Telefónica bị một cuộc tấn công ransomware

Hôm nay chúng ta biết được một cuộc tấn công khá có ý nghĩa vào mạng Telefónica nội bộ mà các nguồn nội bộ trong công ty xác nhận với chúng ta. Cuộc tấn công này cũng có thể ảnh hưởng đến Vodafone, Santander và Capgemini. Telefonica đã nói với các nhân viên của mình qua hệ thống địa chỉ công cộng tắt máy tính của họ để ngăn Ransomware lây lan khắp mạng của họ.

Telefónica bị tấn công Ransomware

Không biết chính xác những gì đang xảy ra, nhưng Telefónica đã đưa ra cảnh báo cho nhân viên của mình và một số nhân viên hoặc nhân viên đang rò rỉ thông tin về những gì đã xảy ra trên mạng xã hội. Chúng tôi biết rằng đó là một cuộc tấn công khá nghiêm trọng vào mạng nội bộ của nhà điều hành vì họ đã ngắt kết nối thiết bị khỏi mạng và tắt chúng đi, ngoài ra họ còn đưa ra tiếng nói cảnh báo cho các Trung tâm dữ liệu sử dụng mạng của họ để họ biết.

Ban đầu, vấn đề chỉ ảnh hưởng đến Telefónica Tây Ban Nha và không chỉ trụ sở mà còn cả các công ty con.

WanaDecryptor V2 là tên của ransomware đang ảnh hưởng đến Telefónica và các công ty khác. WanaDecrypor sử dụng thực thi lệnh từ xa bằng cách lợi dụng lỗ hổng của giao thức SMB khiến phần mềm độc hại được phân phối cho các máy Windows khác trên mạng đó.

Các hệ thống bị ảnh hưởng là Windows trong các phiên bản khác nhau như Windows Server 2008/2012/2016, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Vista SP2. Theo báo cáo đó, lỗ hổng được khai thác trong cuộc tấn công mạng đã được đưa vào bản tin bảo mật của Microsoft vào ngày 14 tháng 3 và có một tài liệu hỗ trợ để giải quyết vấn đề mà bạn có thể thấy ở đây.

Những gì bạn nhìn thấy trong bức ảnh này là tuyên bố mà tôi đã phát hành qua điện thoại cho nhân viên của mình để ngăn chặn ransomware lan rộng hơn nữa. Chúng tôi đã tìm thấy một số phân tích về Phần mềm độc hại này trong Phân tích lai và Tổng số vi-rút.

WanaDecryptor V2 được cài đặt ở đâu?

Bắt đầu bằng cách sửa đổi các tệp cho các đường dẫn này:

C: \ WINDOWS \ system32 \ msctfime.ime

C: \ WINDOWS \ win.ini

C: \ DOCUME ~ 1 \ Người dùng \ ĐỊA PHƯƠNG ~ 1 \ Temp \ c.wnry

C: \

C: \ DOCUME ~ 1 \ Người dùng \ ĐỊA PHƯƠNG ~ 1 \ Temp \ dir \ m_English.wnry

Sửa đổi hoặc thêm các khóa sau vào hồ sơ:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ IMM

HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004 \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Layer

HKEY_CURRENT_USER \ PHẦN MỀM \ Microsoft \ CTF

HKEY_LOCAL_MACHINE \ Phần mềm \ Microsoft \ CTF \ SystemShared

HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004

HKEY_LOCAL_MACHINE \ Phần mềm \ WanaCrypt0r

HKEY_CURRENT_USER \ Phần mềm \ WanaCrypt0r

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList \ S-1-5-21-1547161642-507921405-839522115-1004

HKEY_LOCAL_MACHINE \ System \ CurrentControlset \ Control \ Trình quản lý phiên

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ currentVersion \ Time Zones \ W. Giờ chuẩn châu Âu

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Time Zones \ W. Giờ chuẩn châu Âu \ DST năng động

HKEY_CURRENT_USER \ PHẦN MỀM \ Microsoft \ CTF \ LangBarAddIn \

HKEY_LOCAL_MACHINE \ PHẦN MỀM \ Microsoft \ CTF \ LangBarAddIn \

Thêm thông tin về Malwr