Inne dotknięte firmy zaczynają płacić ransomware ransomware

Jakiś czas temu CCN-CERT (krajowe centrum kryptograficzne) poinformował o masowym ataku ransomware, który atakuje dużą liczbę hiszpańskich organizacji. Ta zmiana dotyczy systemów Windows, szyfrując wszystkie pliki i pliki dysków sieciowych, z którymi są połączone, oraz infekując pozostałe systemy Windows w tej samej sieci.

Inne dotknięte firmy zaczynają płacić ransomware ransomware.

Ransomware to wersja WannaCry, która infekuje maszynę, szyfrując wszystkie jej pliki. Jest to możliwe, ponieważ wykorzystuje on lukę w zabezpieczeniach umożliwiającą zdalne wykonanie poleceń za pośrednictwem SMB i jest dystrybuowany na pozostałe komputery z systemem Windows, które są w tej samej sieci.

Dotyczy to następujących systemów:

• Microsoft Windows Vista SP2 Windows Server 2008 SP2 i R2 SP1 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2012 i R2 Windows 10 Windows Server 2016

Czy są ludzie, którzy płacą okup?

Wygląda na to, że tak, widzimy dużo ruchu w Blockchain. Mieliśmy dostęp do informacji o portfelu, do którego należy wysłać płatność Bitcoins, która pojawia się w kodzie źródłowym:

Odwiedziliśmy blockchain.info i znaleźliśmy w sumie 5 płatności do tego portfela bitcoin o wartości 1 565, 30 USD.

Jaka jest obecna liczba ataków?

Według informacji Avast wykryli ponad 30 000 ataków na całym świecie, najbardziej dotknięte są czerwone strefy, ale ta infekcja wciąż rośnie.

Wiemy, że wiele firm lub osób cierpi z powodu ataku na port 445, który jest portem samby w systemie Windows i służy do udostępniania plików w sieci.

Tutaj możesz zobaczyć niektóre raporty Firefaware, w których możemy zobaczyć, że luka, która jest wykorzystywana, to Eternalblue, który był exploitem nsa wydanym przez Shadow Brokers. Właśnie do tego ataku używana jest ulepszona wersja.

Tutaj możesz zobaczyć różnicę między prawdziwymi a fałszywymi procesami ransomware.