[MASOCH-L] Ransoware - PENINSULA IBÉRICA - 12/05

Tiago Flôres tiago at balensiefer.com.br
Fri May 12 17:04:28 -03 2017


Entre 13:08 até agora nosso prefixo IP recebeu milhares de tentativas de
conexão em todos os IPs do nosso bloco IPv4.

As origem como podem ver são do mundo inteiro, especialmente europa e asia.


TCP/445:

Date first seen          Duration Proto      Src IP Addr:Port
 Dst IP Addr:Port   Out Pkt   In Pkt Out Byte  In Byte Flows
2017-05-12 13:30:41.889     0.002 TCP      62.210.202.63:45831 <->
xxx.x.xxx.171:445          0        2        0       92     2
2017-05-12 13:36:32.188     3.004 TCP       78.137.59.38:1784  <->
 xxx.x.xxx.2:445          0        4        0      192     2
2017-05-12 13:32:27.227     0.001 TCP      62.210.202.63:45831 <->
xxx.x.xxx.78:445          0        2        0       92     2
2017-05-12 13:43:39.575     0.001 TCP      178.62.243.25:38047 <->
xxx.x.xxx.124:445          0        2        0       92     2
2017-05-12 13:20:08.921     2.925 TCP    190.206.191.119:2705  <->
xxx.x.xxx.125:445          0        4        0      192     2
2017-05-12 13:33:25.132     3.000 TCP     195.239.105.31:4282  <->
xxx.x.xxx.49:445          0        4        0      192     2
2017-05-12 13:50:06.835     2.964 TCP      85.193.150.98:2015  <->
xxx.x.xxx.14:445          0        4        0      192     2
2017-05-12 13:50:11.436     2.971 TCP      186.88.136.21:4065  <->
 xxx.x.xxx.5:445          0        4        0      192     2
2017-05-12 13:30:53.478     0.000 TCP      62.210.202.63:45831 <->
xxx.x.xxx.181:445          0        2        0       92     2
2017-05-12 13:50:30.225     0.001 TCP      125.63.82.246:38419 <->
xxx.x.xxx.47:445          0        2        0      104     2
2017-05-12 13:36:34.254     0.017 TCP         37.23.8.23:63155 <->
xxx.x.xxx.173:445          0      230        0    11960     2
2017-05-12 13:31:50.190     0.001 TCP      62.210.202.63:45831 <->
xxx.x.xxx.114:445          0        2        0       92     2
2017-05-12 13:29:52.693     2.937 TCP    213.149.221.194:1828  <->
xxx.x.xxx.12:445          0        4        0      192     2
2017-05-12 13:30:42.640     0.002 TCP      62.210.202.63:45831 <->
xxx.x.xxx.174:445          0        2        0       92     2
2017-05-12 13:31:51.485     2.990 TCP     14.162.193.177:1327  <->
xxx.x.xxx.83:445          0        4        0      192     2
2017-05-12 13:43:55.919     2.961 TCP       221.133.9.46:4043  <->
xxx.x.xxx.79:445          0        4        0      192     2
2017-05-12 13:31:56.328     0.001 TCP      62.210.202.63:45831 <->
xxx.x.xxx.121:445          0        2        0       92     2
2017-05-12 13:21:44.986     3.133 TCP       37.206.7.202:1970  <->
xxx.x.xxx.42:445          0        4        0      192     2
2017-05-12 13:32:24.893     0.001 TCP      62.210.202.63:45831 <->
xxx.x.xxx.133:445          0        2        0       92     2
2017-05-12 13:31:41.750     0.001 TCP      188.166.7.166:53255 <->
xxx.x.xxx.48:445          0        2        0       92     2
2017-05-12 13:44:11.549     9.019 TCP      113.76.28.233:4243  <->
xxx.x.xxx.168:445          0      678        0    34352     4
2017-05-12 13:40:50.851     2.880 TCP       94.196.69.72:3799  <->
xxx.x.xxx.27:445          0        4        0      192     2
2017-05-12 13:39:00.673     2.996 TCP       95.171.4.180:3626  <->
xxx.x.xxx.91:445          0        4        0      192     2
2017-05-12 13:49:56.656    76.750 TCP      182.18.23.242:1787  <->
xxx.x.xxx.130:445          0        9        0      792     3
2017-05-12 13:32:36.061     0.001 TCP      62.210.202.63:45831 <->
xxx.x.xxx.40:445          0        2        0       92     2
2017-05-12 13:46:21.113     3.002 TCP        123.30.5.66:3717  <->
xxx.x.xxx.98:445          0        4        0      192     2
2017-05-12 13:32:15.791     0.001 TCP      62.210.202.63:45831 <->
xxx.x.xxx.15:445          0        2        0       92     2
2017-05-12 13:31:39.720     0.000 TCP      62.210.202.63:45831 <->
xxx.x.xxx.243:445          0        2        0       92     2
2017-05-12 13:32:24.893     0.000 TCP      62.210.202.63:45831 <->
xxx.x.xxx.135:445          0        2        0       92     2
2017-05-12 13:29:50.939     3.048 TCP     200.10.103.135:3845  <->
xxx.x.xxx.114:445          0        4        0      192     2
2017-05-12 13:32:24.623     0.000 TCP      62.210.202.63:45831 <->
xxx.x.xxx.14:445          0        2        0       92     2
2017-05-12 13:45:13.502     2.989 TCP     31.172.194.103:2296  <->
xxx.x.xxx.91:445          0        4        0      192     2
2017-05-12 13:33:27.098     0.000 TCP      62.210.202.63:45831 <->
xxx.x.xxx.141:445          0        2        0       92     2
2017-05-12 13:42:35.453     0.000 TCP      62.210.202.63:45831 <->
xxx.x.xxx.27:445          0        2        0       92     2
2017-05-12 13:38:24.621     0.001 TCP      62.210.202.63:45831 <->
xxx.x.xxx.178:445          0        2        0       92     2
2017-05-12 13:29:58.586     2.996 TCP       80.32.253.46:4327  <->
xxx.x.xxx.62:445          0        4        0      192     2
2017-05-12 13:31:54.361     0.000 TCP      62.210.202.63:45831 <->
xxx.x.xxx.62:445          0        2        0       92     2
2017-05-12 13:32:28.396     0.000 TCP      62.210.202.63:45831 <->
xxx.x.xxx.99:445          0        2        0       92     2
2017-05-12 13:40:00.350     0.001 TCP      46.101.118.25:39639 <->
xxx.x.xxx.32:445          0        2        0       92     2
2017-05-12 13:32:32.136     0.001 TCP      62.210.202.63:45831 <->
xxx.x.xxx.116:445          0        2        0       92     2




Em 12 de maio de 2017 16:56, Leandro <leandro at spfbl.net> escreveu:

> Paulo. Já tem informações sobre os vetores deste ransoware? Sabe se está
> sendo transmitido por e-mail?
>
> Leandro
> SPFBL.net
>
> Em 12 de maio de 2017 14:06, Paulo Henrique <paulo.rddck at bsd.com.br>
> escreveu:
>
> > Creio que é assunto para ambas as listas, as vezes o participante só está
> > em uma delas.
> > Hoje pela manhã um novo ransoware deu o ar das graças pelo lado da
> Europa,
> > e conforme visto no MalwareTech já chegou no Brasil.
> > O pessoal que não atualizou o Windows e o firewall não foi configurado
> para
> > evitar acesso aos serviços de SMB fiquem esperto, se não tiver backup
> será
> > 2BTC para resgatar.
> >
> > A vunerabilidade que é utilizada pelo ransoware:
> > https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
> >
> > A proporção de disseminação do mesmo no mundo.
> > https://intel.malwaretech.com/botnet/wcrypt
> >
> >
> > --
> > :UNI><BSD:
> > Paulo Henrique.
> > Fone: (21) 37089388.
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 

-----BEGIN PGP 2048-BIT RSA FINGERPRINT-----

3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F

-----END PGP 2048-BIT RSA FINGERPRINT-----



More information about the masoch-l mailing list