neprihlásený Streda, 20. septembra 2017, dnes má meniny Ľuboslava   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Dalo sa pri WannaCry spoľahnúť na informácie Esetu?

Značky: WannaCry / WannaCryptEset

DSL.sk, 19.5.2017


V oblasti počítačovej bezpečnosti bol témou číslo jedna v uplynulých siedmich dňoch šifrujúci vydierajúci červ WannaCry, ktorý sa začal šíriť pred týždňom 12. mája.

Najvýznamnejšou bezpečnostnou spoločnosťou na Slovensku je samozrejme antivírusová spoločnosť Eset, ktorá sa k téme WannaCry opakovane vyjadrovala a užívateľom dala aj svoje odporúčania.

Ako dnes ale v kontexte informácie o šanci dešifrovať dáta na časti infikovaných počítačov upozornil náš čitateľ, rady Esetu v tomto prípade nemuseli byť optimálne.

Neoverená informácia

Hlavnou metódou šírenia červa WannaCry bolo infikovanie systémov cez zraniteľnosť v implementácii protokolu SMB pre sieťové zdieľanie priečinkov vo Windows, ktoré realizovali už infikované systémy.

Pri tomto útoku nie je potrebná žiadna súčinnosť užívateľa, útok sa deje automaticky a preto mohol byť tak efektívny a rýchly.

Viacero prvých dní od objavenia WannaCry sa objavovali informácie, že útok sa šíril aj phishingovými emailami a systémy boli prvotne infikované po súčinnosti užívateľov, ktorí otvárali škodlivé prílohy.

Tieto informácie sme zachytili aj my, neexistovali pre ne ale dôkazy a naopak viaceré indície naznačovali že minimálne masívnejšie phishingové útoky neboli realizované. Len raz sme hneď na druhý deň v sobotu 13. mája poukázali na existenciu informácií o možných phishingových emailoch, označili sme ich ale za nepotvrdené.


Screenshot okna s informáciami škodlivého kódu, kliknite pre zväčšenie (obrázok: Kaspersky Lab)



V pondelok ale Eset na svojich stránkach zverejnil bližšie informácie k WannaCry, ktoré zrejme rozposlal aj do viacerých médií, keď viaceré ich v rovnakom znení publikovali. V nich uvádzal ako fakt, že sa infekcia šírila emailom. "Infekcia sa na počiatku začala v piatok šíriť škodlivými e-mailami, keďže sa však správala ako červ, začala neskôr cez sieť a internet vyhľadávať potenciálne obete s nezaktualizovaným operačným systémom," uvádzal pôvodne podľa cache Google ešte minimálne 15. mája o 21:47, teda tri a pol dňa po prepuknutí infekcie.

Spoločnosti sme sa v utorok pýtali, či má potvrdené informácie o phishingu respektíve dôkaz. V stredu avizovala, že jej detekcie hovoria len o šírení vo forme červa. "Naše detekcie hovoria len o šírení v podobe červa, resp. cez exploity EternalBlue a DoublePulsar. Žiadne emaily šíriace ransomware WannaCryptor sme zatiaľ nezachytili," uviedol pre DSL.sk Ondrej Kubovič, špecialista na digitálnu bezpečnosť z ESET-u.

Na základe čoho teda pôvodne informovala, že sa červ šíri cez phishing, nie je jasné. Na doplňujúce informácie zo stredy spoločnosť zatiaľ neodpovedala.

V súčasnosti je už informácia na stránkach spoločnosti preformulovaná a informácia o šírení emailami sa v nej už explicitne nenachádza. "Infekcia sa na počiatku začala šíriť v Španielsku, keďže sa však správala ako červ, začala neskôr cez sieť a internet vyhľadávať potenciálne obete s nezaktualizovaným operačným systémom," uvádza sa v aktuálnom znení.

Samozrejme, že ak zatiaľ neboli nájdené dôkazy o phishingu, tiež nemusí nutne znamenať, že phishingom sa červ nešíril. Aj keď v stredu napríklad bezpečnostná spoločnosť Sophos opačne informovala, že červ sa emailami podľa jej zistení zrejme nešíril.

Informácia o šírení alebo nešírení WannaCry aj phishingom samozrejme nemala zásadný význam, aj keď napríklad mohla odkloniť zdroje firiem na riešenie potenciálneho vektora infekcie cez email. Zároveň informácie o takej udalosti ako červ sú najmä v prvých hodinách dynamické. Publikovanie informácií na tretí deň od vypuknutia infekcie bezpečnostnou spoločnosťou, ktoré následne koriguje a nie je teda o nich stopercentne presvedčená, zrejme ale nie je optimálne.

Neoptimálne odporúčanie

Neoptimálne ale vo svetle dnešných informácií vyznieva najmä odporúčanie Esetu pre obete.

Ako sme informovali v dnešnom článku, bezpečnostní experti vyvinuli nástroj, ktorý na niektorých infikovaných systémoch môže zistiť privátny RSA kľúč použitý na danom infikovanom PC použiteľný k odšifrovaniu všetkých zašifrovaných súborov. Nutným predpokladom jeho funkčnosti je, že počítač nebol od infikovania reštartovaný.

Nástroj totiž kľúč respektíve prvočísla, z ktorých bol vygenerovaný, dokáže nájsť v pamäti. Podarí sa mu to ale iba ak tieto neboli medzičasom prepísané a na akom percente počítačov je reálne účinný je otázne.

Eset v každom prípade v článku o WannaCry a odporúčaniach odporúčal a stále odporúča po zistení infekcie počítač vypnúť. "Ak vy alebo niekto z vašich kolegov spustí na svojom zariadení podozrivý súbor alebo si všimne, že niektoré uložené súbory sa zrazu nedajú otvoriť alebo sa vám zobrazí priamo Ransomware obrazovka, okamžite zariadenie odpojte od internetu, firemnej siete a aj elektrickej siete," uvádza.

Toto odporúčanie vyzerané ako všeobecné odporúčanie pre šifrujúci ransomvér a samozrejme v niektorých situáciách môže zachrániť užívateľovi časť súborov.

Odpojenie od počítačovej siete v prípade WannaCry je zrejme optimálne odporúčanie. Vypnutie počítača respektíve jeho odpojenie od elektrickej siete v prípade WannaCry už môže byť problematické a užívateľov, ktorí už tak či tak mali zašifrované všetky súbory, pripraví v kontexte najnovších informácií o šancu použiť nový zverejnený nástroj na získanie kľúča z pamäte.

Univerzálne odporúčanie tohto typu optimálne pre ľubovoľný ransomvér nie je jednoduché navrhnúť, aj keď vypnutie zrejme môže mať potenciálne negatívne účinky práve kvôli strate schopnosti získať dáta z pamäte u viacerých ransomvérov. Na druhej strane od bezpečnostnej spoločnosti by sa očakávali inštrukcie najvhodnejšie pre konkrétnu hrozbu a špeciálne, ak je možnosť potenciálneho získania kľúča z pamäte v súčasnosti známa už takmer 24 hodín.

Eset sme na túto skutočnosť upozornili už pred šiestimi hodinami, odporúčanie okolo 23:00 ešte nebolo aktualizované a spoločnosť zatiaľ tiež neodpovedala na otázku, ako hodnotí toto svoje odporúčanie.

Odporúčanie bolo síce publikované v pondelok, stále je ale odkazované zo slovenskej hlavnej stránky spoločnosti a spoločnosť ho zrejme nemá problém aktualizovať podobne ako ho aktualizovala v prípade informácie o phishingu.

Ako informoval o WannaCry server DSL.sk si možete pozrieť v tejto sérii článkov.

Funkčná ochrana

Na druhej strane Eset sa chváli ochranou, keď podľa tvrdení spoločnosti jej produkty dokázali na sieťovej úrovni detekovať EternalBlue už od 25. apríla. Teda len 11 dní po zverejnení exploitu skupinou The Shadow Brokers a viac ako dva týždne pred prepuknutím WannaCry.

Eset to dokumentuje testom, ktorý bol zrealizovaný spoločnosťou MRG Effitas ale až tento štvrtok 18. mája. V ňom dokázali zastaviť EternalBlue inštalujúci backdoor DoublePulsar len tri riešenia, Eset, Kaspersky a F-Secure. Aké všetky boli testované nie je jasné.

Či to znamená, že Eset dokázal stopercentne zastaviť šírenie červa WannaCry v čase jeho šírenia od 12. mája, zisťujeme.


      Zdieľaj na Twitteri



Najnovšie články:

S inováciami Intelu to nebude tak horúce, 10-nm procesory majú prísť oveľa neskôr
Najbezpečnejším prehliadačom je Chrome, tvrdí rozsiahla analýza
Nové CPU Intelu možno výrazne zdražejú
Tvorca BitTorrentu zverejnil základy novej kryptomeny, úplne inej ako Bitcoin
Zákazníci webhostingov a webhostingové firmy pozor, cez Apache je možné kradnúť dáta
Orange u nových paušálov tlačí do jeho pripojenia domácnosti k Internetu, je povinné
Telekom mení dáta na Easy, prichádza stopnutie, dokupovanie aj prenášanie
CCleaner bol infikovaný zrejme hacknutím kompilačného prostredia, obeťami milióny
Skylink pridal ďalšie dva o hodinu posunuté kanály, má ich už päť
Amazon začína spoplatňovať virtuálne servery EC2 sekundovou tarifikáciou


Diskusia:
                               
 

shadow copies a zalohy by mali byt standard, aspon vo firmach.
Odpovedať Známka: 4.4 Hodnotiť:
 

snapshoty filesystemov stacia, skod ze ntfs nic take nema...
Odpovedať Známka: 2.9 Hodnotiť:
 

shadow copy su to iste, nie?
Odpovedať Známka: 3.3 Hodnotiť:
 

niesu shadow copies len docasne?
Odpovedať Známka: -2.0 Hodnotiť:
 

Windows shadow copy je parodia.
Odpovedať Známka: 3.0 Hodnotiť:
 

Paródiou sú všetky vaše príspevky vyššie. Keď hovno viem, tak budem ticho, alebo si aspoň otvorím gúgl.
Odpovedať Známka: 1.3 Hodnotiť:
 

A Spok, eventualne iny skutocny odbornik, v takom pripade na skusku ani nejde.
Odpovedať Známka: 5.6 Hodnotiť:
 

Vdaka bohu a jeho synacikovi, sudruhovi Deziskovi, si take sofYstYkovane ficurky, bezny linuxak neuzije.
Takze.... install linux, prestan sa toho bat a vyhovarat sa na .... cokolvek.
.
BTW, pred dvomi dnami sa mi jeden "profik" z nay-ky snazil nahovorit, ze pre pouzivanie linuxu treba stale nieco kompilovat.
Popri tom sa ma dost okato snazil dotlacit do kupy applu, alebo hw s windows.
Je mi ho luto, ale v dobrom. ;-)
Odpovedať Známka: 6.0 Hodnotiť:
 

Pre fw macov vyzadovany bless pre zmenu z uefi na bios zavadzac ale pod inym os alternativa nie je, takze...
Odpovedať Známka: -3.3 Hodnotiť:
 

Alternativa je vzdy, ked sa vie, takze....
Odpovedať Známka: 10.0 Hodnotiť:
 

Ale softverova priekazne len v tom vesmire, kde je definovane vzdy pred prvym efi bootom, takze....
Odpovedať Známka: -4.3 Hodnotiť:
 

Takze je to priekazne, vedel som ze tam je pes zakopany!
Odpovedať Známka: 10.0 Hodnotiť:
 

Shadow copy je totalne zbytocna vo chvili ked chytis pokrocilejsi ransomware.snimky nie si readonly.nic co nie je readonly nie je bezpecne.
Odpovedať Známka: 7.3 Hodnotiť:
 

Aby som sa poopravil,ak mas na systeme ransomware,pokojne ti snapshoty zmazne a mas "po zalohe", v tomto slova zmysle.
Odpovedať Známka: 6.7 Hodnotiť:
 

cokolvek co je na nete nie je v bezpeci, ale ani offline - vid HP tlaciarne ktore sa mali k istemu datumu zablokovat pre neoriginalne tonery alebo cartrige
Odpovedať Známka: 8.3 Hodnotiť:
 

Su read only.
Odpovedať Známka: -3.3 Hodnotiť:
 

Tieňové kópie ten WannaCry maže a aj vypne Obnovu systému.
Odpovedať Známka: 10.0 Hodnotiť:
 

nemo: "na pozadi zeru dost vykonu" je nieco ako ked sledujem teraz hned vytazenie procesora dajme tomu 20 sekund... 1%.....0%, 2%, 0%, 1% 0%, 1%0%, 1 %, 0%, 1%.....
Odpovedať Známka: 6.7 Hodnotiť:
 

Kto neskace neni cech hej hej hej
Odpovedať Známka: 10.0 Hodnotiť:
 

zapni firefox a gmail ci youtube ;)
Odpovedať Známka: 10.0 Hodnotiť:
 

Kaspersky hned v nasledujuci den po prepuknuti sirenia rozposlal svojim partnerom informaciu, ze jeho sietova ochrana ucinne blokuje tento virus/utoky a mozu to aj svojim klientom prezentovat. To este v Esete len studovali, ako sa to vlastne siri ;-)
Odpovedať Známka: 5.2 Hodnotiť:
 

Eset v9+ a v6+ blokoval vyuzitie daneho exploitu. Zaroven verim tomu ze urcite studovali ako sa to siri, rovnako ako Kaspersky a vsetky ostatne AV spolocnosti.
Odpovedať Známka: 5.0 Hodnotiť:
 

Dennik N tak isto ako ich sponzor ESET siri fake news.. nic nove..
Odpovedať Známka: 1.3 Hodnotiť:
 

[citation needed]
Odpovedať Známka: 2.6 Hodnotiť:
 

Pouziva sa na to metoda "pozrem, vidim". Clanok povrdzujuci sirenie fake news Dennikom N v Denniku N totiz nenajdes.
Odpovedať Známka: 0.9 Hodnotiť:
 

out of topic:
takze este asi jeden den a BTC bude nad 2K $ !!!!!!!!!!!

https://goo.gl/UkJJpy
Odpovedať Známka: -5.0 Hodnotiť:
 

zaujimave, ze som ho ja trulo nekupil pri 400, a pred tym pri 40 a predtym pri 4
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne kat. Medzi nic a 2K nic je, narozdiel od 4K, priekazne rozdiel.
Odpovedať Známka: -1.4 Hodnotiť:
 

ked to takto pojde dalej, za 5 rokov moze byt 30 000 $ a 5 BTC bude sakra-majetok

alebo 3 $
Odpovedať Známka: 3.3 Hodnotiť:
 

Prve dni ESET nezachyti nic, potom zacne hlasit kazdy podozrivy mail. Mohli by to zlepsit, lebo zatial slabota.
Odpovedať Známka: 8.5 Hodnotiť:
 

Presne toto som chcel napisat. Dojde mi mailom exac, samozrejme s obsahu pofiderneho mailu tusim, ze je to virus ... Na druhy den (cca 24h) uz Eset jaci, ze virus a mazne to ... No nic, uz sa aj kolega spalil v par firmach, kde to spustili, nechame vyexpirovat licencie a na buduci rok plosne nasadime Kasperskeho ..
Odpovedať Známka: 6.3 Hodnotiť:
 

Nechcem obhajovat ESET, ale nic nie je ciernobiele. Pri podozreni na virus vzdy skenujem PC viacerymi AV nastrojmi a nemozem potvrdit, ze nejaky by vzdy vynikal. Raz je dobry jeden inokedy druhy. Pri Esete je potrebne mat zapnute vsetky jeho featury ... HIPS, LiveGrid atd.
Odpovedať Známka: 6.0 Hodnotiť:
 

Nasadit Kasperskeho mozes aj pred expirovanim licencii ESET, a ziskas este slusnu konkurencnu zlavu ;) ... iked sam o sebe je Kaspersky za neporovnatelne rozumnejsi peniaz ako ESET. Uz pri 20 licenciach je cena ESETu 2-nasobna pri Kasperskemu a to ani nevravim o domrvenej novej verzii ESET remote administrator, ktory si vyzaduje instalaciu takmer este aj noveho toaletaku na WC... :(
Odpovedať Známka: 10.0 Hodnotiť:
 

No .. Problem je, ze na SK Eset brutalne valcuje konkurenciu dumpingovymi cenami ... Tam je potom tazko nieco vysutazit ...
Mam od davatela peknu pikosku, ako sa vyssie zmienana firma dostala na jedno ministerstvo ... Musel som sa smutne zasmiat, ze tadialto naozaj cesta pre konkurenciu nevedie ...
Po prepocte na licenciu mi vysla taka cena, ze to hadam nema ani skolstvo (a to uz ja asi najvyssi level, co si pametam z ich cennika).
Jo, novy RAT bola chutovka ...

Este na margo novych aktualizacii: podaktori uz pochopili, ze neuronove siete sa daju pouzit ja na toto.
(takze skenujes voci cloudu - osobne mraciky nemam rad, ale toto uznavam).

No a kto si dovoli nechat prist do firmy .exe, .js, a ine si za problem moze sam ..
(Mam tu pekny vlastny zoznam co do firmy nepatri - vlastna tvorba).
Odpovedať Známka: 3.3 Hodnotiť:
 

Cena sa vztahuje vzdy na pocet zakupenych licencii. Cize niekto kto kupuje 10000 lic. bude mat inu cenu ako niekto s 1000 lic.

btw. ERA od ver 6.5 je uz pouzitelna. Uvedenie verzie 6.0 bola dost nepripravena akcia a docela velke trapenie.
Odpovedať Hodnotiť:
 

posledny odstavec: 100% suhlas. ak sa toto dostane do firemneho mailu, tak to uz naozaj zostava rozum stat...
Odpovedať Hodnotiť:
 

Doporucujem taketo skusenosti hlasit na podporu. Ja viem, stoji to cas, ale je aspon aka taka sanca, ze sa nieco zlepsi.
Odpovedať Známka: 3.3 Hodnotiť:
 

------------------- ------------------- -------------------
panko asi netusi co je "zero day/hour vulnerability", je uplne u zadku aky mas produkt

nulty/zlaty den/hodinka zranitelnosti

ono totiz antivirusove a antismamove databazove vzorky su VZDY VZDY aktualizovane az ex-post a teda oneskorenim, jedine ze by sa v nasom vesmire zamenila pricina a nasledok a dalsiu chvilu trva kym sa vzorky zdokonalia

dosledok: spamove a virusove vlny BOLI, SU a BUDU !!!!!!!!

ano podla kvality antiviru/antispamu za par hodin alebo za tyzden to uz detektuje a korektne vyhadzuje, ale v prvej chvili nie
------------------- ------------------- -------------------
Odpovedať Známka: 10.0 Hodnotiť:
 

hej hej virusove vlny boli, su a budu. ale vzdy vzdy ex-post neni zas az tak uplne pravda v pripade, ze antivirak robi heuristicky scan. tam moze vyhodnotit potencionalne aj neznamu hrozbu ak splna niektore znaky malwaru
Odpovedať Hodnotiť:
 

Hop sup, namiesto fantastickej titulky radsej spravit test v akkych percentach je mozne najst ten kluc :) Vedel som o tejto moznosti, ale asi by som aj tak radsej vypol PC. Predsalen zachranim aspon cosi
Odpovedať Známka: 0.0 Hodnotiť:
 

zalezi ako vcas rychlo vypnes pc ale, tzn ze mozno zachranis posledne tri fotky z dovolenky pred zasifrovanim ale moznost stratit kluc stratis uplne...
Odpovedať Známka: 10.0 Hodnotiť:
 

pracujes v esete? :D
Odpovedať Známka: 4.3 Hodnotiť:
 

nie. ale pomerne pravidelne mam na praci vyhodnocovanie rizik. a nikde som zatial nenasiel informaciu o uspesnosti tejto metody :)
Odpovedať Známka: -5.0 Hodnotiť:
 

A co uspatie pocitacu? Nasledne sa moze spravit kopia disku a idealne i ramky (v domacich podmienkach asi tazko) a pripadne potom pocitac zapnut a spravit kopiu ramky a nasledne format, reinstall a bezne pouzivat. Potom ked sa (o tyzden, mesiac, pol roka) najde riesenie, vytiahnut zalohy a pouzit...
Odpovedať Známka: 3.3 Hodnotiť:
 

Na stiahnutie dat z RAM nepotrebujes PC uspavat a ani nebolo vhodne. Pouzit mozes napr FTK imager, Volatility, Redline ...
Odpovedať Hodnotiť:
 

Pravdu mas. Pri rieseni zasifrovania jedneho PC Teslacryptom, trvalo zasifrovanie vsetkych dat v PC asi dva dni, pricom user pocas nich niekolko krat pc vypol alebo restartoval. Cize ak vobec uzivatel prijde na to, ze sa mu nieso s PC deje, s velkou pravdepodobnostou dane PC niekolko krat restartoval alebo vypol. V tomto kontexte je to lepsie ihned vypnut.
Odpovedať Známka: 7.1 Hodnotiť:
 

Tu sa ale nejedna o nejaky teslacrypt
Odpovedať Známka: -2.0 Hodnotiť:
 

A ako vies, aky virus prave mas? Ked po x hodinach zistis, ze aha to je WannaCry, uz je to jedno.
Odpovedať Známka: 10.0 Hodnotiť:
 

na to pr@ve narazam
Odpovedať Hodnotiť:
 

Teslacrypt bol uvedeny ako priklad. Podstatne je, ze ziadny ransomware nezasifruje data za par minut a pokial si pouzivatel vsimne, ze sa nieco deje je mozne, ze PC uz mal viac krat restartovane/vypnute.
Odpovedať Hodnotiť:
 

je to proste paradicka eternalblue. je to ako mat teamviewer vsade :) kedze t-com dsl vieme ako si otvorit port :)
Odpovedať Známka: 3.3 Hodnotiť:
 

Kontaktujte nás prosím na redakcia at dsl.sk
Odpovedať Známka: 6.0 Hodnotiť:
 

Mimochodom, na dvoch PC s Win 10 mi neviem kedy, asi po poslednej aktualizacii zmizli nazdielane priecinky ked otvorim "Sieť". Vidim tam akurat svoj router, ziadne zdielane pocitace a priecinky. Suvisi to s tym ? Ci ako fixnut ? Nemenil som nic v systeme a uz vobec nie v oboch naraz.
Odpovedať Hodnotiť:

Pridať komentár