Prawdopodobnie z mediów wszyscy już wiedzą, że 12 maja na całym świecie odnotowano masowe infekcje wirusem ransomware Windows. Wana decrypt0r 2.0 (WannaCry, WCry). W ataku wykorzystano dość niedawną lukę w protokole dotyczącą dostępu do udostępnionych plików i drukarek - SMBv1. Po zainfekowaniu komputera wirus szyfruje niektóre pliki (dokumenty, pocztę, pliki bazy danych) na dysku twardym użytkownika, zmieniając ich rozszerzenia na WCRY. Wirus ransomware wymaga transferu 300 USD na odszyfrowanie plików. Przede wszystkim zagrożone są wszystkie systemy operacyjne Windows, które nie mają aktualizacji korygującej podatności z włączonym protokołem SMB 1.0, bezpośrednio połączonym z Internetem i dostępnym z zewnątrz portem 445. Odnotowano inne sposoby przenikania szyfrerów do systemów (zainfekowane strony, listy mailingowe). Po wkroczeniu wirusa na obwód sieci lokalnej może rozprzestrzeniać się autonomicznie, skanując podatne hosty w sieci.
Treść
- Aktualizacje zabezpieczeń systemu Windows w celu ochrony przed WannaCry
- Wyłączanie SMB v 1.0
- WCry Attack Status
Aktualizacje zabezpieczeń systemu Windows w celu ochrony przed WannaCry
Wirus wykorzystujący lukę SMB 1.0 naprawioną w aktualizacji zabezpieczeń MS17-010, wydane 14 marca 2017 r. W przypadku regularnej aktualizacji komputerów za pośrednictwem usługi Windows Update lub WSUS wystarczy sprawdzić dostępność tej aktualizacji na komputerze, jak opisano poniżej.
| Vista, Windows Server 2008 | lista qfe wmic | findstr 4012598 |
| Windows 7, Windows Server 2008 R2 | lista qfe wmic | findstr 4012212lub lista qfe wmic | findstr 4012215 |
| Windows 8.1 | lista qfe wmic | findstr 4012213lublista qfe wmic | findstr 4012216 |
| Windows Server 2012 | lista qfe wmic | findstr 4012214lublista qfe wmic | findstr 4012217 |
| Windows Server 2012 R2 | lista qfe wmic | findstr 4012213lublista qfe wmic | findstr 4012216 |
| Windows 10 | lista qfe wmic | findstr 4012606 |
| Windows 10 1511 | lista qfe wmic | findstr 4013198 |
| Windows 10 1607 | lista qfe wmic | findstr 4013429 |
| Windows Server 2016 | lista qfe wmic | findstr 4013429 |
Jeśli polecenie zwróci podobną odpowiedź, oznacza to, że łata zabezpieczająca lukę została już zainstalowana.
ttp: //support.microsoft.com/? kbid = 4012213 Aktualizacja zabezpieczeń MSK-DC2 KB4012213 CORP \ admin 5/13/2017
Jeśli polecenie niczego nie zwróci, musisz pobrać i zainstalować odpowiednią aktualizację. Jeśli kwietniowe lub majowe aktualizacje systemu Windows są zainstalowane (jako część nowego modelu zbiorczej aktualizacji systemu Windows), komputer jest również chroniony.
Warto zauważyć, że pomimo faktu, że Windows XP, Windows Server 2003, Windows 8 zostały już usunięte ze wsparcia, Microsoft szybko opublikował aktualizację dnia.
Wskazówka. Bezpośrednie linki do łat naprawiających luki w wycofanych systemach:
Windows XP SP3 x86 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP3 x86 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Windows XP SP2 x64 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows XP SP2 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 x86 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x86 ENU - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
Windows Server 2003 x64 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2003 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 8 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Wyłączanie SMB v 1.0
Prostym i skutecznym sposobem ochrony przed podatnością jest całkowite wyłączenie protokołu SMB 1.0 na klientach i serwerach. Jeśli w sieci nie ma komputerów z systemem Windows XP lub Windows Server 2003, można to zrobić za pomocą polecenia
dism / online / norestart / disable-feature / featurename: SMB1Protocol
lub zgodnie z zaleceniami w artykule Wyłączanie SMB 1.0 w systemie Windows 10 / Server 2016
WCry Attack Status
Według najnowszych informacji rozprzestrzenianie się wirusa ransomware WannaCrypt zostało zatrzymane przez rejestrację domeny iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Jak się okazało, w kodzie wirus miał dostęp do tej domeny; jeśli odpowiedź brzmiała „nie”, wirus zaczął szyfrować dokumenty. Najwyraźniej w ten sposób twórcy pozostawili sobie możliwość szybkiego powstrzymania rozprzestrzeniania się wirusa. Z czego skorzystał jeden z entuzjastów?.
Oczywiście nic nie stoi na przeszkodzie, aby autorzy wirusa napisali nową wersję ich stworzenia pod exploitem ETERNALBLUE, a on będzie kontynuował swoją brudną pracę. Dlatego, aby zapobiec atakom Ransom: Win32.WannaCrypt, musisz zainstalować niezbędne aktualizacje (i instalować je regularnie), aktualizować programy antywirusowe, wyłączyć SMB 1.0 (jeśli dotyczy) i nie otwierać portu 445 do Internetu bez potrzeby.
Podam też linki do przydatnych artykułów, które pomogą zminimalizować szkody i prawdopodobieństwo ataku szyfrującego na systemy Windows:
- Ochrona szyfrowania za pomocą FSRM
- Blokuj wirusy za pomocą zasad ograniczeń oprogramowania
- Odzyskiwanie plików z kopii w tle po infekcji programem szyfrującym
