Важно: шифровальщик WannaCry!

18.05.2017
|
0 Комментарии
|

Уважаемые партнеры!

12 мая вредоносное ПО — шифровальщик WannaCry  —  нанесло ущерб сотням организаций в разных странах, в т.ч. в России. Вредоносное ПО зашифровывает персональные и критичные документы и файлы и требует от жертвы выкуп размером ~ $300 USD в BitCoin для предоставления ключа расшифровывания файлов.

Следует заметить, что решения Fortinet успешно блокируют эту атаку:
fortinet

  1. FortiGate IPS блокирует эксплоит.
  2. FortiSandbox выявляет вредоносное поведение.
  3. Антивирус Fortinet выявляет Wannacry в различных вариантах.
  4. Веб-фильтр FortiGuard классифицирует веб-сайты, к которым обращается Wannacry, как вредоносные (за исключением домена kill switch).
  5. Межсегментный сетевой экран (ISFW) FortiGate может остановить распространение вредоносного ПО.

 
Wannacry распространяется по принципу сетевого червя за счёт активного опроса ПК в сети по протоколу SMBv1 и порту 445 с целью выявления ПК, подверженных уязвимости Backdoor.Double.Pulsar. Если уязвимость присутствует на ПК-жертвы, она используется для доставки и запуска образца вредоносного ПО. Если нет, используется менее результативный способ эксплуатации.

По этой причине мы рекомендуем организациям временно (до обновления всех подверженных систем) заблокировать порт 445 от соединений извне, а также, при наличии технической возможности, использовать функциональность NGFW для полного блокирования протокола SMB.

Вредоносное ПО является модульным. Это значит, что оно позволяет злоумышленнику получить административные привилегии на ПК-жертве, что, в свою очередь, может быть использовано для загрузки дополнительных модулей вредоносного ПО. В одном из случаев, расследованных Fortinet, вредоносное ПО использовало уязвимость CVE-2017-0144 для получения доступа к системе. После этого был запущен загрузчик (dropper) для загрузки и запуска ПО шифровальщика.

Причиной этой уязвимости является переполнение буфера при разборе некорректно сформированного запроса Trans2 сервисом SMBv1. Успешная эксплуатация приводит к запуску кода в контексте приложения. Для эксплуатации не требуется аутентификация по SMB, именно это явилось основной причиной столь массового распространения Wannacry в локальных сетях.

Подробнее..

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

14 + семь =