Ataques do WannaCry

removido
(usa Nenhuma)

Enviado em 18/05/2017 - 14:04h

Qualquer S.O é vulnerável não existe sistema 100% seguro.

LSSilva
(usa Outra)

Enviado em 19/05/2017 - 09:04h

Concordo com seu ponto de vista, concordo com o marketing que será gerado em cima desses antivírus agora com essa onda de ransonware e "tals", porém tenho que te relatar, como alguém que testou as ferramentas descritas, que são, no mínimo, funcionais (apesar de carecer de alguns testes mais para comprovar total eficácia, se mostraram efetivas evitando execução/propagação de ransonware). Imagino (somente imagino) que neste cenário que relatou com Win-Server 2012 + Kaspersky, o dito Kaspersky não contava com ferramenta integrada anti-ransonware, o que me leva a crer que seria legal se testasse (muito pouca gente conhece este 360 security), haja vista que o vírus compromete sistemas "janelas-based" e comumente o Kaspersky não possui, por padrão, este recurso em sua instalação base.
Não me leve a mal, gostaria apenas de relatar para muitas pessoas que tenho tido tranquilidade utilizando as ferramentas descritas (pode ser uma tranquilidade ilusória e passageira), porém seria legal um teste.

removido
(usa Nenhuma)

Enviado em 19/05/2017 - 14:23h

O anti-ransonware em antivírus é muito genérico como no Kaspersky e no 360 security por exemplo ate onde eu sei ransonware é algo relativamente novo no cenário (1989 por Joseph L. Popp).

https://blog.kaspersky.com.br/primeiro-ransomware-brasileiro/5877/

http://www.afrikatec.com.br/serie-a-evolucao-do-ransomware-parte-2-a-origem/

https://blog.kaspersky.com.br/como-o-kaspersky-internet-security-protege-voce-do-ransomware/5304/

https://go.kaspersky.com/Anti-ransomware-tool.html

https://canaltech.com.br/dica/antivirus/os-melhores-antivirus/

Comentário:

Carlos Gilson
360 Total Security??? Isso é uma carniça, réplica do Baidu, só tem propaganda e não pega nada.


Meu voto vai para o projeto clamav-unofficial-sigs é comunitário e teoricamente tem maior base, possui mais recursos (antiphishing, antimalware, antiadwares e outros) boa heurística.


http://sanesecurity.com/

http://fabiojanio.com/?p=305


clamav-unofficial-sigs - script de atualização para assinaturas clamav de terceiros

Para instalar

apt-get update
apt-get install -y clamav-unofficial-sigs


Para atualizar

clamav-unofficial-sigs



fazer as varreduras.

# clamscan -r -i $HOME

# clamscan -r -i /

Obs: a opção -r ira fazer a varredura em todos os subdiretórios abaixo do $HOME e a opção -i vai exibir os arquivos infectados.



Informação em:

clamav-unofficial-sigs -h

man clamav-unofficial-sigs



Fontes:

Sanesecurity
SecuriteInfo
MalwarePatrol

removido
(usa Nenhuma)

Enviado em 20/05/2017 - 16:24h

Quais as politicas de segurança que você usam contra isso:

1- técnicas de phishing

2- vulnerabilidade (EternalBlue/MS17-010) referente ao protocolo Server Message Block (SMBv1 e SMBv2) que permite a execução de código remoto ou, em alternativa, a um backdoor (DOUBLEPULSAR).

3- A ameaça propaga-se através de um anexo de correio eletrônico ou através de outros computadores comprometidos na mesma rede graças a um executável, com características de worm que procura replicar-se por servidores Windows que estejam acessíveis através da porta 445.

-------------------------


endereços bitcoin incorporados no software malicioso foram monitorizados através de um bot.




Infecção

A divulgação de exploits pelo grupo The Shadow Brokers a 14 de abril de 2017[21][22] levou ao lançamento de uma correção crítica pela Microsoft em março de 2017.[13] A técnica de exploração utilizada pelo malware deve-se a uma vulnerabilidade (EternalBlue/MS17-010) referente ao protocolo Server Message Block (SMBv1[23] e SMBv2[24][25]) que permite a execução de código remoto ou, em alternativa, a um backdoor (DOUBLEPULSAR).[26][17]

O ransomware foi detectado pela primeira vez no início de fevereiro de 2017.[27][28] A ameaça propaga-se através de um anexo de correio eletrônico ou através de outros computadores comprometidos na mesma rede graças a um executável, com características de worm[29][30], que procura replicar-se por servidores Windows que estejam acessíveis através da porta 445.[31][32] Após ganhar acesso a um sistema, procede à sua replicação e execução, tentando depois a ligação a um domínio na Internet.[17] Caso esta ligação seja bem-sucedida, o processo é terminado sem que a sua componente de ransomware seja executada. Em caso contrário, um ficheiro comprimido e protegido por palavra-passe é extraído para o sistema e executado.[17] A ameaça procede depois à extração de um cliente TOR, para a comunicação com os servidores de comando e controlo[33]; e à alteração de privilégios do utilizador de modo a facilitar a criptografia dos dados.

Após a encriptação dos dados, serviços relacionados com a recuperação de dados e restauro do sistema são desativados pelo ransomware. Como acontece com ameaças semelhantes, é exigido o resgate dos dados através do pagamento de $300 em bitcoin num prazo de três dias, e com a ameaça de destrução dos dados caso esta quantia não seja paga.[34] A mensagem foi traduzida para mais de vinte idiomas.[35]


Mesmo que esteja relacionado somente ao Rwindows é legal verifica a versão do protocolo SMB (Server Message Block) no linux.

http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=samba

https://www.samba.org/samba/history/samba-4.2.14.html


Fontes:

https://pt.wikipedia.org/wiki/WannaCry
http://techmob.com.br/o-que-e-wannacry-ransomware-e-como-se-proteger/