O que fazer contra o Wannacry: dicas e truques

Na sexta-feira, um novo vírus Wannacry foi lançado para infectar máquinas Windows com ransomware e foi muito bem sucedido até que MalwareTech descobriu que havia um “interruptor de matar” no código, então eles seqüestraram o DNS para esse domínio e impediram a disseminação das infecções.

A Wannacry também possui capacidades de vermes, o que significa que irá começar a digitalizar máquinas na rede local para atacar e também máquinas na Internet. Este é um malware muito PERIGOSO.

Observação importante: este “interruptor de matar” funcionou para PCs de consumo que estão diretamente conectados à Internet, mas em um ambiente corporativo a tentativa de se conectar ao domínio usado pela Wannacry será bloqueada, seja no firewall ou no proxy da Web. Portanto, isso não impedirá a infecção interna!

As empresas anti-vírus já estão vendo novas variantes com novos domínios de DNS ou sem a “mudança de matar”, então a batalha ainda está em andamento. Neste blog, queremos fornecer algumas dicas e truques para parar as infecções, detectar máquinas impactadas e fornecer um plano de ação para hoje.

Troy Hunt iniciou um blog imediatamente na sexta-feira que contém informações técnicas sobre o malware e tem algumas estatísticas agradáveis. Tenho certeza de que Troy vai discutir isso mais detalhadamente no workshop que organizamos nos dias 1 e 2 de junho em Leuven. Contacte-nos se quiser participar!

Então, se você é responsável pela segurança da rede em sua organização, isso é o que você precisa fazer primeiro:

  1. Certifique-se de que você bloqueia o TCP 445 (SMB) no seu firewall de rede de entrada e saída!
  2. Monitore seus logs de firewall para o TCP 445 de saída bloqueado, qualquer máquina que esteja tentando se conectar a endereços IP públicos externos provavelmente está infectada.
  3. Verifique se todas as estações de trabalho e servidores do Windows instalaram o patch MS17-010. Você pode usar varreduras de vulnerabilidade para verificar isso
  4. Atualize seu antivírus em todos os lugares:
    1. Inspeção de conteúdo de firewalls
    2. Gateways da Web
    3. Servidores
    4. Estações de trabalho
    5. Servidores de backup
  5. Monitore seus registros anti-vírus para detecções do Wannacrypt. Se o seu antivírus detectar o Wannacrypt em sua rede interna, você tem algum lado uma máquina infectada que ataca outros dispositivos internos!
  6. Configure sua detecção de intrusão de rede (IDS) para detectar varreduras Wannacrypt e as explorações NSA relacionadas. Se você não possui IDS, instale Snort ou Suricata com as regras 42329-42332, 42340, 41978 para detectar Wannacry.

Quem é afetado

Quem: todos

Software afetado: Windows XP, Windows 7, Windows 2003

Impacto: criptografia de dados ALL armazenados localmente e em servidores de arquivos. O Ransomware irá atacar outras máquinas na rede interna e também na Internet.

Solução

  • Instale todos os patches mais recentes para todos os seus sistemas operacionais!
  • Atualize os mecanismos anti-vírus.
  • Informe o seu SOC para aumentar o monitoramento de ataques e tentativas.
  • Vulnerabilidade de varredura de todos os seus endereços IP para detectar máquinas vulneráveis ​​/ desonesto / desconhecidas.
  • Defesa em profundidade: reveja suas políticas de firewall, políticas de acesso remoto, …
  • Informe seus parceiros com conexões remotas ao seu ambiente para o patch o mais rápido possível!
Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s