Publicado em Deixe um comentário

Como Mitigar o impacto do Malware WannaCry

[alert type=”danger”]

Atenção estes passos nao impedem a infeção inicial pois essa é causada pela abertura de um email malicioso. O que tenta ajudar é evitar a movimentação lateral (infeção de outros sistemas na mesma rede).

A única forma eficiente de evitar ser infectado é ter em dia o seu sistema, antivirus e ter cuidado a abrir emails que desconhece.

As acções  descritas neste artigo podem não ser suficientes para impedir a propagação do virus, tudo depende da informação disponível no momento da escrita do artigo. Tentarei manter actualizado o artigo dentro do possível.

[/alert]

O malware WannaCry propaga-se utilizando uma vulnerabilidade no serviço de SMB.

Uma forma eficiente de mitigar a sua propagação na rede é aplicar todos os patches de segurança.

Também inspeciona todas as sessões RDP existentes no sistema e cifra a informação remota a que o utilizador tem acesso. 

Outra forma e desligar os serviços que ele utiliza para se propagar na sua infra-estrutra.

O serviço SMB esta dividido em duas partes o cliente e o servidor.

Ambos estão presentes no windows apesar da componente servidor poder estar ou não activa.

Caso nao seja possível podemos desligar o SMBv1 presente nos sistemas das seguintes formas:

Componente Servidor:

Windows 8 and Windows Server 2012

Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

Componente Cliente:

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

Abrir uma janela de Linha de comandos (DOS) e escrever em modo administrador os seguintes commandos:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Utilizando O GUI para remover o cliente:

How to gracefully remove SMB v1 in Windows 8.1, Windows 10, Windows 2012 R2, and Windows Server 2016

Server Manager - Dashboard method

Nos Windows mais antigos:

Add-Remove Programs client method

Caso necessite de ajuda para desactivar estas funcionalidades contate-nos que estamos disponíveis para ajuda-lo.

Ligações Úteis técnicas:

The worm that spreads WanaCrypt0r

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/?platform=hootsuite

Deixe um comentário