Ймовірно, зі ЗМІ, все вже в курсі, що 12 травня по всьому світу зафіксовані масові зараження ОС Windows вірусом-шифрувальником Wana decrypt0r 2.0 (WannaCry, WCry). Для атаки використовується досить свіжа уразливість в протоколі доступу до загальних файлів і принтерів - SMBv1. Після зараження комп'ютера, вірус шифрує деякі файли (документи, пошту, файли баз) на жорсткому диску користувача, змінюючи їх розширення на WCRY. За розшифровку файлів вірус-вимагач вимагає перевести 300 $. Під загрозою в першу чергу знаходяться всі ОС Windows, на яких відсутній виправляє уразливість оновлення, з включеним протоколом SMB 1.0, безпосередньо підключені до Інтернету і з доступним ззовні портом 445. Відзначалися і інші способи проникнення шифрувальника в системи (заражені сайти, розсилки). Після потрапляння вірусу всередину периметра локальної мережі, він може поширюватися автономно, скануючи вразливі хости в мережі.
зміст:
- Оновлення безпеки Windows для захисту від WannaCry
- Відключення SMB v 1.0
- Статус атаки WCry
Оновлення безпеки Windows для захисту від WannaCry
Уразливість в SMB 1.0, експлуатована вірусом, виправлена в оновленнях безпеки MS17-010, випущених 14 березня 2017 року. У тому випадку, якщо ваші комп'ютери регулярно оновлюються через Windows Update або WSUS, досить перевірити наявність даного поновлення на комп'ютері як описано нижче.
| Vista, Windows Server 2008 | wmic qfe list | findstr 4012598 |
| Windows 7, Windows Server 2008 R2 | wmic qfe list | findstr 4012212або wmic qfe list | findstr 4012215 |
| Windows 8.1 | wmic qfe list | findstr 4012213абоwmic qfe list | findstr 4012216 |
| Windows Server 2012 | wmic qfe list | findstr 4012214абоwmic qfe list | findstr 4012217 |
| Windows Server 2012 R2 | wmic qfe list | findstr 4012213абоwmic qfe list | findstr 4012216 |
| Windows 10 | wmic qfe list | findstr 4012606 |
| Windows 10 1511 | wmic qfe list | findstr 4013198 |
| Windows 10 1607 | wmic qfe list | findstr 4013429 |
| Windows Server 2016 | wmic qfe list | findstr 4013429 |
У тому випадку, якщо команда повертає подібна відповідь, значить патч, що закриває уразливість, у вас вже встановлений.
ttp: //support.microsoft.com/? kbid = 4012213 MSK-DC2 Security Update KB4012213 CORP \ admin 5/13/2017
Якщо команда нічого не повертає, потрібно завантажити і встановити відповідне оновлення. У тому випадку, якщо встановлені квітневі або травневі оновлення безпеки Windows (в рамках нової накопичувальної моделі поновлення Windows), ваш комп'ютер також захищений.
Варто відзначити, що, незважаючи на те що Windows XP, Windows Server 2003, Windows 8 вже зняті з підтримки, Microsoft оперативно випустило оновлення і дня них.
Порада. Прямі посилання на патчі для виправлення уразливості під зняті з підтримки системи:
Windows XP SP3 x86 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP3 x86 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Windows XP SP2 x64 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows XP SP2 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 x86 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x86 ENU - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
Windows Server 2003 x64 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2003 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 8 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Відключення SMB v 1.0
Простим і дієвим способом захисту від вразливості є повне відключення протоколу SMB 1.0 на клієнтах і серверах. У тому випадку, якщо у вашій мережі не залишилося комп'ютерів з Windows XP або Windows Server 2003, це можна виконати за допомогою команди
dism / online / norestart / disable-feature / featurename: SMB1Protocol
або за рекомендаціями в статті Відключення SMB 1.0 в Windows 10 / Server 2016
Статус атаки WCry
За останньою інформацією, поширення вірусу-здирника WannaCrypt вдалося призупинити, зареєструвавши домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Як виявилося, в коді вірус була зашито звернення до цього домену, при негативній відповіді вірус починав шифрування документів. Судячи з усього, таким способо розробники залишили для себе можливість швидко призупинити поширення вірусу. Чим скористався один з ентузіастів.
Природно, авторам вірусу нічого не заважає написати свіжу версію свого творіння під експлойт ETERNALBLUE, і він продовжить свою чорну справу. Таким чином, для запобігання атак Ransom: Win32.WannaCrypt необхідно встановити потрібні оновлення (і встановлювати їх регулярно), оновити антивіруси, відключити SMB 1.0 (якщо пріменімл), і не відкривати без необхідності порт 445 в Інтернет.
І ще наведу посилання на корисні статті, що дозволяють мінімізувати шкоду і ймовірність атаки шифрувальників в Windows системах:
- Захист від шифрувальників за допомогою FSRM
- Блокування вірусів за допомогою Software Restriction Policies
- Відновлення файлів з тіньових копій після зараження шифрувальником
