Windows 7占大多数vannacry感染
未更新到最新的操作系统最初被引用为150个国家在由Wannacry感染的150个国家的20万台计算机的原因之一。
NHS信任是英国最严重打击的组织,这也似乎指出了许多人从Windows XP升级的失败,因为他们特别难以击中的原因。
但研究人员已经发现,实际上是Windows 7,特别是64位版本,严重影响并负责攻击的广泛和快速传播。
根据安全公司卡巴斯基实验室,更多的Wannacry感染报告计算机的Windows 7 Coturanters Monitors的超过98%击中,而保证率公司均致命的裁判率为67%的感染袭击Windows 7击中Windows 7。
“#Wannacry Windows版本的感染分布。最糟糕的击中 - Windows 7 x64。Windows XP计数是微不足道的,“卡巴斯基实验室全球研究与分析团队的主任”Raiu Costin Raiu推文。
他在随后的推文中说,遭到损害的Windows XP计算机可能是手动感染的。
据研究人员来说,Windows XP主要不受Wannacry攻击的影响,因为PC在赎金软件可以抓住之前崩溃。
运行Windows 7的计算机是最糟糕的影响表明,未能安装AccuSTMS17-010Security更新可能是攻击成功的主要原因,以及64位版本是受影响最严重的影响在企业中,修补尤其较差,这是该版本的主要用户。
进一步强调修补的重要性和NHS面对这方面的医疗设备供应商的困难,西萨塞克斯医院的IT行动负责人Grant Harris表示,NHS基金会信托表示,这是NHS向NHS推回系统供应商的时候了谁禁止应用最新的补丁,以防它打破他们的软件。
“病理学系统提供商似乎是最糟糕的,声称他们的系统不是Windows系统,而是病理设备,因此不能拥有任何补丁,”他在LinkedIn上的帖子中写道。
哈里斯说需要对止损供应商采取行动,他们只会针对他们最新和最大的版本测试补丁。
他呼吁NHS组织在任何未来的采购中包含的要求,要求他们将在其发布的五个工作日内测试任何关键的补丁/更新,即测试将根据软件,应用程序,服务或服务的任何支持版本进行测试设备,并且该测试将在补丁/更新发布的10个工作日内结束,并且给客户部署或在托管系统/应用程序或设备的情况下给予的权限,由供应商应用。
Harris表示,贴片的测试不应限于操作系统,数据库和浏览器,而是包括软件,应用程序或设备所需的任何第三方软件。
虽然初始感染方法是未知的,迹象表明美国国家安全局(NSA)开发的Microsoft'Server消息块(SMB)协议的EterEnalBlue开发程序不仅用于宣传感染的传播感染,还要在445opport中感染机器。
“媒体中的各种部分都说初始矢量是网络钓鱼电子邮件,但目前没有证据表明,”Neustar高级副总裁兼福尔多德罗德尼·乔夫说。
“迹象表明它可能不是网络钓鱼电子邮件。它可能已经被另一部恶意软件丢弃,或者可能已经被吸引445Attack,“他在伦敦告诉TheInaugural会议议会(NISC)。
joffe是官方信息克利特工作组的前任主任警告说,大约70,000台互联网连接的计算机仍然感染了旨在禁用防病毒的Conficker Worm并停止Windows自动更新。
“这意味着至少70,000台计算机可以保证容易受到诸如SMB中相同漏洞的任何其他恶意软件,”他说。
Joffe说,这会在可能这样做时强调修补的重要性。“如果所有这些机器都针对ConChicker修补,他们现在将不太可能易于攻击恶意软件,利用SMB缺陷。”
根据安全公司SECDO,它发现了证据,据称团体使用NSA Eternalblue Exploitto感染,在世界各地的网络中安装后门和exfiltrate用户凭据,包括美国,三周前的Wannacry攻击。
根据SECDO的说法,这些攻击可能会提出比Wannacry更大的风险。因为即使公司能够阻止Wannacry和Patch,SMB Windows Exploit,可能会持续和受损的凭据可用于重新获得访问权限。
SECDO说,4月下旬,一些客户报告被一个不可思来的赎金软件攻击,比Wannacry更先进。勒索软件是最明显的有效载荷,但Secdo能够在表面下检测更复杂的攻击。
Secdo得出结论,这些攻击背后的演员正在使用NSA框架来产生合法应用内的线程,基本上冒充它们,甚至是最先进的下一代防病毒系统。
虽然这不是一个完全新的想法,但安全公司表示,过去的技术主要用于绕过大多数供应商的安全系统。