¿Están las máquinas parcheadas contra WannaCry protegidas contra los ataques de Petya en curso?

9

Nuestro entorno tiene algunos servidores Windows 2012 R2 que ya están parcheados contra el ransomware WannaCry. La actualización instalada fue KB4012213.

  • ¿Es esto lo suficientemente bueno para protegerse contra los ataques de Petya en curso?
  • Cualquier otra cosa que deberíamos hacer aparte de deshabilitar el servicio SMB si no utilizado?
  • ¿Se propaga a través de computadoras en red sin la intervención del usuario?
pregunta Sree 27.06.2017 - 20:26
fuente

2 respuestas

9

Asegurarse de que SMBv1 esté deshabilitado es un buen comienzo para protegerse contra el exploit de Ethernalblue.

El malware también utiliza las herramientas WMIC y PSEXEC para infectar máquinas con computadoras con parches de Windows. Se recomienda deshabilitar WMIC aquí para ver cómo deshabilitar WMIC: enlace

También he visto a personas que dicen bloquear el uso remoto de cuentas locales a través de GPO, pero aún no he visto mucho sobre eso.

También hay informes que dicen que pagar el rescate no te recompensará con la clave de descifrado, ya que el correo electrónico que se usa desde entonces ha sido bloqueado.

También ha habido algunos informes que indican que si apaga la máquina justo cuando aparece el mensaje, no se cifrarán los archivos. enlace

ACTUALIZACIÓN: parece que ahora se ha encontrado un interruptor para detener el ataque, todo lo que tienes que hacer es crear una carpeta C: \ Windows \ perfc

enlace

    
respondido por el Jack 27.06.2017 - 21:07
fuente
2

Para protegerse del virus Petya:

Crea un archivo perfc.dll

En el momento del ataque, Petya busca el archivo C: \ Windows \ perfc.dll. Si ya existe un archivo de este tipo en la computadora, entonces el virus termina de funcionar sin infección.

Para crear un archivo para proteger contra Petya, puede usar el habitual "Bloc de notas". Los expertos también recomiendan que el archivo sea de solo lectura para que el virus no pueda realizar cambios en él.

Instalar parches de seguridad

El virus también se propaga a través de las vulnerabilidades de Windows CVE-2017-0199 y CVE-2017-0144. Se recomienda instalar parches de seguridad que los cierren:

enlace enlace

Necesitamos instalar parches de seguridad no solo para Windows, sino también para Microsoft Office.

También es necesario instalar parches que cubran la vulnerabilidad explotada anteriormente para WannaCry:

enlace

Actualizar firmas antivirus

La base de datos de firmas de software antivirus debe actualizarse a partir del 27 de junio de 2017, no antes de las 20:00.

Bloquear recursos

El virus usa las siguientes direcciones, debes bloquear el acceso a ellas:

— 84.200.16[.]242
— 84.200.16[.]242/myguy.xls 
— french-cooking[.]com/myguy.exe
— 111.90.139[.]247
— COFFEINOFFICE[.]XYZ

¡Importante! Los puntos están establecidos por razones de seguridad. No haga clic en los enlaces. Estas direcciones se publican para bloquearlas manualmente.

Deshabilitar puertos TCP

Si la red ya tiene estaciones de trabajo o servidores infectados, debes desactivar los puertos TCP 1024-1035, 139 y 445.

Deshabilitar el protocolo SMB

Si no puede instalar actualizaciones de seguridad, desactive el protocolo SMB v1 / v2 / v3 en estaciones de trabajo y servidores.

Lea más: enlace

Configurar el bloqueo de ataques

En el caso de las funciones de seguridad NGFW / NGTP / IPS, configure el bloqueo de ataques que explotan EternalBlue (MS17-010).

    
respondido por el Dmitry Maslennikov 28.06.2017 - 11:56
fuente

Lea otras preguntas en las etiquetas