Перейти к содержанию
  • записей
    19
  • комментария
    153
  • просмотров
    9 959

Как не стать жертвой атаки шифровальщика Wana Decrypt0r?


12 мая 2017 года, десятки компаний по всему миру, а так же простые пользователи стали жертвами атак шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Согласно данным ИБ-специалистов и сообщению испанского CERT, вымогатель распространяется, используя брешь в SMBv1, а также эксплоиты, которые хакерская группировка The Shadow Brokers ранее похитила у АНБ и опубликовала в открытом доступе: ETERNALBLUE и DOUBLEPULSAR. Проникнув в систему, малварь шифрует файлы пользователя, заменяя их разрешение на .WNCRY и требует выкуп в размере $300-600 в биткоин эквиваленте.

 

От атак шифровальщика пострадали медицинские учреждения в Великобритании, целый ряд испанских компаний (включая крупную телекоммуникационную компанию Telefonica,  банк Santander и газовую компанию Gas Natural), в Германии пострадал железнодорожный оператор Deutsche Bahn и так далее.

По данным специалистов Avast, еще вчера количество атак превысило отметку 57 000, а аналитики «Лаборатории Касперского» говорили о 45 000 атак на 74 страны мира. Сейчас исследователи полагают, что речь идет уже более чем о 140 000 заражений. Также сообщается, что главными целями операторов малвари стали Россия, Украина и Тайвань. Так, в России в результате атак Wana Decrypt0r пострадали компания «Мегафон», РЖД, Минздрав России, МВД, Сбербанк, МЧС и многие другие.

 

Патч для уязвимости, которую эксплуатируют злоумышленники, был выпущен компанией Microsoft еще в марте 2017 года.То есть жертвами атак становятся пользователи и организации, которые не следят за безопасностью и обновлением своих систем. Всем, кто по какой-то причине еще не установил обновление MS17-010, настоятельно рекомендуется сделать это немедленно.

Учитывая серьезность проблемы, сегодня, 13 мая 2017 года, разработчики Microsoft представили патчи для операционных систем, поддержка которых была прекращена много лет назад: Windows XP, Windows 8 (не 8.1!), и Windows Server 2003. Дело в том, что британские больницы пострадали от атак Wana Decrypt0r по той простой причине, что в них до сих пор активно используют Windows XP, и похожая ситуация наблюдается во многих компаниях и ведомствах. Загрузить исправления можно здесь (рекомендуется использовать Internet Explorer). Вдобавок компания Microsoft напоминает, что можно также отключить протокол SMB1, следуя данной инструкции (на англ. языке). Мое мнение - отключать протокол нет смысла, так как появились версии, использующие уязвимости протокола второй версии (SMB2) а его отключение на ОС ниже Windows 10 может привести к отрицательным последствиям и крайне нежелательно.

 

Впрочем, распространение Wana Decrypt0r и «вымогательский апокалипсис» временно удалось приостановить, и благодарить за это стоит независимого исследователя, известного как MalwareTech.

Исследователю удалось обнаружить в коде малвари жестко закодированный «рубильник», останавливающий распространение заразы. Как оказалось, перед началом работы Wana Decrypt0r обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения.

По материалам сайта https://xakep.ru

 

P.S.

По подтвержденной информации, началось распространение малвари без "рубильника", поэтому я настоятельно рекомендую всем установить обновления безопасности. Для пользователей Windows 7 и старше (кроме Windows 8 - она вроде как тоже старше, но снята с поддержки) это можно сделать централизованно, просто установив все доступные обновления из Центра обновления Windows (или скачав обновление для своей ОС отдельным пакетом отсюда, если по каким то причинам вы не устанавливаете обновления, что крайне нежелательно), а для всех остальных - по ссылке, приведенной выше по тексту статьи.

На всякий случай я скачал обновления для ОС, снятых с поддержки, поэтому если у вас не получается взять их с официального сайта, то вы можете найти их здесь.

 

Далее информация, предназначенная для системных администраторов и лиц, к ним приравненных:

Проверить свое сетевое хозяйство на предмет наличия уязвимости перед шифровальщиком можно с помощью вот этой утилиты.

16 Комментариев


Рекомендуемые комментарии

CEPBAJl

Опубликовано

Серёга, я правильно понял что если включено автоматическое обновление системы то можно переживать "ниочинь сильно"?

kaTok43rus

Опубликовано

8 часов назад, CEPBAJl сказал:

Серёга, я правильно понял что если включено автоматическое обновление системы то можно переживать "ниочинь сильно"?

Да, можно переживать не сильно.

Но лучше проверить и убедиться, что соответствующее обновление у тебя установлено.

Вот здесь есть номера обновлений. У тебя может быть установлено как просто обновление безопасности (Security Only), так и полный ежемесячный пакет (Monthly Rollup).

8 часов назад, YarJagd сказал:

А как эта хрень попадает на комп?

Первая версия распространялась через фишинговые письма. Вторая (о которой речь) - уже через уязвимость в ОС (т.е. без твоего участия - не нужно запускать какой либо файл из письма или переходить по ссылке в нем). Именно это обусловило такой масштаб эпидемии. После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет. Вирус имеет функции сетевого червя и пытается распространяться в сети через уязвимость в SMBv1, для чего он перебирает множество IP-адресов случайным образом и пытается соединиться на порт 445 (SMB). За 20 минут динамического анализа в песочнице вирус успел перебрать более 60 000 IP-адресов из различных диапазонов. Таким образом, вирус обладает способностью к самораспространению не только по локальной сети, но и возможность атаковать другие компьютеры в мировом масштабе.

Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты.

 

yridro

Опубликовано

Сергей, сорри... но запуская проверку... получаю вот такой результат - 

Спойлер

241.JPG

Что не так?

PS обновление из твоего облака - установил.

Yawa_Artillerist

Опубликовано

У меня другое :)

Скачал отдельное обновление, запустил. Не установилось, так как служба обновления отключена. Отключал сам, специально, у меня просто Винда, без обновлений, для танков и интернета.

Запустил службу, начало устанавливаться обновление. Оставил комп включенным и ушёл по делам.

Пришёл, Винда скачала все обновления и установила их. Теперь у меня последняя версия :P

Опять отключил службу обновления :) До следующего массового психоза...

kaTok43rus

Опубликовано

1 час назад, yridro сказал:

Сергей, сорри... но запуская проверку... получаю вот такой результат - 

Юра, а ты это читал? :)

Цитата

Далее информация, предназначенная для системных администраторов и лиц, к ним приравненных

Простым юзерам программка эта без надобности :)

Просто скачай и поставь обнову для своей системы.

yridro

Опубликовано (изменено)

18 минут назад, kaTok43rus сказал:

Просто скачай и поставь обнову

Есть Кэп! :wowp_Smile_honoring:

Изменено пользователем yridro
YAR_bear_

Опубликовано

Пошёл по Серёгиной ссылке... ничего не понял... Обновы вообще отключены, плюнул...

Но моя умненькая помощница всё сделала сама :) Оставалось только нажать кнопочку... А Каток её ругал :)

Спойлер

2.jpg

 

kaTok43rus

Опубликовано

7 часов назад, YarJagd сказал:

Пошёл по Серёгиной ссылке... ничего не понял... Обновы вообще отключены, плюнул...

Вот раз с первой частью все так хреново, то вторая часть должна быть обязательно включена.

 

makcumka82

Опубликовано

@kaTok43rus Серёга, для win7 64x SP1 надо ставить вот эту шляпу?

http://www.catalog.update.microsoft.com/search.aspx?q=3212646

По ссылке - предпоследняя снизу.

Это январский пак, а уязвимость майская. Всё верно?

Как я понял фикс выложен в мартовском сборнике фиксов по этой ссылке

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

kaTok43rus

Опубликовано

1 час назад, makcumka82 сказал:

@kaTok43rus Серёга, для win7 64x SP1 надо ставить вот эту шляпу?

http://www.catalog.update.microsoft.com/search.aspx?q=3212646

По ссылке - предпоследняя снизу.

Это январский пак, а уязвимость майская. Всё верно?

Как я понял фикс выложен в мартовском сборнике фиксов по этой ссылке

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

должно быть установлено обновление с номером 4012215 или 4012212

Лучше первое

makcumka82

Опубликовано

13 минут назад, kaTok43rus сказал:

должно быть установлено обновление с номером 4012215 или 4012212

Лучше первое

215й поставил...

ну и 646, коли уж скачал :) 

VLAD_MIR36

Опубликовано (изменено)

Сергей @kaTok43rus, а для ХР надо ставить какие-нить обновы (кстати, а есть ли они?) или пусть наконец-то сдохнет (сам выкручивается)?

Изменено пользователем VLAD_MIR36
kaTok43rus

Опубликовано

4 минуты назад, VLAD_MIR36 сказал:

Сергей @kaTok43rus, а для ХР надо ставить какие-нить обновы (кстати, а есть ли они?) или пусть наконец-то сдохнет (сам выкручивается)?

Вова! А ты внимательно читал написанное? :)

VLAD_MIR36

Опубликовано

3 минуты назад, kaTok43rus сказал:

Вова! А ты внимательно читал написанное? :)

Осознал. Раскаялся. Никогда больше!

Гость
Добавить комментарий...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

Используя данный сайт, Вы соглашаетесь с положением Условия использования.