[MASOCH-L] Ransoware - PENINSULA IBÉRICA - 12/05

Rubens Kuhl rubensk at gmail.com
Mon May 15 06:19:27 BRT 2017


São complementares. É bom fazer ambos.


Rubens


2017-05-15 9:52 GMT+02:00 Paulo Henrique <paulo.rddck at bsd.com.br>:

> Aplica a atualização que é mais seguro.
>
> Em 14 de maio de 2017 23:23, Thiago <braid.skywalker at gmail.com> escreveu:
>
> > Na estação windows é bloquear inbound 135-139 e 445 tcp?
> > E outbound? Melhor bloquear tbm?
> >
> > 2017-05-12 17:59 GMT-03:00 Tiago Flôres <tiago at balensiefer.com.br>:
> >
> > > Em 12 de maio de 2017 17:54, Felipe Oliveira <slvfelipe at gmail.com>
> > > escreveu:
> > >
> > > > Pelo jeito, o que podemos fazer no Firewall, é bloquear o forward das
> > > > portas de compartilhamento Windows (tcp/udp 137-139 e 445), que vai
> > > impedir
> > > > o ataque vindo da WAN em direção a LAN (caso os IPs da LAN sejam
> > > públicos).
> > > > Estou correto???
> > > >
> > > >
> > > Acho que todos deveriam ter essa regra, qualquer conexao com destino na
> > > 445/TCP já deve resolver. Se quiser incluir 137, 139/TCP, ok.
> > >
> > >
> > > Em redes que possuem NAT de certa forma isso já esta com um certa
> > > cobertura.
> > > >
> > > > Eu acho que o risco maior em uma rede( e o que deve mais acontecer),
> é
> > > uma
> > > > maquina infectada atacando as outras maquina em um mesma rede de
> > difusão,
> > > > onde estas, estão interligadas muitas das vezes, por switchs que não
> > > > possuem filtros bloqueando estas portas.
> > > >
> > > > Qual é opinião dos senhores sobre meu raciocínio?
> > > >
> > > >
> > > é exatamente o que está acontecendo...quem está infectado sai
> > "procurando"
> > > outras vitimas....igual walking dead.... ;-)
> > >
> > >
> > >
> > >
> > > > [ ]'s
> > > >
> > > > Em 12 de maio de 2017 17:12, Leandro <leandro at spfbl.net> escreveu:
> > > >
> > > > > Menos mal. Agora basta nos concentrarmos no firewall e na
> atualização
> > > do
> > > > > Windows. Valeu!
> > > > >
> > > > > Leandro
> > > > > SPFBL.net
> > > > >
> > > > > Em 12 de maio de 2017 17:01, Rubens Kuhl <rubensk at gmail.com>
> > escreveu:
> > > > >
> > > > > > 2017-05-12 21:56 GMT+02:00 Leandro <leandro at spfbl.net>:
> > > > > >
> > > > > > > Paulo. Já tem informações sobre os vetores deste ransoware?
> Sabe
> > se
> > > > > está
> > > > > > > sendo transmitido por e-mail?
> > > > > > >
> > > > > >
> > > > > > Pelo que disseram, não. Estaria usando SMB (não sei se 139, 445
> ou
> > > > > ambos).
> > > > > > https://technet.microsoft.com/en-us/library/security/ms17-
> 010.aspx
> > > > > >
> > > > > >
> > > > > > Rubens
> > > > > > __
> > > > > > masoch-l list
> > > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > > >
> > > > > __
> > > > > masoch-l list
> > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Felipe Oliveira
> > > >
> > > > Analista de rede
> > > > CREA-MG: MG-176646/D
> > > > Linux user #499007
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > >
> > >
> > >
> > > --
> > >
> > > -----BEGIN PGP 2048-BIT RSA FINGERPRINT-----
> > >
> > > 3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F
> > >
> > > -----END PGP 2048-BIT RSA FINGERPRINT-----
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
>
>
> --
> :UNI><BSD:
> Paulo Henrique.
> Fone: (21) 37089388.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>


More information about the masoch-l mailing list