[MASOCH-L] Ransoware - PENINSULA IBÉRICA - 12/05
Paulo Henrique
paulo.rddck at bsd.com.br
Fri May 12 17:08:50 BRT 2017
Em 12 de maio de 2017 17:04, Tiago Flôres <tiago at balensiefer.com.br>
escreveu:
> Entre 13:08 até agora nosso prefixo IP recebeu milhares de tentativas de
> conexão em todos os IPs do nosso bloco IPv4.
>
> As origem como podem ver são do mundo inteiro, especialmente europa e asia.
>
>
> TCP/445:
>
> Date first seen Duration Proto Src IP Addr:Port
> Dst IP Addr:Port Out Pkt In Pkt Out Byte In Byte Flows
> 2017-05-12 13:30:41.889 0.002 TCP 62.210.202.63:45831 <->
> xxx.x.xxx.171:445 0 2 0 92 2
> 2017-05-12 13:36:32.188 3.004 TCP 78.137.59.38:1784 <->
> xxx.x.xxx.2:445 0 4 0 192 2
>
<SNIP>
>
>
> Em 12 de maio de 2017 16:56, Leandro <leandro at spfbl.net> escreveu:
>
> > Paulo. Já tem informações sobre os vetores deste ransoware? Sabe se está
> > sendo transmitido por e-mail?
> >
> > Leandro
> > SPFBL.net
> >
> > Em 12 de maio de 2017 14:06, Paulo Henrique <paulo.rddck at bsd.com.br>
> > escreveu:
> >
> > > Creio que é assunto para ambas as listas, as vezes o participante só
> está
> > > em uma delas.
> > > Hoje pela manhã um novo ransoware deu o ar das graças pelo lado da
> > Europa,
> > > e conforme visto no MalwareTech já chegou no Brasil.
> > > O pessoal que não atualizou o Windows e o firewall não foi configurado
> > para
> > > evitar acesso aos serviços de SMB fiquem esperto, se não tiver backup
> > será
> > > 2BTC para resgatar.
> > >
> > > A vunerabilidade que é utilizada pelo ransoware:
> > > https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
> > >
> > > A proporção de disseminação do mesmo no mundo.
> > > https://intel.malwaretech.com/botnet/wcrypt
> > >
> > >
> > > --
> > > :UNI><BSD:
> > > Paulo Henrique.
> > > Fone: (21) 37089388.
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
>
>
> --
>
> -----BEGIN PGP 2048-BIT RSA FINGERPRINT-----
>
> 3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F
>
> -----END PGP 2048-BIT RSA FINGERPRINT-----
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
Restrito a SMBv1, conforme já postado anteriormente, portas 445, 137-139.
Já li alguns relatos de e-mail, mas acho que é da campanha inicial de
divulgação.
O problema é que se passar o firewall de borda não adianta chorar.
Att.
--
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.
More information about the masoch-l
mailing list