#417 Típico. En mi empresa ocurrió esto en navidad y tiraron de backups. Pero en empresas de estas dimensiones sera mas complicado. Yo sigo pensando 100% en serio que habría que tener un carnet para usar internet, al menos en empresas.
#415 No me entiendes, quiero decir que el problema real es el fallo de seguridad de windows, no el ransomware en sí. Una cosa es infectar un PC y otra cosa que por un fallo de seguridad de windows transmitas el fallo a todos los pcs que estén en LAN.
#421 Hay 0days jodidos eh?
Por otro orden de cosas, pongo un ejemplo:
El otro día me llegó un email del dominio de apple.com que se saltó la seguridad de hotmail porque me llegó a la bandeja de entrada. Esto me sorprendió, porque todos los spoofeos de email son detectados y envíados a no deseados.
El archivo contenía un archivo adjunto en .PDF. Yo se perfectamente que hay un bug antiguo en Acrobat Reader y en Foxit Reader que no petan en los lectores integrados en navegadores. El email instaba a descargar el PDF (para obligarte a abrirlo en uno de esos navegadores). Una vez abierto, obviamente estabas infectado.
Es verdad que yo no soy tonto, pero si consiguen spoofear una direccion de apple, cualquier usuario medio abre el PDF sin problemas y si no lo tiene actualizado, pum!
La gran diferencia de este ransomware respecto a otros es que una vez que infecta un equipo, es capaz de infectar a todos los equipos de la misma red. Los ransomware mas comunes cifran la maquina infectada y los datos que estén ubicados en las unidades de red conectadas que pueda tener esta, la solución es fácil se aísla esa maquina se restaura los datos en la unidad de red afectada y listo.
En este caso se produce una caída de todos los equipos y se crea un caos monumental.
#410 tambien entran por rdp si dan con el puerto externo y usuario/clave.
Hace pocos meses en la empresa donde trabajo detectamos 17mil intentos fallidos de inicio de sesion en uno de los server que administramos (no, no teniamos el puerto por defecto) no consiguieron entrar pero acojona.
#422 hombre, pero el caso es que Windows había solucionado ese problema hacía un mes, si ellos no actualizan es su culpa, no de windows
#421 Claro, pero la culpa aquí no es del usuario eh? EL problema es del responsable de la red interna de telefonica, por tener ordenadores no actualizados conectados a internet. En las screens se ven Win7, a saber el SP que llevan.
Un usuario puede comerse un ramson, pierde su perfil/desktop y a llorar a casa, lo que es inadmisible es que te exploten un 0day dentro de casa y se infecten 2398573498579048 ordenadores en 5 minutos.
#423Porrete:La gran diferencia de este ransomware respecto a otros es que una vez que infecta un equipo, es capaz de infectar a todos los equipos de la misma red.
Eso exactamente es el trabajo principal del malware, se ha activado hoy pero puede que lleve varios dias/semanas/meses sleeping. Si te descuidas, los backups podrían haber sido cifrados también.
Pero ese malware lo primero que hace es rastrear todos los pc de la lan
#427 Son 300$ pero pasados a bitcoins por cada PC infectado. No 300 bitcoins ni 300 bitcoins por PC
#426 Estoy de acuerdo, pero en este caso en concreto. Si el fallo no hubiera estado parcheado por windows por muy buen administrador que seas, un empleado se lo zampa estamos en las mismas.
#432 la cosa es que el fallo estaba parcheado desde hace 2 meses , que no hayan aplicado ese parche es culpa unica y exclusivamente del departamento de IT
#432 Sí, pero desde hace años eso no se hace:
- Se descubre un bug
- Se reporta y cobras XXXXXXX€ por el descubrimiento
- Das 5 meses hasta que lo parchean
- Publicas un PoC con el bug
Ya no se estila eso de publicar un bug el mismo dia que se descubre... ahora pasan antes por caja y cobran el bounty. Aquí la peña se ha comido un 0day publicado en enero y parcheado en Marzo. Estamos casi en Junio. Que se jodan
Y creéis que telefonica no tendrá backups decentes para solucionar medio decentemente este follón sin pasar por caja?
No dudo que sean chapuceros como el que más, tal y como dice #434 pero joder, no es un poco bestia que ni eso hayan hecho bien? xDD
#433 Cierto, por eso digo en este caso en concreto. Los sistemas debían de estar actualizados sin escusa
#434 Pero habrá gente que no le interese publicar ese bug. Poniendo un ejemplo antes ha mencionado un usuario algo de ISIS. Ellos descubren una vulnerabilidad de windows 10 y no les interesaría reportarla, no? (lo mismo me estoy montando yo unas películas del copon)
Yo soy vigilante de telefonica y llevo todo el día aquí. Nosotros tenemos prohibido meter obviamente pendrive etc en los equipos de la compañía pero eso no quita para que algún mendrugo lo haga. No fue el caso está vez pero hay que reconocer que no se puede dejar en manos de idiotas la posibilidad de joderte teniendo acceso a una intranet, hay gente que debería estar bastante alejada de un ordenador.
#436 Depende, si lo puedes usar y la cantidad que vayas a sacar por hacerlo.
Y depende del bounty que te den, es una decisión económica.
Si descubro un 0day, pero no tengo capacidad para usarlo, o no quiero que me pillen si hago algo malo, pues lo vendo. Si soy una organización criminal con motivación política, pues lo mismo me interesa usarlo. O no, imagina que con lo que me dan por venderlo, puedo comprar armas, o información ya certera.
No he estado pendiente del hilo porque he estado liado, pero para colmo acaba de caer uno de los servidores virtuales Windows (Server 2016) que hosteo en un dedicado OVH Canadá.
Los que tengáis servidores Windows conectados a internet, mucho ojo.
Me estan comentando unos amigos que en su empresa les esta pasando algo parecido, y por lo que me comenta suena a lo mismo,
Es de uk, y no es una empresa grande ni mucho menos.
como curiosidad, que consiguen los "piratas informaticos" responsables de esto? Básicamente telefonica paga a algunos informaticos de prestigio, les arregla el tiglado para mañana o el proximo, y ya está.
En la intranet de telefonica se conectan miles de usuarios de toda España, Europa, latino América y Asia. Se divide en OBS que cada es como una mini empresa que se auto gestiona a su manera. En nuestra plataforma de Exchange tenemos cerca de 100k usuarios más otros tantos en la nube.
Suerte para gestionar que todos esos usuarios tengan el pc actualizado a una versión de hace menos de mes...
Sacado de otro foro
http://www.20minutos.es/noticia/2923472/0/internet-caera-24-horas-2017/
También lo predijeron los simpson?
#442 de momento ya llevan algo más de 150k
#442 Estás de coña, no? XD
Esto es un: o pagas, o pierdes todos tus datos. No es algo que se pueda desencriptar.
#448 Ni con un mega ordenador lo conseguirías durante años pero si tan facil es yo quiero verlo
Llevan unas horas, dejales algo de tiempo