¿Wanna Cry encripta los archivos en las unidades de red?

Navega tus respuestas
2

He lidiado con amenazas de ransomware en el pasado, como LOCKY que no solo cifra los datos que considera documentos de usuario se encuentra en la máquina local, pero también en cualquier unidad de red en la que el usuario tenga permisos suficientes para cambiar los datos.

¿Alguna de las variantes de Wanna Cry enumera y encripta los datos en:

  1. ¿Unidades de red asignadas?
  2. Los recursos compartidos de red que no están conectados actualmente a través de una unidad asignada?

He buscado en Google mi pregunta pero no he encontrado una respuesta directa.

Nota: No pregunto cómo la amenaza Wanna Cry infects a través de los EternalBlue SMB exploit.

    
pregunta Twisty Impersonator 23.05.2017 - 20:33
fuente

2 respuestas

5

Sí, WannaCry se enfocará en unidades de red y medios extraíbles, de acuerdo con Talos Intelligence :

  

El archivo taskche.exe [un componente de WannaCry] comprueba las unidades de disco, incluidos los recursos compartidos de red y los dispositivos de almacenamiento extraíbles asignados a una letra, como 'C: /', 'D: /', etc. El malware luego verifica archivos con una extensión de archivo como se indica en el apéndice y los cifra mediante el cifrado RSA de 2048 bits.

Esto es especialmente preocupante porque, según el análisis técnico realizado por Endgame Inc , el malware también otorga Permisos completos para Todos en los archivos que puede hacer, lo que podría tener graves ramificaciones en el caso de recursos compartidos de Active Directory.

    
respondido por el DKNUCKLES 24.05.2017 - 16:00
fuente
1

La respuesta corta es "Es posible".

Es importante entender las circunstancias donde esto es posible:

1: si sus unidades de red compartidas existen en un servidor vulnerable y el propio servidor está infectado

2: si el contexto de usuario en el que se está ejecutando la infección tiene una conexión establecida con un recurso de red, se autentica en el momento de la infección y tiene permiso para cambiarlo. Como ejemplo, un software cryptomalware que se ejecuta en el contexto de "SISTEMA" (a menos que explote una vulnerabilidad) no debería poder realizar cambios en un recurso compartido de red que requiera autenticación, siempre que otro usuario con permisos de escritura todavía no esté autenticado activamente.

3: Si los archivos compartidos están mal implementados. Como ejemplo, un método muy precario y peligroso que he visto en uso generalizado es lanzar un script en la carpeta de inicio de una computadora que se conecta y autentica a un recurso compartido de archivos. Como cuestión principal, en Windows (y en su mayoría en cualquier otro lugar), las tareas automatizadas solo deben realizarse dentro del contexto de una sesión autenticada, y nunca deben iniciarse mediante una secuencia de comandos que contenga credenciales codificadas

Una buena regla a tener en cuenta al pensar en cryptomalware o en cualquier malware: si una máquina o sesión determinada está indexando archivos para una búsqueda rápida en un recurso, existe al menos un riesgo de divulgación o destrucción por parte de una amenaza. operando en esa máquina o sesión.

    
respondido por el MildotPhil 23.05.2017 - 20:59
fuente

Lea otras preguntas en las etiquetas

Desbordamiento de búfer básico Asegurando la credencial de la base de datos en un campo implementado en Raspberry Pi