Malware šířící se v síti VŠB-TUO

Naposledy změněno Denisa Wernerová 03.08.2023 14:17

V síti VŠB-TUO se na již nepodporovaných operačních systémech Windows 7 a Windows Server 2008 R2 šíří agresivní malware pomocí protokolu SMB (Samba - protokol pro sdílení souborů). Malware napadá ostatní zařízení v síti a kompromitované stroje začleňuje do botnetu. Využitím slabin v operačním systému se maskuje a jeho odstranění běžnými antiviry není možné (rootkit). Pro odstranění malwaru proveďte čistou instalaci novějšího a podporovaného operačního systému. V případě, že upgrade OS není technicky možný, proveďte postup uvedený níže.


Postup pro odstranění malwaru a zabránění opětovné kompromitace

  1. Spusťte TDSSKiller https://usa.kaspersky.com/downloads/tdsskiller a odstraňte nalezené problémy. Při proceduře budou vyžadovány alespoň 2 restarty OS.
  2. Nainstalujte ručně záplatu https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010 .
  3. Vypněte nepoužívané služby a pokud to je možné, tak zakažte SMBv1 https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3 .
  4. Na firewallu omezte běžící služby jen pro IP, které se službou potřebují komunikovat (tzv. whitelist). IP adresy můžete při editaci FW pravidla nakonfigurovat v sekci scope.
  5. Proveďte aktualizaci pomocí Windows Update.
  6. Zopakujte bod 1., aby jste se ujistili, že v průběhu nedošlo k další kompromitaci.