Как не стать жертвой атаки шифровальщика Wana Decrypt0r?
12 мая 2017 года, десятки компаний по всему миру, а так же простые пользователи стали жертвами атак шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.
Согласно данным ИБ-специалистов и сообщению испанского CERT, вымогатель распространяется, используя брешь в SMBv1, а также эксплоиты, которые хакерская группировка The Shadow Brokers ранее похитила у АНБ и опубликовала в открытом доступе: ETERNALBLUE и DOUBLEPULSAR. Проникнув в систему, малварь шифрует файлы пользователя, заменяя их разрешение на .WNCRY и требует выкуп в размере $300-600 в биткоин эквиваленте.
От атак шифровальщика пострадали медицинские учреждения в Великобритании, целый ряд испанских компаний (включая крупную телекоммуникационную компанию Telefonica, банк Santander и газовую компанию Gas Natural), в Германии пострадал железнодорожный оператор Deutsche Bahn и так далее.
По данным специалистов Avast, еще вчера количество атак превысило отметку 57 000, а аналитики «Лаборатории Касперского» говорили о 45 000 атак на 74 страны мира. Сейчас исследователи полагают, что речь идет уже более чем о 140 000 заражений. Также сообщается, что главными целями операторов малвари стали Россия, Украина и Тайвань. Так, в России в результате атак Wana Decrypt0r пострадали компания «Мегафон», РЖД, Минздрав России, МВД, Сбербанк, МЧС и многие другие.
Патч для уязвимости, которую эксплуатируют злоумышленники, был выпущен компанией Microsoft еще в марте 2017 года.То есть жертвами атак становятся пользователи и организации, которые не следят за безопасностью и обновлением своих систем. Всем, кто по какой-то причине еще не установил обновление MS17-010, настоятельно рекомендуется сделать это немедленно.
Учитывая серьезность проблемы, сегодня, 13 мая 2017 года, разработчики Microsoft представили патчи для операционных систем, поддержка которых была прекращена много лет назад: Windows XP, Windows 8 (не 8.1!), и Windows Server 2003. Дело в том, что британские больницы пострадали от атак Wana Decrypt0r по той простой причине, что в них до сих пор активно используют Windows XP, и похожая ситуация наблюдается во многих компаниях и ведомствах. Загрузить исправления можно здесь (рекомендуется использовать Internet Explorer). Вдобавок компания Microsoft напоминает, что можно также отключить протокол SMB1, следуя данной инструкции (на англ. языке). Мое мнение - отключать протокол нет смысла, так как появились версии, использующие уязвимости протокола второй версии (SMB2) а его отключение на ОС ниже Windows 10 может привести к отрицательным последствиям и крайне нежелательно.
Впрочем, распространение Wana Decrypt0r и «вымогательский апокалипсис» временно удалось приостановить, и благодарить за это стоит независимого исследователя, известного как MalwareTech.
Исследователю удалось обнаружить в коде малвари жестко закодированный «рубильник», останавливающий распространение заразы. Как оказалось, перед началом работы Wana Decrypt0r обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения.
По материалам сайта https://xakep.ru
P.S.
По подтвержденной информации, началось распространение малвари без "рубильника", поэтому я настоятельно рекомендую всем установить обновления безопасности. Для пользователей Windows 7 и старше (кроме Windows 8 - она вроде как тоже старше, но снята с поддержки) это можно сделать централизованно, просто установив все доступные обновления из Центра обновления Windows (или скачав обновление для своей ОС отдельным пакетом отсюда, если по каким то причинам вы не устанавливаете обновления, что крайне нежелательно), а для всех остальных - по ссылке, приведенной выше по тексту статьи.
На всякий случай я скачал обновления для ОС, снятых с поддержки, поэтому если у вас не получается взять их с официального сайта, то вы можете найти их здесь.
Далее информация, предназначенная для системных администраторов и лиц, к ним приравненных:
Проверить свое сетевое хозяйство на предмет наличия уязвимости перед шифровальщиком можно с помощью вот этой утилиты.
16 Комментариев
Рекомендуемые комментарии