Telefónica подвергается атаке вымогателей

Сегодня мы узнаем о довольно значительной атаке на внутреннюю сеть Telefónica, которую нам подтверждают внутренние источники в компании, которая также может повлиять на Vodafone, Santander и Capgemini. Telefonica говорила своим сотрудникам через систему оповещения выключить их компьютеры, чтобы предотвратить распространение Ransomware по всей их сети.

Telefónica подвергается атаке вымогателей

Точно неизвестно, что происходит, но Telefónica подняла тревогу своим сотрудникам, и некоторые сотрудники или сотрудники просачивают информацию о том, что произошло в социальных сетях. Мы знаем, что это довольно серьезная атака на внутреннюю сеть оператора, так как они отключили оборудование от сети и отключили его, кроме того, они дали сигнал тревоги центрам обработки данных, которые используют их сеть, чтобы они были в курсе.

Первоначально проблема касается только Telefónica Spain и не только штаб-квартиры, но и дочерних компаний.

WanaDecryptor V2 - это имя вымогателей, которые влияют на Telefónica и другие компании. WanaDecrypor использует удаленное выполнение команд, используя уязвимость протокола SMB, которая приводит к распространению вредоносного ПО на другие компьютеры Windows в этой сети.

Уязвимые системы - это Windows разных версий, таких как Windows Server 2008/2012/2016, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Vista SP2. Согласно этому отчету, уязвимость, использованная в кибератаке, была включена в бюллетень по безопасности Microsoft 14 марта, и есть документ поддержки для решения проблемы, который вы можете увидеть здесь.

На этой фотографии вы видите заявление, которое я передал сотрудникам по телефону, чтобы предотвратить дальнейшее распространение вымогателей. Мы нашли несколько анализов этого вредоносного ПО в гибридном анализе и общем вирусе.

Где установлен WanaDecryptor V2?

Начните с изменения файлов для этих путей:

C: \ WINDOWS \ system32 \ msctfime.ime

C: \ WINDOWS \ win.ini

C: \ DOCUME ~ 1 \ User \ LOCALS ~ 1 \ Temp \ c.wnry

C: \

C: \ DOCUME ~ 1 \ User \ LOCALS ~ 1 \ Temp \ msg \ m_English.wnry

Измените или добавьте следующие ключи к записям:

HKEY_LOCAL_MACHINE \ Программное обеспечение \ Microsoft \ Windows NT \ CurrentVersion \ IMM

HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004 \ Программное обеспечение \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Layers

HKEY_CURRENT_USER \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ CTF

HKEY_LOCAL_MACHINE \ Программное обеспечение \ Microsoft \ CTF \ SystemShared

HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004

HKEY_LOCAL_MACHINE \ Software \ WanaCrypt0r

HKEY_CURRENT_USER \ Программное обеспечение \ WanaCrypt0r

HKEY_LOCAL_MACHINE \ Программное обеспечение \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList \ S-1-5-21-1547161642-507921405-839522115-1004

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager

HKEY_LOCAL_MACHINE \ Программное обеспечение \ Microsoft \ Windows NT \ currentVersion \ Часовые пояса \ W. Стандартное европейское время

HKEY_LOCAL_MACHINE \ Программное обеспечение \ Microsoft \ Windows NT \ CurrentVersion \ Часовые пояса \ W. Стандартное время Европы \ Динамическое летнее время

HKEY_CURRENT_USER \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ CTF \ LangBarAddIn \

HKEY_LOCAL_MACHINE \ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ \ Microsoft \ CTF \ LangBarAddIn \