[MASOCH-L] Ransoware - PENINSULA IBÉRICA - 12/05
Tiago Flôres
tiago at balensiefer.com.br
Fri May 12 17:04:28 -03 2017
Entre 13:08 até agora nosso prefixo IP recebeu milhares de tentativas de
conexão em todos os IPs do nosso bloco IPv4.
As origem como podem ver são do mundo inteiro, especialmente europa e asia.
TCP/445:
Date first seen Duration Proto Src IP Addr:Port
Dst IP Addr:Port Out Pkt In Pkt Out Byte In Byte Flows
2017-05-12 13:30:41.889 0.002 TCP 62.210.202.63:45831 <->
xxx.x.xxx.171:445 0 2 0 92 2
2017-05-12 13:36:32.188 3.004 TCP 78.137.59.38:1784 <->
xxx.x.xxx.2:445 0 4 0 192 2
2017-05-12 13:32:27.227 0.001 TCP 62.210.202.63:45831 <->
xxx.x.xxx.78:445 0 2 0 92 2
2017-05-12 13:43:39.575 0.001 TCP 178.62.243.25:38047 <->
xxx.x.xxx.124:445 0 2 0 92 2
2017-05-12 13:20:08.921 2.925 TCP 190.206.191.119:2705 <->
xxx.x.xxx.125:445 0 4 0 192 2
2017-05-12 13:33:25.132 3.000 TCP 195.239.105.31:4282 <->
xxx.x.xxx.49:445 0 4 0 192 2
2017-05-12 13:50:06.835 2.964 TCP 85.193.150.98:2015 <->
xxx.x.xxx.14:445 0 4 0 192 2
2017-05-12 13:50:11.436 2.971 TCP 186.88.136.21:4065 <->
xxx.x.xxx.5:445 0 4 0 192 2
2017-05-12 13:30:53.478 0.000 TCP 62.210.202.63:45831 <->
xxx.x.xxx.181:445 0 2 0 92 2
2017-05-12 13:50:30.225 0.001 TCP 125.63.82.246:38419 <->
xxx.x.xxx.47:445 0 2 0 104 2
2017-05-12 13:36:34.254 0.017 TCP 37.23.8.23:63155 <->
xxx.x.xxx.173:445 0 230 0 11960 2
2017-05-12 13:31:50.190 0.001 TCP 62.210.202.63:45831 <->
xxx.x.xxx.114:445 0 2 0 92 2
2017-05-12 13:29:52.693 2.937 TCP 213.149.221.194:1828 <->
xxx.x.xxx.12:445 0 4 0 192 2
2017-05-12 13:30:42.640 0.002 TCP 62.210.202.63:45831 <->
xxx.x.xxx.174:445 0 2 0 92 2
2017-05-12 13:31:51.485 2.990 TCP 14.162.193.177:1327 <->
xxx.x.xxx.83:445 0 4 0 192 2
2017-05-12 13:43:55.919 2.961 TCP 221.133.9.46:4043 <->
xxx.x.xxx.79:445 0 4 0 192 2
2017-05-12 13:31:56.328 0.001 TCP 62.210.202.63:45831 <->
xxx.x.xxx.121:445 0 2 0 92 2
2017-05-12 13:21:44.986 3.133 TCP 37.206.7.202:1970 <->
xxx.x.xxx.42:445 0 4 0 192 2
2017-05-12 13:32:24.893 0.001 TCP 62.210.202.63:45831 <->
xxx.x.xxx.133:445 0 2 0 92 2
2017-05-12 13:31:41.750 0.001 TCP 188.166.7.166:53255 <->
xxx.x.xxx.48:445 0 2 0 92 2
2017-05-12 13:44:11.549 9.019 TCP 113.76.28.233:4243 <->
xxx.x.xxx.168:445 0 678 0 34352 4
2017-05-12 13:40:50.851 2.880 TCP 94.196.69.72:3799 <->
xxx.x.xxx.27:445 0 4 0 192 2
2017-05-12 13:39:00.673 2.996 TCP 95.171.4.180:3626 <->
xxx.x.xxx.91:445 0 4 0 192 2
2017-05-12 13:49:56.656 76.750 TCP 182.18.23.242:1787 <->
xxx.x.xxx.130:445 0 9 0 792 3
2017-05-12 13:32:36.061 0.001 TCP 62.210.202.63:45831 <->
xxx.x.xxx.40:445 0 2 0 92 2
2017-05-12 13:46:21.113 3.002 TCP 123.30.5.66:3717 <->
xxx.x.xxx.98:445 0 4 0 192 2
2017-05-12 13:32:15.791 0.001 TCP 62.210.202.63:45831 <->
xxx.x.xxx.15:445 0 2 0 92 2
2017-05-12 13:31:39.720 0.000 TCP 62.210.202.63:45831 <->
xxx.x.xxx.243:445 0 2 0 92 2
2017-05-12 13:32:24.893 0.000 TCP 62.210.202.63:45831 <->
xxx.x.xxx.135:445 0 2 0 92 2
2017-05-12 13:29:50.939 3.048 TCP 200.10.103.135:3845 <->
xxx.x.xxx.114:445 0 4 0 192 2
2017-05-12 13:32:24.623 0.000 TCP 62.210.202.63:45831 <->
xxx.x.xxx.14:445 0 2 0 92 2
2017-05-12 13:45:13.502 2.989 TCP 31.172.194.103:2296 <->
xxx.x.xxx.91:445 0 4 0 192 2
2017-05-12 13:33:27.098 0.000 TCP 62.210.202.63:45831 <->
xxx.x.xxx.141:445 0 2 0 92 2
2017-05-12 13:42:35.453 0.000 TCP 62.210.202.63:45831 <->
xxx.x.xxx.27:445 0 2 0 92 2
2017-05-12 13:38:24.621 0.001 TCP 62.210.202.63:45831 <->
xxx.x.xxx.178:445 0 2 0 92 2
2017-05-12 13:29:58.586 2.996 TCP 80.32.253.46:4327 <->
xxx.x.xxx.62:445 0 4 0 192 2
2017-05-12 13:31:54.361 0.000 TCP 62.210.202.63:45831 <->
xxx.x.xxx.62:445 0 2 0 92 2
2017-05-12 13:32:28.396 0.000 TCP 62.210.202.63:45831 <->
xxx.x.xxx.99:445 0 2 0 92 2
2017-05-12 13:40:00.350 0.001 TCP 46.101.118.25:39639 <->
xxx.x.xxx.32:445 0 2 0 92 2
2017-05-12 13:32:32.136 0.001 TCP 62.210.202.63:45831 <->
xxx.x.xxx.116:445 0 2 0 92 2
Em 12 de maio de 2017 16:56, Leandro <leandro at spfbl.net> escreveu:
> Paulo. Já tem informações sobre os vetores deste ransoware? Sabe se está
> sendo transmitido por e-mail?
>
> Leandro
> SPFBL.net
>
> Em 12 de maio de 2017 14:06, Paulo Henrique <paulo.rddck at bsd.com.br>
> escreveu:
>
> > Creio que é assunto para ambas as listas, as vezes o participante só está
> > em uma delas.
> > Hoje pela manhã um novo ransoware deu o ar das graças pelo lado da
> Europa,
> > e conforme visto no MalwareTech já chegou no Brasil.
> > O pessoal que não atualizou o Windows e o firewall não foi configurado
> para
> > evitar acesso aos serviços de SMB fiquem esperto, se não tiver backup
> será
> > 2BTC para resgatar.
> >
> > A vunerabilidade que é utilizada pelo ransoware:
> > https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
> >
> > A proporção de disseminação do mesmo no mundo.
> > https://intel.malwaretech.com/botnet/wcrypt
> >
> >
> > --
> > :UNI><BSD:
> > Paulo Henrique.
> > Fone: (21) 37089388.
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
-----BEGIN PGP 2048-BIT RSA FINGERPRINT-----
3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F
-----END PGP 2048-BIT RSA FINGERPRINT-----
More information about the masoch-l
mailing list