Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

I "Commenti" ad ogni articolo pubblicato sul nostro sito sono raccolti qui.
Regole del forum
Puoi rispondere alle discussioni già presenti, ma non aprirne di nuove.
Avatar utente
malefika
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 116
Iscritto il: mer set 18, 2013 7:20 pm
Località: Salerno
Contatta:

Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da malefika »

Wannacry, il ransomware che infetta i PC non aggiornati

Immagine

Quando tecnici e aziende ci raccomandano di tenere i nostri sistemi operativi aggiornati non lo fanno per perdere tempo: purtroppo la dimostrazione è arrivata nel modo peggiore possibile, con un attacco informatico dai risvolti a dir poco disastrosi e che, in breve tempo, ha messo in difficoltà il mondo intero. [continua..]

Inserite di seguito i vostri commenti.
Ultima modifica di malefika il sab mag 20, 2017 8:55 am, modificato 9 volte in totale.
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da System » sab mag 13, 2017 8:29 am


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12787
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da crazy.cat »

Una cosa non ho visto, tutti parlano degli effetti, ma pochi dicono da dove parte l'infezione.
La solita mail con fattura falsa o qualche pagina web taroccata?

Qualcuno che conosco (ditta) che non aggiornava i propri pc perchè il windows update consumava troppa banda.... :( :(
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da developerwinme »

Qualche dettaglio in più (incluso potenziale vettore d'attacco) qui: https://blogs.technet.microsoft.com/mmp ... =hootsuite
Marco Adriani
developerwinme.wordpress.com
Avatar utente
malefika
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 116
Iscritto il: mer set 18, 2013 7:20 pm
Località: Salerno
Contatta:

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da malefika »

crazy.cat ha scritto: sab mag 13, 2017 9:35 am Una cosa non ho visto, tutti parlano degli effetti, ma pochi dicono da dove parte l'infezione.
La solita mail con fattura falsa o qualche pagina web taroccata?
Si, il solito impiegato che si fa fregare dalla bufala di turno. Se non exploitasse Samba sarebbe stato come qualsiasi altro ransomware... Comunque hai ragione: menzionerò anche quest'aspetto nell'articolo.
crazy.cat ha scritto: sab mag 13, 2017 9:35 am Qualcuno che conosco (ditta) che non aggiornava i propri pc perchè il windows update consumava troppa banda.... :( :(
E questo è il risultato... che tristezza.
"Vi è mai capitato di sdraiarvi a terra in una tiepida notte d'estate, guardare le stelle e chiedervi perché siete qui? Qual è il vostro posto nel mondo e cosa dovreste fare della vostra vita? Be', nemmeno a me." (Linus Torvalds)

www.wikibit.it
Avatar utente
malefika
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 116
Iscritto il: mer set 18, 2013 7:20 pm
Località: Salerno
Contatta:

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da malefika »

developerwinme ha scritto: sab mag 13, 2017 9:40 am Qualche dettaglio in più (incluso potenziale vettore d'attacco) qui: https://blogs.technet.microsoft.com/mmp ... =hootsuite
"We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:

Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
Infection through SMB exploit when an unpatched computer can be addressed in other infected machines"


Come volevasi dimostrare :\
"Vi è mai capitato di sdraiarvi a terra in una tiepida notte d'estate, guardare le stelle e chiedervi perché siete qui? Qual è il vostro posto nel mondo e cosa dovreste fare della vostra vita? Be', nemmeno a me." (Linus Torvalds)

www.wikibit.it
Avatar utente
farbix89
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1097
Iscritto il: mer mag 01, 2013 4:39 pm
Località: Italia

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da farbix89 »

malefika ha scritto: sab mag 13, 2017 10:13 am
Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
Infection through SMB exploit when an unpatched computer can be addressed in other infected machines"[/i]

Come volevasi dimostrare
Azz....posso immaginare la strage che può aver fatto su intere postazioni non aggiornate, visto che sembra proprio avere le funzionalità di un worm :acch

Voglio piangere :mrgreen: :mrgreen:
Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da developerwinme »

Microsoft ha rilasciato aggiornamenti anche per XP, Server 2003, Vista e 8.0: https://blogs.technet.microsoft.com/msr ... t-attacks/ :o

Da qui il link per il download http://www.catalog.update.microsoft.com ... =KB4012598
Marco Adriani
developerwinme.wordpress.com
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 4397
Iscritto il: lun gen 26, 2015 10:13 am

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da CUB3 »

La cosa che mi fa veramente piangere è che c'è ancora chi si crede invulnerabile anche con un sistema non aggiornato :cry:
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
malefika
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 116
Iscritto il: mer set 18, 2013 7:20 pm
Località: Salerno
Contatta:

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da malefika »

developerwinme ha scritto: sab mag 13, 2017 3:05 pm Microsoft ha rilasciato aggiornamenti anche per XP, Server 2003, Vista e 8.0: https://blogs.technet.microsoft.com/msr ... t-attacks/ :o

Da qui il link per il download http://www.catalog.update.microsoft.com ... =KB4012598
Aggiunti!
"Vi è mai capitato di sdraiarvi a terra in una tiepida notte d'estate, guardare le stelle e chiedervi perché siete qui? Qual è il vostro posto nel mondo e cosa dovreste fare della vostra vita? Be', nemmeno a me." (Linus Torvalds)

www.wikibit.it
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: RE: Re: Commenti a

Messaggio da Al3x »

crazy.cat ha scritto: La solita mail con fattura falsa o qualche pagina web taroccata?

Qualcuno che conosco (ditta) che non aggiornava i propri pc perchè il windows update consumava troppa banda.... :( :(
basterebbe allestire un server wsus e la banda viene salvaguardata...
Quello che in molti non comprendono è che il valore dei dati e la loro disponibilità valgono più di qualsiasi altra cosa
I :amore Sasha
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Al3x »

farbix89 ha scritto: sab mag 13, 2017 10:16 am Azz....posso immaginare la strage che può aver fatto su intere postazioni non aggiornate, visto che sembra proprio avere le funzionalità di un worm :acch
infatti i vecchi ramsonware non si replicavano, il loro payload consisteva nel criptare i file e scomparire lasciando solo le istruzioni per il pagamento. Questo invece oltre al danno si propaga come il vecchio NIMDA che non tutti ricordano ma che a suo tempo fece tantissimi danni.
Leggo di persone che si vantano di avere ancora XP senza antivirus convinte che le loro buone abitudini di navigazione le salvaguardino dalle infezioni. Non si rendono conto che basta visitare un sito insospettabile che nella home ha un circuito banner malevolo per trovarsi con la postazione compromessa.
I :amore Sasha
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Al3x »

ci sono evidenze che il malware sia effettivamente in grado di diffondersi in ambienti di rete bypassando policies di accesso? Se effettivamente utilizza una vulnerabilità ci sta, ma non trovo informazioni dettagliate e precise sulla cosa. Mi chiedo poi se il malware riesce a cancellare le copie shadow dai sistemi in cui l'utente che lo lancia ha diritti limitati. Di solito recupero sempre tutto se si tratta di utente comuni.
Cosa diversa per le share, se i permessi NTFS sono "controllo completo" allora spariscono anche le versioni precedenti, mentre se arrivano fino a "Modifica", si può recuperare tutto.

Come sempre, se si adottano le precauzioni dovute si riesce ad arrivare dove non possono antivirus e la sprovvedutezza degli utenti aziendali. Ritengo che la colpa maggiore (se non tutta) la abbiano i responsabili IT, se si può far danno vuol dire che si è concesso troppo agli utenti finali
I :amore Sasha
Avatar utente
Jon_Snow
Livello: Scheda perforata (1/15)
Livello: Scheda perforata (1/15)
Messaggi: 9
Iscritto il: lun feb 13, 2017 12:25 pm

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Jon_Snow »

Wcry infetta anche i computer aggiornati se il virus viene attivato (ad esempio cliccando du un allegato mail) come dimostrato da vary youtuber attivi in ambito sicurezza informatica. Anche la solita filastrocca di aggiornare le definizioni antivirus non ha alcun senso in quanto i danni sono stati fatti ben prima che gli antivirus avessero identificato il virus, ossia quando era un cosiddetto "0day". L'unico consiglio sensato é quello di utilizzare soluzioni di tipo "defaul deny" o virtualizzazione.
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Al3x »

che qualcuno di voi sappia, è reperibile un campione del virus? Volevo fare dei test su una macchina virtuale
I :amore Sasha
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Al3x »

secondo un articolo pubblicato su ArsTechnica, l'infezione non richiede intervento umano:

"The Wcry developers have combined the Eternalblue exploit with a self-replicating payload that allows the ransomware to spread virally from vulnerable machine to vulnerable machine, without requiring operators to open e-mails, click on links, or take any other sort of action."

Non è ben chiaro se si riferisca alla post infezione del singolo PC o della tecnica di propagazione iniziale magari a mezzo pagina web infetta.

fonte:
https://arstechnica.com/security/2017/0 ... worldwide/
I :amore Sasha
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12787
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da crazy.cat »

Al3x ha scritto: dom mag 14, 2017 1:46 am Volevo fare dei test su una macchina virtuale
Anche io, ma non ho trovato un link buono, tutti gli exploit ancora funzionanti mi rimandano a eseguibili di altra razza.
hai un pm se vuoi darci un occhio
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Avatar utente
developerwinme
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1319
Iscritto il: mer mag 01, 2013 1:35 pm
Località: Como
Contatta:

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da developerwinme »

Al3x ha scritto: dom mag 14, 2017 7:46 am secondo un articolo pubblicato su ArsTechnica, l'infezione non richiede intervento umano:
Da quanto ho afferrato io, l'apertura da parte dell'utente di allegato/file infetto causa l'infezione sulla macchina corrente (parte ransomware), indipendentemente dalla patch, e solo un antivirus aggiornato è in grado di impedire questo passo.
Se poi la macchina corrente e altre macchine presenti nella rete locale non sono aggiornate con la patch in questione, hanno SMBv1 attivo e non ci sono altre regole (es. firewall) per impedire l'uso del protocollo vulnerabile, allora il malware si può anche propagare e, a quel punto, l'intervento dell'utente non è più richiesto.
Il primo passo sembra però essere guidato dall'azione dell'utente. Ovviamente chi distribuisce il malware potrebbe usare qualche altra vulnerabilità, come Eternalblue, per far partire la catena senza l'intervento dell'utente.

Ulteriori informazioni: https://blogs.technet.microsoft.com/mmp ... e-systems/ (non l'ho letto nel dettaglio, ma ho trovato questa citazione:
"We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:
- Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
- Infection through SMB exploit when an unpatched computer can be addressed in other infected machines")
Marco Adriani
developerwinme.wordpress.com
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Al3x »

la pagina Microsoft da dove scaricare le patch riportata nell'articolo, ha un errore nel link che riguarda XP in italiano 32bit, in verità fa scaricare la versione embedded.
Questo è il link diretto per Windows Xp x86 ITA
http://download.windowsupdate.com/d/csa ... 0a2852.exe


In questa trovate tutte le versioni dei sistemi di casa MS
http://www.catalog.update.microsoft.com ... =KB4012598
I :amore Sasha
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Al3x »

altre info interessanti
https://gist.github.com/rain-1/989428fa ... 6efbc0b168

@crazy.cat ci sono anche i link da dove scaricare i sample
I :amore Sasha
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12787
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da crazy.cat »

Al3x ha scritto: lun mag 15, 2017 7:29 am @crazy.cat ci sono anche i link da dove scaricare i sample
Presi, grazie.
Interessante anche il sito per le analisi dei file sospetti.
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Al3x »

Da Repubblica

"Tuttavia l'allerta rimane alta. Anche perché è online una nuova versione di WannaCry. Quest'ultima variante, che sembra stia circolando in Rete già da ieri, è più pericolosa della precedente dato che stavolta il software malevolo non ha al proprio interno il cosiddetto "kill switch". Si tratta di una sorta di pulsante per l'autodistruzione inserito nel primo WannaCry. Un sistema che, probabilmente, i pirati informatici avevano previsto per avere l'opportunità di bloccare il software malevolo all'occorrenza."

fonte: http://www.repubblica.it/tecnologia/sic ... =165495336
I :amore Sasha
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 4397
Iscritto il: lun gen 26, 2015 10:13 am

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da CUB3 »

Le nuove versioni dovrebbero essere almeno un paio, una delle quali non ha il kill switch.

Da verificare ma sembra che la nuova versione di WannaCry "funzioni" anche su Linux con Wine!
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
PippoDJ
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1678
Iscritto il: sab nov 01, 2014 3:50 pm

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da PippoDJ »

Vediamo se ho capito bene...
Il virus WannaCry, per diffondersi, sfrutta una falla di Windows che il gruppo hacker Shadow Broker ha reso di dominio pubblico in data 14 aprile 2017, pubblicando gli strumenti di hackeraggio sottratti alla NSA.
Per "fortuna" Microsoft aveva già pubblicato gli aggiornamenti per tamponare proprio quella falla appena un mese prima nel "patch tuesday" del 14 marzo 2017.
E dev'essere stata proprio una grandissimissima fortuna se si considera che quella falla è sempre stata presente in tutte le versioni di Windows, da XP fino a 10, sopravvivendo incredibilmente a tutte le recompilazioni del kernel degli ultimi sedici anni.
E' solo un'impressione mia o ci stanno allegramente prendendo per i fondelli? :s
E, come se non bastasse, danno la colpa del disastro a chi non ha applicato puntualmente gli aggiornamenti... :mad:
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Al3x »

PippoDJ ha scritto: mar mag 16, 2017 4:21 pm E' solo un'impressione mia o ci stanno allegramente prendendo per i fondelli? :s
E, come se non bastasse, danno la colpa del disastro a chi non ha applicato puntualmente gli aggiornamenti... :mad:
la "falla" c'era e faceva comodo a tutti, divenuta di dominio pubblico sono corsi ai ripari :mrgreen: :mrgreen:
ma questa è una storia vecchia come il mondo del closed source...
I :amore Sasha
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4635
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da Al3x »

qualche chiacchiera che gira tra tecnici, parla di qualcosa che potrebbe riapparire domani. Avete notizia di questo o sono solo i soliti boatos del cassio?
I :amore Sasha
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"

Messaggio da System » mer mag 17, 2017 11:46 am


Rispondi