
[alert type=”danger”]
Atenção estes passos nao impedem a infeção inicial pois essa é causada pela abertura de um email malicioso. O que tenta ajudar é evitar a movimentação lateral (infeção de outros sistemas na mesma rede).
A única forma eficiente de evitar ser infectado é ter em dia o seu sistema, antivirus e ter cuidado a abrir emails que desconhece.
As acções descritas neste artigo podem não ser suficientes para impedir a propagação do virus, tudo depende da informação disponível no momento da escrita do artigo. Tentarei manter actualizado o artigo dentro do possível.
[/alert]
O malware WannaCry propaga-se utilizando uma vulnerabilidade no serviço de SMB.
Uma forma eficiente de mitigar a sua propagação na rede é aplicar todos os patches de segurança.
Também inspeciona todas as sessões RDP existentes no sistema e cifra a informação remota a que o utilizador tem acesso.
Outra forma e desligar os serviços que ele utiliza para se propagar na sua infra-estrutra.
O serviço SMB esta dividido em duas partes o cliente e o servidor.
Ambos estão presentes no windows apesar da componente servidor poder estar ou não activa.
Caso nao seja possível podemos desligar o SMBv1 presente nos sistemas das seguintes formas:
Componente Servidor:
Windows 8 and Windows Server 2012
Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008
Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force
Componente Cliente:
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012
Abrir uma janela de Linha de comandos (DOS) e escrever em modo administrador os seguintes commandos:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Utilizando O GUI para remover o cliente:
How to gracefully remove SMB v1 in Windows 8.1, Windows 10, Windows 2012 R2, and Windows Server 2016
Nos Windows mais antigos:
Caso necessite de ajuda para desactivar estas funcionalidades contate-nos que estamos disponíveis para ajuda-lo.
Ligações Úteis técnicas:
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/?platform=hootsuite