Bad Rabbit czyli nowa wersja (not)Petya naciera – również na Polskę

25 października 2017, 00:19 | Aktualności | komentarzy 17
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Wylęgarnia nowego ransomware to „Europa Wschodnia” – obecnie wśród krajów gdzie zanotowano zainfekowane komputery jest również Polska.

Na obecną chwilę, przeszło połowa celów jest w Rosji (gdzie wydaje się być zlokalizowane źródło infekcji – fałszywa aktualizacja Flash, którą użytkownik musi zatwierdzić, a uruchamiana jest ona przez wstrzyknięty na rozmaite strony webowe javascript). Dotknięte zostało też choćby kijowskie metro, a ukraiński CERT wydał ostrzeżenie.

Czy rzeczywiście Bad Rabbit jest klonem (not)Petya? Zdania podzielone, choć wskazywane są znaczne różnice np. nieużywanie podatności Eternalblue do infekcji. Bad Rabbit używa wbudowanej listy domyślnych użytkowników i haseł, czy Mimikatza.

Stawiamy raczej na to, że „nowa (not)Petya” to tylko „opakowka marketingowa” dla nowego rodzaju malware, choć są pewne podobieństwa.

Microsoft przygotował też krótki artykuł mówiący jak można się chronić. Pojawiła się też informacja o szczepionce – ponoć wystarczy stworzyć dwa pliki c:\windows\infpub.dat oraz c:\windows\cscc.dat (i przy okazji usunąć im wszystkie uprawnienia na filesystemie). Dokładniejsze instrukcje – tutaj.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Bartek

    Jak usunąć im wszystkie uprawnienia na filesystemie?

    Odpowiedz
    • Wojtek

      Skrót myślowy albo kal(e)ka językowa – chodziło o wszystkie uprawnienia do tych plików (dla ID system)….

      Odpowiedz
    • Robert

      PPM->Właściwości->Zabezpieczenia

      Odpowiedz
    • Adam

      Właściwości -> zabezpieczenia -> zaawansowane -> zmień uprawnienia -> Odznaczasz dołącz uprawnienia dziedziczne… -> Komunikat opcja „usuń” -> Zgadzasz się na wszystko po kolei – gotowe

      Odpowiedz
    • gburmistrz

      ja zrobilem taki skrypt:

      fsutil file createnew %windir%\cscc.dat 0
      fsutil file createnew %windir%\infpub.dat 0
      icacls %windir%\cscc.dat /inheritance:r
      icacls %windir%\infpub.dat /inheritance:r

      podpialem pod GPO, ciekawe, czy to cos da, w razie „W” :)

      Odpowiedz
      • Artur

        czy wiesz jak zrobić aby skrypt propagował się na kontach non admin na końcówkach klienta ? wywala błąd uprawnień do %windir%

        Odpowiedz
    • Marcin
      Odpowiedz
    • Sok

      Plik – prawy przycisk myszy, właściwości, zakładka zabezpieczenia, edytuj, wywal wszystko.

      Odpowiedz
    • M

      Co w tym nie zrozumiałego?

      Odpowiedz
    • Kavelach

      Chodzi chyba o to, że w zakładce _zabezpieczenia_ danych plików ma nie być żadnych wpisów, czyli nikt nie może z nimi nic zrobić.

      Odpowiedz
  2. Bossy

    Ściągnij Total commandera wyszukaj w nim dane pliki i zmień atrybuty.

    Odpowiedz
  3. hmm

    format c: … :))

    Odpowiedz
  4. Aidekk

    W windows 7:

    Prawym na plik, właściwości -> Zabezpieczenia ->Zaawansowane -> button: Zmień uprawnienia -> odznacz tickbox „dziedziczenie….” -> pojawią się 2 warningi – wyskakujące okna, zaakceptuj oba -> Zastosuj nowe uprawnienia… i voila! :)

    Odpowiedz
  5. majkrosodżambo

    chmod -wrx

    Odpowiedz
  6. Angus

    remove all_authorization /format

    Odpowiedz
  7. Tomasz

    @bartek… Edytuj listy ACL

    Odpowiedz

Odpowiedz