Pagina 1 di 2
Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 8:29 am
da malefika
Wannacry, il ransomware che infetta i PC non aggiornati
Quando tecnici e aziende ci raccomandano di tenere i nostri sistemi operativi aggiornati non lo fanno per perdere tempo: purtroppo la dimostrazione è arrivata nel modo peggiore possibile, con un attacco informatico dai risvolti a dir poco disastrosi e che, in breve tempo, ha messo in difficoltà il mondo intero. [continua..]
Inserite di seguito i vostri commenti.
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 9:35 am
da crazy.cat
Una cosa non ho visto, tutti parlano degli effetti, ma pochi dicono da dove parte l'infezione.
La solita mail con fattura falsa o qualche pagina web taroccata?
Qualcuno che conosco (ditta) che non aggiornava i propri pc perchè il windows update consumava troppa banda.... 
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 9:40 am
da developerwinme
Qualche dettaglio in più (incluso potenziale vettore d'attacco) qui: https://blogs.technet.microsoft.com/mmp ... =hootsuite
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 10:12 am
da malefika
crazy.cat ha scritto: ↑sab mag 13, 2017 9:35 am
Una cosa non ho visto, tutti parlano degli effetti, ma pochi dicono da dove parte l'infezione.
La solita mail con fattura falsa o qualche pagina web taroccata?
Si, il solito impiegato che si fa fregare dalla bufala di turno. Se non exploitasse Samba sarebbe stato come qualsiasi altro ransomware... Comunque hai ragione: menzionerò anche quest'aspetto nell'articolo.
crazy.cat ha scritto: ↑sab mag 13, 2017 9:35 am
Qualcuno che conosco (ditta) che non aggiornava i propri pc perchè il windows update consumava troppa banda....
E questo è il risultato... che tristezza.
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 10:13 am
da malefika
"We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:
Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
Infection through SMB exploit when an unpatched computer can be addressed in other infected machines"
Come volevasi dimostrare :\
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 10:16 am
da farbix89
malefika ha scritto: ↑sab mag 13, 2017 10:13 am
Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
Infection through SMB exploit when an unpatched computer can be addressed in other infected machines"[/i]
Come volevasi dimostrare
Azz....posso immaginare la strage che può aver fatto su intere postazioni non aggiornate, visto che sembra proprio avere le funzionalità di un worm 
Voglio piangere 
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 3:05 pm
da developerwinme
Microsoft ha rilasciato aggiornamenti anche per XP, Server 2003, Vista e 8.0: https://blogs.technet.microsoft.com/msr ... t-attacks/ 
Da qui il link per il download http://www.catalog.update.microsoft.com ... =KB4012598
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 4:41 pm
da CUB3
La cosa che mi fa veramente piangere è che c'è ancora chi si crede invulnerabile anche con un sistema non aggiornato 
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 5:03 pm
da malefika
Re: RE: Re: Commenti a
Inviato: sab mag 13, 2017 5:49 pm
da Al3x
crazy.cat ha scritto:
La solita mail con fattura falsa o qualche pagina web taroccata?
Qualcuno che conosco (ditta) che non aggiornava i propri pc perchè il windows update consumava troppa banda....
basterebbe allestire un server wsus e la banda viene salvaguardata...
Quello che in molti non comprendono è che il valore dei dati e la loro disponibilità valgono più di qualsiasi altra cosa
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 5:58 pm
da Al3x
farbix89 ha scritto: ↑sab mag 13, 2017 10:16 am
Azz....posso immaginare la strage che può aver fatto su intere postazioni non aggiornate, visto che sembra proprio avere le funzionalità di un worm
infatti i vecchi ramsonware non si replicavano, il loro payload consisteva nel criptare i file e scomparire lasciando solo le istruzioni per il pagamento. Questo invece oltre al danno si propaga come il vecchio NIMDA che non tutti ricordano ma che a suo tempo fece tantissimi danni.
Leggo di persone che si vantano di avere ancora XP senza antivirus convinte che le loro buone abitudini di navigazione le salvaguardino dalle infezioni. Non si rendono conto che basta visitare un sito insospettabile che nella home ha un circuito banner malevolo per trovarsi con la postazione compromessa.
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: sab mag 13, 2017 9:58 pm
da Al3x
ci sono evidenze che il malware sia effettivamente in grado di diffondersi in ambienti di rete bypassando policies di accesso? Se effettivamente utilizza una vulnerabilità ci sta, ma non trovo informazioni dettagliate e precise sulla cosa. Mi chiedo poi se il malware riesce a cancellare le copie shadow dai sistemi in cui l'utente che lo lancia ha diritti limitati. Di solito recupero sempre tutto se si tratta di utente comuni.
Cosa diversa per le share, se i permessi NTFS sono "controllo completo" allora spariscono anche le versioni precedenti, mentre se arrivano fino a "Modifica", si può recuperare tutto.
Come sempre, se si adottano le precauzioni dovute si riesce ad arrivare dove non possono antivirus e la sprovvedutezza degli utenti aziendali. Ritengo che la colpa maggiore (se non tutta) la abbiano i responsabili IT, se si può far danno vuol dire che si è concesso troppo agli utenti finali
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: dom mag 14, 2017 1:38 am
da Jon_Snow
Wcry infetta anche i computer aggiornati se il virus viene attivato (ad esempio cliccando du un allegato mail) come dimostrato da vary youtuber attivi in ambito sicurezza informatica. Anche la solita filastrocca di aggiornare le definizioni antivirus non ha alcun senso in quanto i danni sono stati fatti ben prima che gli antivirus avessero identificato il virus, ossia quando era un cosiddetto "0day". L'unico consiglio sensato é quello di utilizzare soluzioni di tipo "defaul deny" o virtualizzazione.
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: dom mag 14, 2017 1:46 am
da Al3x
che qualcuno di voi sappia, è reperibile un campione del virus? Volevo fare dei test su una macchina virtuale
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: dom mag 14, 2017 7:46 am
da Al3x
secondo un articolo pubblicato su ArsTechnica, l'infezione non richiede intervento umano:
"The Wcry developers have combined the Eternalblue exploit with a self-replicating payload that allows the ransomware to spread virally from vulnerable machine to vulnerable machine, without requiring operators to open e-mails, click on links, or take any other sort of action."
Non è ben chiaro se si riferisca alla post infezione del singolo PC o della tecnica di propagazione iniziale magari a mezzo pagina web infetta.
fonte:
https://arstechnica.com/security/2017/0 ... worldwide/
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: dom mag 14, 2017 1:44 pm
da crazy.cat
Al3x ha scritto: ↑dom mag 14, 2017 1:46 am
Volevo fare dei test su una macchina virtuale
Anche io, ma non ho trovato un link buono, tutti gli exploit ancora funzionanti mi rimandano a eseguibili di altra razza.
hai un pm se vuoi darci un occhio
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: dom mag 14, 2017 1:54 pm
da developerwinme
Al3x ha scritto: ↑dom mag 14, 2017 7:46 am
secondo un articolo pubblicato su ArsTechnica, l'infezione non richiede intervento umano:
Da quanto ho afferrato io, l'apertura da parte dell'utente di allegato/file infetto causa l'infezione sulla macchina corrente (parte ransomware), indipendentemente dalla patch, e solo un antivirus aggiornato è in grado di impedire questo passo.
Se poi la macchina corrente e altre macchine presenti nella rete locale non sono aggiornate con la patch in questione, hanno SMBv1 attivo e non ci sono altre regole (es. firewall) per impedire l'uso del protocollo vulnerabile, allora il malware si può anche propagare e, a quel punto, l'intervento dell'utente non è più richiesto.
Il primo passo sembra però essere guidato dall'azione dell'utente. Ovviamente chi distribuisce il malware potrebbe usare qualche altra vulnerabilità, come Eternalblue, per far partire la catena senza l'intervento dell'utente.
Ulteriori informazioni: https://blogs.technet.microsoft.com/mmp ... e-systems/ (non l'ho letto nel dettaglio, ma ho trovato questa citazione:
"We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:
- Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
- Infection through SMB exploit when an unpatched computer can be addressed in other infected machines")
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: lun mag 15, 2017 6:44 am
da Al3x
la pagina Microsoft da dove scaricare le patch riportata nell'articolo, ha un errore nel link che riguarda XP in italiano 32bit, in verità fa scaricare la versione embedded.
Questo è il link diretto per Windows Xp x86 ITA
http://download.windowsupdate.com/d/csa ... 0a2852.exe
In questa trovate tutte le versioni dei sistemi di casa MS
http://www.catalog.update.microsoft.com ... =KB4012598
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: lun mag 15, 2017 7:29 am
da Al3x
altre info interessanti
https://gist.github.com/rain-1/989428fa ... 6efbc0b168
@crazy.cat ci sono anche i link da dove scaricare i sample
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: lun mag 15, 2017 8:19 am
da crazy.cat
Al3x ha scritto: ↑lun mag 15, 2017 7:29 am
@crazy.cat ci sono anche i link da dove scaricare i sample
Presi, grazie.
Interessante anche il sito per le analisi dei file sospetti.
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: lun mag 15, 2017 3:31 pm
da Al3x
Da Repubblica
"Tuttavia l'allerta rimane alta. Anche perché è online una nuova versione di WannaCry. Quest'ultima variante, che sembra stia circolando in Rete già da ieri, è più pericolosa della precedente dato che stavolta il software malevolo non ha al proprio interno il cosiddetto "kill switch". Si tratta di una sorta di pulsante per l'autodistruzione inserito nel primo WannaCry. Un sistema che, probabilmente, i pirati informatici avevano previsto per avere l'opportunità di bloccare il software malevolo all'occorrenza."
fonte: http://www.repubblica.it/tecnologia/sic ... =165495336
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: lun mag 15, 2017 9:23 pm
da CUB3
Le nuove versioni dovrebbero essere almeno un paio, una delle quali non ha il kill switch.
Da verificare ma sembra che la nuova versione di WannaCry "funzioni" anche su Linux con Wine!
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: mar mag 16, 2017 4:21 pm
da PippoDJ
Vediamo se ho capito bene...
Il virus WannaCry, per diffondersi, sfrutta una falla di Windows che il gruppo hacker Shadow Broker ha reso di dominio pubblico in data 14 aprile 2017, pubblicando gli strumenti di hackeraggio sottratti alla NSA.
Per "fortuna" Microsoft aveva già pubblicato gli aggiornamenti per tamponare proprio quella falla appena un mese prima nel "patch tuesday" del 14 marzo 2017.
E dev'essere stata proprio una grandissimissima fortuna se si considera che quella falla è sempre stata presente in tutte le versioni di Windows, da XP fino a 10, sopravvivendo incredibilmente a tutte le recompilazioni del kernel degli ultimi sedici anni.
E' solo un'impressione mia o ci stanno allegramente prendendo per i fondelli? 
E, come se non bastasse, danno la colpa del disastro a chi non ha applicato puntualmente gli aggiornamenti... 
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: mer mag 17, 2017 11:44 am
da Al3x
Re: Commenti a "Wannacry, il ransomware che infetta i PC non aggiornati"
Inviato: mer mag 17, 2017 11:46 am
da Al3x
qualche chiacchiera che gira tra tecnici, parla di qualcosa che potrebbe riapparire domani. Avete notizia di questo o sono solo i soliti boatos del cassio?