• Bądź na bieżąco
FEN_orange_wht
Kontakt

Dzień: 2017-05-15

Opublikowane w

Czym jest i jak walczyć z WannaCry Ransomware?

Wielu z Was słyszało już zapewne o wariancie malware szyfrująceym dane czyli krypto ransomware, pisaliśmy o jego historii i jak mu zapobiegać w jednym z naszych poprzednich artykułów. Ataki na wielką skalę które rozpoczęły się w ubiegły piątek min. w jednostkach Służby Zdrowia w Wielkiej Brytanii,  fabrykach Renault we Francji, uziemionych dzisiaj z tego powodu, czy na dworcu we Frankfurcie uzmysłowiły wszystkim jak niebezpieczne może być oprogramowanie tego typu.

Szacuje się, że na chwilę obecną WannaCry uderzył w ponad stu krajach i dotknął setki tysięcy komputerów, nie wiadomo dokładnie co będzie z jego odmianami, które już zaczęły się pojawiać. Szczęście w nieszczęściu, główny atak udało się powstrzymać gdy jeden ze specjalistów bezpieczeństwa analizujących próbkę oprogramowania zarejestrował domenę do której oprogramowanie odwoływało się, a która de facto nie istniała. W momencie gdy oprogramowanie uzyskuje odpowiedź z zarejestrowanej domeny zatrzymuje się i nie dochodzi do szyfrowania. Podejrzewa się, że miał to być mechanizm obrony przed środowiskiem typu sandbox, w którym oprogramowanie nie wykonałoby się gdyby uzyskało w nim odpowiedź z adresu IP domeny która nie powinna istnieć w rzeczywistości.

Głównym źródłem infekcji jest spam, zawierający załącznik .zip po którego uruchomieniu oprogramowanie rozpoczyna pracę. Nie musi to być jedyne źródło, dlatego warto edukować pracowników aby nie otwierali załączników w wiadomościach które ich nie dotyczą, lub na które nie czekali(np. listy przewozowe z firm spedycyjnych). Zainfekowany komputer staje się źródłem problemów dla całej sieci ponieważ WannaCry wykorzystuje podatność w protokole SMB z możliwością zdalnego wykonywania kodu. Łata systemowa która usuwa tą podatność została wydana przez Microsoft w marcu tego roku, jednak nie wszystkie systemy korzystają z automatycznych aktualizacji, z różnych powodów, czasami wynikających z konieczności przetestowania aktualnie wykorzystywanych programów firm trzecich z nową łatą systemową lub ich dopasowania. W tym wypadku nie ma jednak na co czekać i warto zaktualizować system jak najszybciej: MS17-010.

Jeżeli korzystasz jeszcze z systemów XP lub WS2003 które nie są automatycznie wspierane przez Microsoft i wymagają wykupienia dodatkowego maintenance, system musisz zaktualizować ręcznie, na szczęście Microsoft zrobił wyjątek od reguły i udostępnił tą łatę dla wszystkich.

Jednocześnie upewnij się, że oprogramowanie antywirusowe z którego korzystasz jest zaktualizowane i posiada sygnatury aby wykryć już znane wersje oprogramowania WannaCry. W przypadku firmy Sophos z którą współpracujemy, pierwsze sygnatury pojawiły się w piątek, a w trakcie weekendu wprowadzono modyfikację dzięki którym wszystkie aktualnie znane warianty Wanna są blokowane przez Sophos Endpoint Protection przy próbie uruchomienia. Klienci wykorzystujący klasyczną ochronę powinni się upewnić, że oprogramowanie na stacjach i serwerach zostało zaktualizowane. Jeżeli korzystasz z mechanizmów ochrony takich jak InterceptX czy Exploit Prevention, zawarty w nich moduł Cryptoguard wykryje próbę szyfrowania, zrobi kopię zapasową i odtworzy pliki do pierwotnej postaci, zgodnie ze stanowiskiem Sophos, klienci posiadający te produkty byli zabezpieczeni przed atakiem tego rodzaju. Dla przypomnienia: Jak działa Cryptoguard w InterceptX

Upewnij się jednak że polityki ochrony skonfigurowane są zgodnie z rekomendacjami Sophos.

Przewiduje się, że ataki oparte na Wanna i jego modyfikacjach przybiorą na sile w najbliższym czasie, dlatego nie zwlekaj z aktualizacją systemu i sprawdzeniem swojego oprogramowania antywirusowego.
Więcej informacji na temat ataku oraz rekomendacji można znaleźć na:

Artykuł bazy wiedzy Sophos dedykowany temu problemowi: Wana Decrypt0r 2.0 Ransomware

Więcej o samym ataku: Wanna Decrypter 2.0 ransomware attack: what you need to know

Rekomendacje Microsoft: Customer Guidance for WannaCrypt attacks

Best Practice Sophos: Endpoint Security and Control

Narzędzie do weryfikacji polityk w Sophos Enterprise Console: PET

Opublikowane w

Najlepszy sposób na bezprzewodowy przesył obrazu i pozbycie się kabli z salki konferencyjnej

Ostatnio, dobrze znane w branży kosmetycznej przedsiębiorstwo zgłosiło się do nas z prośbą o wyposażenie ich sal konferencyjnych w nowo wybudowanym kompleksie w system prezentacji.  Najistotniejszym z postawionych wymogów było pozbycie się niepraktycznego przewodu VGA, a co za tym idzie nieskończonej ilości przejściówek (dla różnego rodzaju podłączanych laptopów itp.).

Wśród życzeń znalazły się również:

  • konieczność bezprzewodowego prezentowania z urządzeń mobilnych (takich jak smartfon lub tablet),
  • prezentowanie z czterech urządzeń jednocześnie (możliwość podziału ekranu),
  • możliwie jak najbardziej ograniczoną sprzętowo instalację,
  • dostęp do Internetu nawet podczas prezentowania,
  • obsługę ekranu dotykowego.

Rozwiązanie w jednym pudełku!

W naszej ofercie znajduje się produkt, które doskonale spełnia te wymagania: wePresent WiPG-2000s. Jako że podobne rozwiązania są niezbędne w każdej nowoczesnej salce konferencyjnej, a plączące się kable są nadal popularnym problemem, postanowiliśmy napisać kilka słów o wdrożeniu.

Instalacja ograniczała się do minimum. Urządzenia należało po prostu położyć na projektorze i połączyć z nim krótkim przewodem HDMI (lub VGA). W salach, w których zainstalowano ekran dotykowy należało dodatkowo podłączyć przewód USB do urządzenia. Dzięki temu pozbyliśmy się konieczności instalacji sterowników do obsługi ekranów dotykowych na urządzeniach, z których zamierzamy przesyłać sygnał AV.

W celu rozpoczęcia prezentowania każdy pracownik został zaopatrzony w aplikację MirrorOp dostępną na najpopularniejsze systemy operacyjne (Windows, Android, iOS itp.). Dodatkowo, otrzymał pendrive z którego bez konieczności instalacji aplikacji na komputerze będą mogli uruchomić aplikację.

A co jeśli nie będę miał aplikacji MirrorOp?

Z możliwości prezentowania korzystają również osoby spoza firmy. Z tego względu poproszono o rozwiązanie dające możliwość prezentowania bez konieczności instalacji aplikacji na urządzeniu, z którego zamierzamy nadawać obraz. Zrezygnowano także z łączności za pośrednictwem portu USB ze względu na fakt, że wiele środowisk (np. prawnicy) posiada zablokowane wymienione wcześniej złącza.

W tym celu zastosowano dodatkowe akcesorium do WiPG-2000s w postaci Sharepod’a. Dzięki temu zapominamy o konieczności używania aplikacji MirrorOp, z której łączymy się z WiPG-2000s. Wystarczy połączyć się przewodem HDMI do komputera, a następnie nacisnąć przycisk rozpoczynający prezentowanie.

W kwestii konfiguracji ustawień wystarczyło tylko wyłączenia Access Point, czyli punktu dostępowego, który rozsyłał wePresent oraz podłączenie go do infrastruktury sieciowej w budynku. Kolejnym krokiem było „sparowanie” WiPG-2000s z opisanym wcześniej Sharepod’em. Jest to bardzo prosta czynność. Wystarczy na 20 sekund podłączyć przewodem USB WiPG-2000s z nadajnikiem, czyli w tym przypadku Sharepod’em.

Podsumowując

Całą instalację wykonali sami pracownicy firmy po zaledwie kilkunastominutowym wprowadzeniu w tajniki bezprzewodowej transmisji AV naszej FEN ekipy.

W ramach opisanego wdrożenia wykorzystano:

Specjalizujemy się w nowoczesnych rozwiązaniach teleinformatycznych, zarówno tych standardowych, jak i szytych na miarę. Każdy Twój projekt wesprzemy opieką dedykowanego account managera, certyfikowanych inżynierów, szkoleniami czy prezentacjami u klientów.

© 2021 FEN • All rights reserved • Polityka prywatności | System B2B
Facebook Linkedin Youtube