Telefónica зазнає нападу викупу

Сьогодні ми дізнаємось про досить значну атаку на внутрішню мережу Telefónica, про яку нам підтверджують внутрішні джерела компанії, яка також може вплинути на Vodafone, Santander та Capgemini. Telefonica казав своїм працівникам через систему публічних адрес, щоб вимкнути свої комп’ютери, щоб запобігти поширенню Ransomware по всій їхній мережі.

Telefónica зазнає нападу Ransomware

Невідомо, що саме відбувається, але Telefónica підняла тривогу своїм працівникам, і деякі співробітники чи співробітники просочуються інформацією про те, що сталося в соціальних мережах. Ми знаємо, що це досить серйозна атака на внутрішню мережу оператора, оскільки вони відключили обладнання від мережі та вимкнули їх, до того ж вони подали оповіщення центрам обробки даних, які використовують їх мережу, щоб вони були обізнані.

Спочатку проблема стосується лише Telefónica Іспанії та не лише штаб-квартиру, а й дочірні компанії.

WanaDecryptor V2 - назва викупного програмного забезпечення, яке впливає на Telefónica та інші компанії. WanaDecrypor використовує віддалене виконання команд, скориставшись вразливістю протоколу SMB, який змушує розповсюджувати зловмисне програмне забезпечення на інші машини Windows у цій мережі.

Постраждалі системи - це Windows у різних версіях, таких як Windows Server 2008/2012/2016, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Vista SP2. Згідно з цим звітом, вразливість, яку використовували під час кібератаки, була включена в інформаційний бюлетень Microsoft Microsoft 14 березня, і там є документ підтримки для вирішення проблеми, яку ви можете побачити тут.

Те, що ви бачите на цій фотографії, - це твердження, яке я випустив по телефону своїм працівникам, щоб запобігти подальшому поширенню викупного програмного забезпечення. Ми знайшли кілька аналізів цього зловмисного програмного забезпечення в Hybrid Analysis та Total Virus.

Де встановлений WanaDecryptor V2?

Почніть із зміни файлів для цих шляхів:

C: \ WINDOWS \ system32 \ msctfime.ime

C: \ WINDOWS \ win.ini

C: \ DOCUME ~ 1 \ Користувач \ LOCALS ~ 1 \ Temp \ c.wnry

C: \

C: \ DOCUME ~ 1 \ Користувач \ LOCALS ~ 1 \ Temp \ msg \ m_English.wnry

Змініть або додайте такі записи до записів:

HKEY_LOCAL_MACHINE \ Програмне забезпечення \ Microsoft \ Windows NT \ CurrentVersion \ IMM

HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004 \ Програмне забезпечення \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Шари

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ CTF

HKEY_LOCAL_MACHINE \ Програмне забезпечення \ Microsoft \ CTF \ SystemShared

HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004

HKEY_LOCAL_MACHINE \ Software \ WanaCrypt0r

HKEY_CURRENT_USER \ Software \ WanaCrypt0r

HKEY_LOCAL_MACHINE \ Програмне забезпечення \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList \ S-1-5-21-1547161642-507921405-839522115-1004

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager

HKEY_LOCAL_MACHINE \ Програмне забезпечення \ Microsoft \ Windows NT \ currentVersion \ Часові пояси \ Вт. Стандартний час у Європі

HKEY_LOCAL_MACHINE \ Програмне забезпечення \ Microsoft \ Windows NT \ CurrentVersion \ Часові пояси \ Вт. Стандартний час Європи \ Динамічний DST

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ CTF \ LangBarAddIn \

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ CTF \ LangBarAddIn \

Більше інформації про Malwr