Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
Tanel
HV Guru
liitunud: 01.10.2001
|
28.06.2017 03:18:21
CERT-EE hoiatab: Uus lunavaraga nakatumise laine |
|
|
27. juuni hommikul tabas maailma uus lunavaralaine, nakatunud on mitmete suurettevõtete süsteemid. Praeguseks on teada, et pahavara levib ülikiiresti ning taaskord on sihikule võetud Windowsi süsteemid. Praeguseks on kinnitatud nakatumised toimunud kaheksas riigis, Eestis teadaolevalt ühtegi nakatumist senini toimunud pole.
Teadaolevalt on tegemist Petya lunavara täiendatud versiooniga. Sarnaselt WannaCry juhtumile, mis toimus vaid kuu aega tagasi, ei ole ka praegusel juhul leitud nakatumisvektorit, kuid kahtlustatakse taaskord SMBv1 ning ExternalBlue ärakasutamist.
Lunavaraga nakatumise oht on kõikidel Windowsi operatsioonisüsteemi kasutavatel seadmetel, eriti laialdaselt on seekordne nakatumine tabanud Windows 7 operatsioonisüsteemi kasutavaid seadmeid.
Petya lunavaraga nakatumise ärahoidmiseks soovitame paigaldada Windowsi operatsioonisüsteemi viimased turvauuendused ning sulgeda SMB versiooni 1 kasutamine organisatsiooni arvutites. Lisaks soovitame andmeid varundada.
Võimalike kahjude ärahoidmiseks soovitame veenduda, et Teil on tehtud järgmised toimingud:
Kriitiline Microsofti turvauuendus Windowsi SMB serverile: technet.microsoft.com/en-us/library/security/ms17-010.aspx
MS17-012 - Microsofti turvauuendus Windowsile (14/03/2017): support.microsoft.com/en-us/help/4013078/title
Keelake SMB1 kasutamine ettevõtte masinates: blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
Teadaolevalt puudub seekordsel lunavaraversioonil nn väljalülitusnupp, samuti pole hetkel lähemat teavet ründajate tausta ega motiivide kohta.
Juhul, kui teie süsteemid on mainitud moel kannatada saanud, ootame teid sellest teada andma Riigi Infosüsteemi Ameti intsidentide käsitlemise osakonnale CERT-EE meiliaadressil cert@cert.ee
Lühijuhend lunavaraga nakatumise ennetamiseks ja lahendamiseks (.pdf)
Esimene ingliskeelne uudis Ukraina sündmuste kohta: www.nytimes.com/reuters/2017/06/27/business/27reuters-ukraine-cyber-attacks-ukrenergo.html
Kokkuvõttev uudis: thehackernews.com/2017/06/petya-ransomware-attack.html
Allikas: https://www.ria.ee/ee/uus-lunavaralaine.html
Loe ka: http://www.bbc.com/news/technology-40416611
EDIT: http://www.delfi.ee/news/paevauudised/valismaa/euroopa-riigid-ja-suurfirmad-sattusid-massiivse-venemaalt-alguse-saanud-kuberrunnaku-alla?id=78701366
tsitaat: |
Õhtul kella 21.40 paiku laekus Delfile vihje, et ka Eestis on Saint Gobaini Glassolutions'i Baltiklaasi tehase arvutid Mäos ja Tartus samuti tänase küberrünnaku tõttu rivist väljas. |
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
arny
Kreisi kasutaja
liitunud: 08.01.2012
|
28.06.2017 08:28:55
|
|
|
selline tunne, et mingitel antiviiruste tegijatel on raha vaja ja kuna eelmine ring väga palju raha ei toonud siis nüüd uuesti, et inimesed hakkaks nende tooteid ostma.
_________________
|
|
Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
9 |
|
tagasi üles |
|
|
Mnator
HV Guru
liitunud: 18.10.2007
|
28.06.2017 09:05:41
|
|
|
eks kaspersky leiab oma turuosa liiga väikese olema, võttis ju ka vene valitsuse appi ms-ga jagelemisel
|
|
Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
tagasi üles |
|
|
degreal
HV veteran
liitunud: 07.01.2002
|
28.06.2017 09:46:58
|
|
|
arny kirjutas: |
selline tunne, et mingitel antiviiruste tegijatel on raha vaja ja kuna eelmine ring väga palju raha ei toonud siis nüüd uuesti, et inimesed hakkaks nende tooteid ostma. |
Ma ei loodaks selle peale, et ükskord tuleb päev kus kõik kurjataegijad maailmas tõdevad, et nüüd on raha piisavalt ja rohkem juurde ei taha Wannacry läks aia taha, kuna killswitch oli sisse ehitatud ja krüptovõtit ka ei saadetud. Samas nüüd on SMBv1 turvaauk juba ära lapitud ja ei usu, et ootamatult suurt kahju enam tuleb.
|
|
Kommentaarid: 25 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
23 |
|
tagasi üles |
|
|
Osiris
HV Guru
liitunud: 12.08.2002
|
|
Kommentaarid: 114 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
102 |
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
28.06.2017 10:14:10
|
|
|
LKits kirjutas: |
On juba olemas mõni usaldusväärne "plug-and-play" tool, millega saaks SMB de-aktiveerida?
Tean, et on olemas power-shell käsud, registry kirjed jms, millega saab toimingu teostatud - see kõik peaks ju olema lihtsasti programmina tehtav? |
Powershell peaks ju piisavalt plug & play olema, GPO või SCCM'i kaudu saad ju skripte jooksutada.
_________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
Kommentaarid: 223 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
192 |
|
tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
28.06.2017 10:18:59
|
|
|
Etz kirjutas: |
LKits kirjutas: |
On juba olemas mõni usaldusväärne "plug-and-play" tool, millega saaks SMB de-aktiveerida?
Tean, et on olemas power-shell käsud, registry kirjed jms, millega saab toimingu teostatud - see kõik peaks ju olema lihtsasti programmina tehtav? |
Powershell peaks ju piisavalt plug & play olema, GPO või SCCM'i kaudu saad ju skripte jooksutada. |
Plug-and-play on üpris selline, kus midagi trükkima ei pea.
Paned programmi käima, hiirega teed paar klikki ja kõik.
Tõenäoliselt peab ise tegema, Visual Studioga õnneks lihtne.
_________________ itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
tagasi üles |
|
|
Fort7
HV vaatleja
liitunud: 31.07.2011
|
28.06.2017 10:54:42
|
|
|
LKits kirjutas: |
Etz kirjutas: |
LKits kirjutas: |
On juba olemas mõni usaldusväärne "plug-and-play" tool, millega saaks SMB de-aktiveerida?
Tean, et on olemas power-shell käsud, registry kirjed jms, millega saab toimingu teostatud - see kõik peaks ju olema lihtsasti programmina tehtav? |
Powershell peaks ju piisavalt plug & play olema, GPO või SCCM'i kaudu saad ju skripte jooksutada. |
Plug-and-play on üpris selline, kus midagi trükkima ei pea.
Paned programmi käima, hiirega teed paar klikki ja kõik.
Tõenäoliselt peab ise tegema, Visual Studioga õnneks lihtne. |
Kuidas VS programmi tegemine on lihtsam kui copy-paste 1 realine PS script? Uudistes ka kõik vajalik olemas.
Scripti saad jooksutada igas arvutis maksimaalselt 2 klikkiga. Rääkimata siis GPO jne laiema võrgu puhul.
|
|
Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
4 |
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
28.06.2017 10:57:26
|
|
|
LKits kirjutas: |
Paned programmi käima, hiirega teed paar klikki ja kõik. |
Ja klikid kõik paarkümmend masinat hiirega läbi?
Ma ei viitsi sedasi isegi oma koduse 5 masina puhul teha, milleks siis Powershell on...
Milleks jalgratast leiutama hakata, mina igatahes aru ei saa...
_________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
Kommentaarid: 223 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
192 |
|
tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
tagasi üles |
|
|
Osiris
HV Guru
liitunud: 12.08.2002
|
28.06.2017 11:07:01
|
|
|
Kui raske saab olla sellist rida läbi powershelli lasta, et peab mingi exe veel leiutama?
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
|
|
|
Kommentaarid: 114 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
102 |
|
tagasi üles |
|
|
mikk351
HV veteran
liitunud: 22.02.2015
|
|
Kommentaarid: 145 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
129 |
|
tagasi üles |
|
|
Reaper
Kreisi kasutaja
liitunud: 29.08.2005
|
28.06.2017 11:19:48
|
|
|
Osiris kirjutas: |
Kui raske saab olla sellist rida läbi powershelli lasta, et peab mingi exe veel leiutama?
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
|
|
Mina ei tea küll kust seda Powershell käima saab panna ja ausalt öeldes ei tahagi teada!
|
|
Kommentaarid: 29 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
27 |
|
tagasi üles |
|
|
Janis
HV Guru
liitunud: 30.11.2005
|
28.06.2017 11:22:14
|
|
|
Reaper kirjutas: |
Osiris kirjutas: |
Kui raske saab olla sellist rida läbi powershelli lasta, et peab mingi exe veel leiutama?
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
|
|
Mina ei tea küll kust seda Powershell käima saab panna ja ausalt öeldes ei tahagi teada! |
Start, trükid powershell ja vajutad selle peale. Ei ole ju väga keeruline
|
|
Kommentaarid: 204 loe/lisa |
Kasutajad arvavad: |
|
:: |
3 :: |
5 :: |
170 |
|
tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
tagasi üles |
|
|
sukelduja
HV Guru
liitunud: 14.06.2007
|
28.06.2017 11:31:05
|
|
|
Osiris kirjutas: |
Kui raske saab olla sellist rida läbi powershelli lasta, et peab mingi exe veel leiutama?
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
|
|
Aga kui firmas on veel XP masinaid, siis need enam võrgusharedele ligi ei pääse.
|
|
Kommentaarid: 22 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
22 |
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
28.06.2017 11:45:50
|
|
|
LKits kirjutas: |
Täpselt!
Järgmine takistus - võin ju .ps1 PowerShell scripti teha, aga peab käivitama scripti admin õigustes - vastasel juhul ei saa "Disable-WindowsOptionalFeature" ja "Set-SmbServerConfiguration" käske kasutada.
Ehk peab leidma "self elevating script" lahenduse - uurin, otsin, katsetan. |
See on ju lihtne, powershell saab väga lihtsalt self elevateda, otse käivitamiseks paned kaasa aga cmd, mis su powershelli käima tõmbab.
Pmst, ühe hiireklikiga töötav lahendus.
Powershelli Execution policyt, mis skripti jooksmast takistab saab samuti tuimalt bypassida.
Kui tahad fäncy olla (siis cmd jätad üldse mängust välja), pakid kogu selle krempli lihtsalt "exe arhiiviks", mis topeltkliki peale end lahti pakib ja käima veab.
Ma tõepoolest ei näe milles probleem on...midagi pole vaja kuskil progeda.
Ei ole mõtet, ise, oma elu ülemäära keeruliseks mõelda ja kõiges probleemi näha, selle asemel tuleks näha lahendusi...
_________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
Kommentaarid: 223 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
192 |
|
tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
28.06.2017 11:54:12
|
|
|
sukelduja kirjutas: |
Osiris kirjutas: |
Kui raske saab olla sellist rida läbi powershelli lasta, et peab mingi exe veel leiutama?
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
|
|
Aga kui firmas on veel XP masinaid, siis need enam võrgusharedele ligi ei pääse. |
Jah, aga see ongi ju areng, mille puudumisel tekib turvarisk.
Etz kirjutas: |
LKits kirjutas: |
Täpselt!
Järgmine takistus - võin ju .ps1 PowerShell scripti teha, aga peab käivitama scripti admin õigustes - vastasel juhul ei saa "Disable-WindowsOptionalFeature" ja "Set-SmbServerConfiguration" käske kasutada.
Ehk peab leidma "self elevating script" lahenduse - uurin, otsin, katsetan. |
See on ju lihtne, powershell saab väga lihtsalt self elevateda, otse käivitamiseks paned kaasa aga cmd, mis su powershelli käima tõmbab.
Pmst, ühe hiireklikiga töötav lahendus.
Kui tahad fäncy olla (siis cmd jätad üldse mängust välja), pakid kogu selle krempli lihtsalt "exe arhiiviks", mis topeltkliki peale end lahti pakib ja käima veab.
Ma tõepoolest ei näe milles probleem on...midagi pole vaja kuskil progeda.
Ei ole mõtet, ise, oma elu ülemäära keeruliseks mõelda ja kõiges probleemi näha, selle asemel tuleks näha lahendusi... |
Ma näengi sellistes olukordades lahendusi.
Probleemi olemasolu ei tähenda, et lahendust ei saaks välja mõelda.
Üks ei välista teist.
Hetkel tuli siis script selline, kus on ka "self-elevation" sees:
Laadi alla siit:
https://www.upload.ee/files/7169459/Disable_SMB1_SMB2.ps1.html
Spoiler
$myWindowsID = [System.Security.Principal.WindowsIdentity]::GetCurrent();
$myWindowsPrincipal = New-Object System.Security.Principal.WindowsPrincipal($myWindowsID);
$OutputEncoding = [ System.Text.Encoding]::UTF8
$adminRole = [System.Security.Principal.WindowsBuiltInRole]::Administrator;
if ($myWindowsPrincipal.IsInRole($adminRole)) {
$Host.UI.RawUI.WindowTitle = $myInvocation.MyCommand.Definition + "(Elevated)";
$Host.UI.RawUI.BackgroundColor = "DarkBlue";
Clear-Host;
} else {
$newProcess = New-Object Diagnostics.ProcessStartInfo 'powershell.exe'
$newProcess.Arguments = '-ExecutionPolicy RemoteSigned -File "' +
$script:MyInvocation.MyCommand.Path + '"'
$newProcess.Verb = 'runas'
[Diagnostics.Process]::Start($newProcess)
Exit;
}
# Disable SMB1 and SMB2 and remove SMB1
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force -confirm:$True
Set-SmbServerConfiguration -EnableSMB2Protocol $false -Force -confirm:$True
Disable-WindowsOptionalFeature -NoRestart -Online -FeatureName smb1protocol
Write-Host -NoNewLine "SMB1 ja SMB2 edukalt eemaldatud. Toimingu lopetamiseks taaskaivitage arvuti. Akna sulgemiseks vajutage klaviatuuril suvalist klahvi...";
$null = $Host.UI.RawUI.ReadKey("NoEcho,IncludeKeyDown"); |
_________________ itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
tagasi üles |
|
|
H_K
Aeg Maha 2n
liitunud: 09.01.2002
|
28.06.2017 12:00:27
|
|
|
Alustuseks oleks vaja sellist tarkvarajuppi, mis näitaks ära, kas süsteemis neid auke üldse on, mis ohtu kujutavad ja lappimist vajaksid. Ise olen paaril viimasel päeval Windows 10-l lasknud "käsitsi" uuendusi peale, muidu tulevad automaatselt pagan teab millal - aga kuidas ma teada saan, kas Windowsi turvaparandused on selle uue augu ka ära lappinud.
Ma registritesse ja käsuridadesse süveneda ei taha - tahaks, et asjad kuidagi kultuursemalt korda saaks
|
|
Kommentaarid: 53 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
51 |
|
tagasi üles |
|
|
Etz
HV Guru
liitunud: 27.01.2005
|
28.06.2017 12:11:43
|
|
|
LKits, SMB2'e ma jätaks sinu asemel rahule...
Lisaks need 2 on AFAIK dubleerivad:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force -confirm:$True |
Disable-WindowsOptionalFeature -NoRestart -Online -FeatureName smb1protocol |
Ilma vastava "Optional featureta" pole ka vastavat Serverit.
_________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen! |
|
Kommentaarid: 223 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
192 |
|
tagasi üles |
|
|
Magic
HV Guru
liitunud: 28.12.2001
|
28.06.2017 12:15:08
|
|
|
ehituse abc oli pime
Ikka tõsine teema kui hetkel ka mingit teguvust pole.
|
|
Kommentaarid: 234 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
200 |
|
tagasi üles |
|
|
LKits
HV Guru
liitunud: 06.09.2007
|
|
Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
13 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
28.06.2017 12:40:10
|
|
|
tsitaat: |
Tallinn 28.06.2017
Käesolev pahavara epideemia on professionaalsemalt teostatud ning ettevõtetele ohtlikum võrreldes hiljutise Wannacry epideemiaga teatab F-Secure Tugikeskus Eestis. F-Secure laborid on teinud kindlaks, et hetkel leviv pahavara kuulub Petya krüptovara perekonda. See suudab iseseisvalt levida ning kasutab sama turvanõrkust, mida kasutas ka Wannacry.
Erinevalt Wannacryst ei krüpteerita antud juhul ainult failid, vaid suletakse ligipääs tervele kettale. Lunarahanõude suurus on 300 USA dollarit ning hetkel puudub kinnitus, et tasumise järgselt oleks andmetele ligipääs taastatud.
„Ettevõtted peavad kindlasti lähipäevil olema eriti ettevaatlikud. Nagu ka Wannacry puhul jäävad soovitused samaks. IT administraatorid peavad veenduma, et Windows operatsioonisüsteemid oleksid uuendatud, tulemüürid seadistatud võimalusel blokeerima port 445’st sisenevat liiklust ning veenduma, et infoturbetarkvara oleks töökorras.“ Sõnas F-Secure Tugikeskuse juht Raido Orumets.
F-Secure tugikeskus
6806888
f-secure@bcs.ee |
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
Magic
HV Guru
liitunud: 28.12.2001
|
28.06.2017 12:44:20
|
|
|
sai backup kõigest ja seiffi
|
|
Kommentaarid: 234 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
200 |
|
tagasi üles |
|
|
|