Skoči na vsebino

SI-CERT 2017-03 / Širitev izsiljevalske okužbe WannaCry

Več ranljivosti v sklopu Microsoft varnostnega obvestila MS17-10, za katere popravek je sicer že dalj časa na voljo, omogoča širitev izsiljevalske okužbe WannaCry/Wcry prek omrežja.

Opis

Prejeli smo obvestila o zaznani hitri širitvi izsiljevalske okužbe WannaCry. Slednja za svojo širitev izrabljal ranljivosti opisane v Microsoft varnostnem obvestilu MS17-10, ki so bile zakrpane že s popravki meseca marca 2017. Zavoljo izrabljene ranljivosti je širitev okužbe lahko zelo hitra, sploh znotraj lokalnih omrežjih v skupnem omrežnem segmentu.

Zaščita

Skrbniki sistemov, ki tega še niso storili, naj nemudoma naložijo ustrezne popravke, kateri odpravljajo predmetne varnostne ranljivosti opisane v MS17-10. Ranljivost je bila tako odmevna, da je Microsoft izdal celo popravek za različice operacijskega sistema, ki jih uradno ne podpira več (Windows XP, Windows 8 in Windows Server 2003).

Skrbniki omrežij lahko v namen zaščite pred okužbo na požarnih pregradah blokirajo dohodni promet na vratih TCP/445 (SMB over IP). Pred postavitvijo je potrebno preveriti, da tovrstna blokada ne bo blokirala tudi morebitnih legitimnih povezav oz. prometa.

Rešitev v primeru okužbe

V primeru okužbe v določenih primerih obstaja možnost, da se s pomočjo orodja  pridobi šifrirni ključ, s katerim se restavrira zašifrirane datoteke. Orodje šifrirni ključ restavrira iz podatkov, ki jih pridobi iz delovnega pomnilnika okuženega računalnika. Za uspešno pridobitev šifrirnega ključa morata biti izpolnjena naslednja pogoja:

  • okužen računalnik po okužbi ni bil ponovno zagnan;
  • relevantni podatki v pomnilniku niso bili prepisani.

Navodila za uporabo orodja so na spletni strani https://blog.comae.io/.

Povezave

Preberite tudi

SI-CERT 2025-02 / Okužbe s kombinacijo tipk v lažnih CAPTCHA preverjanjih

Zlorabljena spletna stran zahteva izpolnitev lažnega CAPTCHA obrazca prek kombinacije na tipkovnici Win + R, Ctrl + V in Enter. V primeru izvedbe teh pritiskov na tipkovnici, pride do okužbe računalnika
Več

SI-CERT TZ016 / BeaverTail & InvisibleFerret

Podjetje, ki deluje na področju Web 3 tehnologij, nas je obvestilo, da so dobili ponudbo za sodelovanje s strani tujega podjetja. Tekom komunikacije so poslali povezavo do nekega, na prvi pogled, povsem običajnega predstavitvenega projekta, ki pa ob zagonu izvede tudi zlonamerno kodo, ki ukrade podatke in vzpostavi stranska vrata do okuženega sistema. Cilj napadalcev je bil pridobiti shranjene podatke spletnih brskalnikov (shranjena gesla, seje, zgodovina, itd.) in kreditne kartice.
Več

SI-CERT 2025-01 / Prevzemi in kreiranje Telegram računov brez vednosti uporabnikov telefonskih številk

Že nekaj mesecev obravnavamo primere ustvarjanja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade.
Več