Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Bad Rabbit czyli nowa wersja (not)Petya naciera – również na Polskę
Wylęgarnia nowego ransomware to „Europa Wschodnia” – obecnie wśród krajów gdzie zanotowano zainfekowane komputery jest również Polska.
Na obecną chwilę, przeszło połowa celów jest w Rosji (gdzie wydaje się być zlokalizowane źródło infekcji – fałszywa aktualizacja Flash, którą użytkownik musi zatwierdzić, a uruchamiana jest ona przez wstrzyknięty na rozmaite strony webowe javascript). Dotknięte zostało też choćby kijowskie metro, a ukraiński CERT wydał ostrzeżenie.
Czy rzeczywiście Bad Rabbit jest klonem (not)Petya? Zdania są podzielone, choć wskazywane są znaczne różnice np. nieużywanie podatności Eternalblue do infekcji. Bad Rabbit używa wbudowanej listy domyślnych użytkowników i haseł, czy Mimikatza.
Stawiamy raczej na to, że „nowa (not)Petya” to tylko „opakowka marketingowa” dla nowego rodzaju malware, choć są pewne podobieństwa.
Microsoft przygotował też krótki artykuł mówiący jak można się chronić. Pojawiła się też informacja o szczepionce – ponoć wystarczy stworzyć dwa pliki c:\windows\infpub.dat oraz c:\windows\cscc.dat (i przy okazji usunąć im wszystkie uprawnienia na filesystemie). Dokładniejsze instrukcje – tutaj.
–ms
Jak usunąć im wszystkie uprawnienia na filesystemie?
Skrót myślowy albo kal(e)ka językowa – chodziło o wszystkie uprawnienia do tych plików (dla ID system)….
PPM->Właściwości->Zabezpieczenia
Właściwości -> zabezpieczenia -> zaawansowane -> zmień uprawnienia -> Odznaczasz dołącz uprawnienia dziedziczne… -> Komunikat opcja „usuń” -> Zgadzasz się na wszystko po kolei – gotowe
ja zrobilem taki skrypt:
fsutil file createnew %windir%\cscc.dat 0
fsutil file createnew %windir%\infpub.dat 0
icacls %windir%\cscc.dat /inheritance:r
icacls %windir%\infpub.dat /inheritance:r
podpialem pod GPO, ciekawe, czy to cos da, w razie „W” :)
czy wiesz jak zrobić aby skrypt propagował się na kontach non admin na końcówkach klienta ? wywala błąd uprawnień do %windir%
Bracia Serbowie śpieszą z pomocą :D
http://www.it-klinika.rs/blog/badrabbit-nova-ransomware-epidemija-u-istocnoj-evropi
Plik – prawy przycisk myszy, właściwości, zakładka zabezpieczenia, edytuj, wywal wszystko.
Co w tym nie zrozumiałego?
Chodzi chyba o to, że w zakładce _zabezpieczenia_ danych plików ma nie być żadnych wpisów, czyli nikt nie może z nimi nic zrobić.
Ściągnij Total commandera wyszukaj w nim dane pliki i zmień atrybuty.
format c: … :))
W windows 7:
Prawym na plik, właściwości -> Zabezpieczenia ->Zaawansowane -> button: Zmień uprawnienia -> odznacz tickbox „dziedziczenie….” -> pojawią się 2 warningi – wyskakujące okna, zaakceptuj oba -> Zastosuj nowe uprawnienia… i voila! :)
chmod -wrx
@Bartek:
https://www.cybereason.com/blog/cybereason-researcher-discovers-vaccine-for-badrabbit-ransomware?hs_amp=true
remove all_authorization /format
@bartek… Edytuj listy ACL