Gå til innhold

Kryptoangrepet har vært lite innbringende så langt

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Eirik Schølseth

Eirik Schølseth

Skrevet
Skrevet (endret)

En ting som burde vært tatt med er om de som har betalt har fått låst opp maskinen, hvis den infoen finnes da.

 

Jeg ville ikke satset på det i dette tilfellet. Det er mange faktorer som tilsier at man i dette tilfellet ikke vil få filene sine tilbake. Ref: http://blog.checkpoint.com/2017/05/14/wannacry-paid-time-off/ 

Endret av Eirik Schølseth
Lenke til kommentar
Lasse Nessøe

Lasse Nessøe

Skrevet
Skrevet

Kan det tenkes at det ikke er penger som er målet til hackerne i det hele tatt? Sikkert fint å få inn noen kroner på dette, men de som står bak dette har gjennomført tidenes største scenario enn så lenge. Dette viser hvor sårbart samfunnet er mot slike ting og at England er totalt i bakleksa ihvertfall

Lenke til kommentar
Bytex

Bytex

Skrevet
Skrevet (endret)

Tja, ta f.eks. på jobb hos meg. Vi har sikkert 300 PC'r, og systemet er sånn at man kan utsette update to ganger per dag (fordi det ikke passer med reboot og updates der og da). Tipper 90% av de pc'ene aldri blir oppdatert.

 

Selv trykker jeg alltid på "postpone". Det er mulig de blir autooppdatert på nattestid det vet jeg ingenting om. Jeg har ikke noe mere tid enn alle andre når det er prosessutstyr som står og går og plutselig får en update/utsett update popup.

 

For ikke lenge siden hadde en eller annen noldus med pengestyring klart å sende 150000 euro til svindlere i Nigeria, han svarte velvillig på en phishing mail med firmaets sjef som "avsender", hjelp meg å sende noe penger privat så skal du få litt av kaka. Han overførte ivei, helt uvettig. Men så var det NOE som trigga inni han og han varslet rett etter overføringen var gjort til banken. 

 

Det lå en streng advarsel på intranettet om phishing, og obligatorisk kurs for å identifisere slike mailer for det rælet de er. Håper den fyren (i tyskland) knapt får lov til å være vaskehjelp heretter. 

 

Men altså, det skal ikke mere enn EN kar som går på slikt, eller åpner den vedlagte fila, så er hele bedriften infisert. Og den ENE personen finnes overalt. Det er gjerne dama på kontoret som sprer kattevideoer og kjedebrev på facebook iløpet av arbeidsdagen. Eller typen som sendte "morsomme" fakser videre til alle i telefonlista på 80-tallet.

Endret av Bytex
  • Liker 1
Lenke til kommentar
kjetilkl

kjetilkl

Skrevet
Skrevet

Men altså, det skal ikke mere enn EN kar som går på slikt, eller åpner den vedlagte fila, så er hele bedriften infisert. Og den ENE personen finnes overalt. Det er gjerne dama på kontoret som sprer kattevideoer og kjedebrev på facebook iløpet av arbeidsdagen. Eller typen som sendte "morsomme" fakser videre til alle i telefonlista på 80-tallet.

Helt klart, men akkurat i dette tilfellet var det kun Windows 8.1 og eldre som ikke hadde vært oppdatert på to mnd som ble rammet. - Spredningen i norge ble derfor liten...support hos oss hadde ikke én tlf i dag faktisk :p

Lenke til kommentar
Horst Tappert

Horst Tappert

Skrevet
Skrevet

nyhene kaller det verdens største hacker angrep, ingen får dataene sine,

mitt gjett er et par bra nervøse yngre personer sitter og tripper enelleranna

plass og venter på media og nerver skal roe seg. håper di ikke casher ut..

er det noen måte å se om bitcoins er "hentet ut" ? vet man kan se di er sendt.

Lenke til kommentar
Eirik Schølseth

Eirik Schølseth

Skrevet
Skrevet (endret)

 

Men altså, det skal ikke mere enn EN kar som går på slikt, eller åpner den vedlagte fila, så er hele bedriften infisert. Og den ENE personen finnes overalt. Det er gjerne dama på kontoret som sprer kattevideoer og kjedebrev på facebook iløpet av arbeidsdagen. Eller typen som sendte "morsomme" fakser videre til alle i telefonlista på 80-tallet.

Helt klart, men akkurat i dette tilfellet var det kun Windows 8.1 og eldre som ikke hadde vært oppdatert på to mnd som ble rammet. - Spredningen i norge ble derfor liten...support hos oss hadde ikke én tlf i dag faktisk :p

 

Det er ikke kun W8.1 og eldre som er berørt, der tar du feil. 

Ormen benytter seg av Eternalblue angrepspakken og da MS17-010. Det er en svakhet i SMBv1 og som per standard er aktivert i Windows 10 også. 

Det kan lett sjekkes i Powershell: Get-SmbServerConfiguration | Select EnableSMB1Protocol

 

Kilde:

1) https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis 

2) https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/

3) https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Endret av Eirik Schølseth
Lenke til kommentar
kjetilkl

kjetilkl

Skrevet
Skrevet

 

 

Men altså, det skal ikke mere enn EN kar som går på slikt, eller åpner den vedlagte fila, så er hele bedriften infisert. Og den ENE personen finnes overalt. Det er gjerne dama på kontoret som sprer kattevideoer og kjedebrev på facebook iløpet av arbeidsdagen. Eller typen som sendte "morsomme" fakser videre til alle i telefonlista på 80-tallet.

Helt klart, men akkurat i dette tilfellet var det kun Windows 8.1 og eldre som ikke hadde vært oppdatert på to mnd som ble rammet. - Spredningen i norge ble derfor liten...support hos oss hadde ikke én tlf i dag faktisk :p

 

Det er ikke kun W8.1 og eldre som er berørt, der tar du feil. 

Ormen benytter seg av Eternalblue angrepspakken og da MS17-010. Det er en svakhet i SMBv1 og som per standard er aktivert i Windows 10 også. 

Det kan lett sjekkes i Powershell: Get-SmbServerConfiguration | Select EnableSMB1Protocol

 

Kilde:

1) https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis 

2) https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/

3) https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

 

Selv om protokollen også er enablet i W10 så sier jo MS og andre at W10 ikke er sårbart for angrepet.

 

 

The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.

 

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Lenke til kommentar
Eirik Schølseth

Eirik Schølseth

Skrevet
Skrevet (endret)

 

 

 

Men altså, det skal ikke mere enn EN kar som går på slikt, eller åpner den vedlagte fila, så er hele bedriften infisert. Og den ENE personen finnes overalt. Det er gjerne dama på kontoret som sprer kattevideoer og kjedebrev på facebook iløpet av arbeidsdagen. Eller typen som sendte "morsomme" fakser videre til alle i telefonlista på 80-tallet.

Helt klart, men akkurat i dette tilfellet var det kun Windows 8.1 og eldre som ikke hadde vært oppdatert på to mnd som ble rammet. - Spredningen i norge ble derfor liten...support hos oss hadde ikke én tlf i dag faktisk :p

 

Det er ikke kun W8.1 og eldre som er berørt, der tar du feil. 

Ormen benytter seg av Eternalblue angrepspakken og da MS17-010. Det er en svakhet i SMBv1 og som per standard er aktivert i Windows 10 også. 

Det kan lett sjekkes i Powershell: Get-SmbServerConfiguration | Select EnableSMB1Protocol

 

Kilde:

1) https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis 

2) https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/

3) https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

 

Selv om protokollen også er enablet i W10 så sier jo MS og andre at W10 ikke er sårbart for angrepet.

 

 

The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.

 

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

 

Det er litt komplisert. Microsoft går da ut ifra at man allerede er patched grunnet oppdateringspolicy til Windows 10 - Noe som ikke nødvendigvis stemmer i ett enterprise miljø. 

Det kommer an på hvilken Build og versjon du kjører. Versjon 1703 (Creators update) er ikke berørt, fordi den er pre-patched. 

Anniversary Update (v 1607) er berørt om du har en tidligere build enn 14393.953. 

 

Fall update (v 1511) så må man være på build 10586.839 eller nyere.

 

RTM (v 1507 , snart EOL btw) så må man være på build 10240.17319 eller nyere for å ikke være berørt. 

 

Edit: Det er, såvidt jeg kan se, kun Microsoft som nevner at W10 ikke er berørt. Men det er rart at de direkte lenker til og refererer til at man MÅ ha MS17-010 installert på alle Windows-versjoner. Men likevel, går ut med at "windows 10 var ikke målrettet". 

 

 

Customers running Windows 10 were not targeted by the attack today.

 

In March, we released a security update which addresses the vulnerability that these attacks are exploiting. Those who have Windows Update enabled are protected against attacks on this vulnerability. For those organizations who have not yet applied the security update, we suggest you immediately deploy Microsoft Security Bulletin MS17-010.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

Og ser man på informasjonen på MS17-010 så sier de at det er en RCE sårbarhet på akkurat denne sårbarheten vil resulterer i en RCE (Remote Code Execution)

 

Til det har blitt testet av noen, så får man bare tolke informasjonen dertil.. I guess

Endret av Eirik Schølseth
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...