sandbox monitoring okruzje gdje ih se izolira i analizira pa se onda stavljaju u whitelistu ili blackistu koje koriste bolje slozeni sigurnosni paketi bilo plaćeni bilo free verzije.

Najsmješnije je to što su ga obična free rješenja poput comodo Firewall/Internet Security paketa i slični za mase uredno detektirali i prije nego je krenula halvarija,  što znači da je sigurnosna politika tih ustanova bila na razini dječijeg vrtića ili ekipa jednostavno nije dobila sredstva/odobrenje za uspostaviti reda u okruzenju. Pick one, vjerovatno oboje je bilo u pitanju.

Na Win XP, Win 8, and Win Server 2003, tj. OS za koje MS oficijalno više ne izdaje zakrpe (osim sa određenim velikim igračima sa kojima imaju vrlo unosan ugovor) ovaj exploit je bio veliki problem iz dva razloga, opet nisu imali dobru zaštitu i sigurnosnu praksu u okruzenju, da blokira gamad, a usput nisu imali ni patch za smb exploit  jer ga je MS izdao tek kad se zaraza proširila diljem planete, ovako je prošišao kroz sve živo na tim starijim OS-ovima kao i kroz ove novije koji nisu imali patch.

Osim što se propagira u lokalnom okruženju, sa svakog zaraženog stroja je automatski skenirao i tražio upite na vanjske random IP adrese te trazio računala sa otvorenim SMB 445, 137-138 portovima prema netu.Uglavnom šou program, teraj cirkus. Ljudski nemar, neznanje, neprofesionalnost i genijalan NSA exploit čuda rade.

Greška frende samo u jednom koraku. Ti kao korisnik tj. logirani user account, i tvoj stroj općenito nesmijete imati nikakav Write Access prema NAS uređaju (jedino ako si mislio da je to restricted), jer ako ti uleti ransomware, ode ti i stroj i NAS, ako ti je account imao Write access prema NAS folderima. Znači pomaze jedino ako si stavio samo READ access na svoj account/stroj, da kopiraš nazad backupirane podatke na PC i ostale uređaje u mrezi kada ti trebaju sa NAS uređaja.

Instaliraš neki backup softver/modul na NAS i namjestis šta želiš da NAS vuče/backupira sa tvog stroja (foldere,fajlove, OS image itd.) znači NAS ima pristup tvom stroju a ne suprotno i to inkrementalni backup na dnevnoj bazi, pa ako te pljune da se pokrene backup nakon što si popušio zarazu, onda vratiš samo onaj zadnji backup koji je valjao, i nisi izgubio puno podataka, eventualno 1 day of work (sigh znam, ponekad najgore je popušit jedno vrlo produktivno jutro/podne rada poslje posljednjeg backupa)

Ovo sync na Onedrive je odličan dodatni korak.