Jump to content
  • entries
    18
  • comments
    133
  • views
    3396

Как не стать жертвой атаки шифровальщика Wana Decrypt0r?

kaTok43rus

1059 views

12 мая 2017 года, десятки компаний по всему миру, а так же простые пользователи стали жертвами атак шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt.

Согласно данным ИБ-специалистов и сообщению испанского CERT, вымогатель распространяется, используя брешь в SMBv1, а также эксплоиты, которые хакерская группировка The Shadow Brokers ранее похитила у АНБ и опубликовала в открытом доступе: ETERNALBLUE и DOUBLEPULSAR. Проникнув в систему, малварь шифрует файлы пользователя, заменяя их разрешение на .WNCRY и требует выкуп в размере $300-600 в биткоин эквиваленте.

 

От атак шифровальщика пострадали медицинские учреждения в Великобритании, целый ряд испанских компаний (включая крупную телекоммуникационную компанию Telefonica,  банк Santander и газовую компанию Gas Natural), в Германии пострадал железнодорожный оператор Deutsche Bahn и так далее.

По данным специалистов Avast, еще вчера количество атак превысило отметку 57 000, а аналитики «Лаборатории Касперского» говорили о 45 000 атак на 74 страны мира. Сейчас исследователи полагают, что речь идет уже более чем о 140 000 заражений. Также сообщается, что главными целями операторов малвари стали Россия, Украина и Тайвань. Так, в России в результате атак Wana Decrypt0r пострадали компания «Мегафон», РЖД, Минздрав России, МВД, Сбербанк, МЧС и многие другие.

 

Патч для уязвимости, которую эксплуатируют злоумышленники, был выпущен компанией Microsoft еще в марте 2017 года.То есть жертвами атак становятся пользователи и организации, которые не следят за безопасностью и обновлением своих систем. Всем, кто по какой-то причине еще не установил обновление MS17-010, настоятельно рекомендуется сделать это немедленно.

Учитывая серьезность проблемы, сегодня, 13 мая 2017 года, разработчики Microsoft представили патчи для операционных систем, поддержка которых была прекращена много лет назад: Windows XP, Windows 8 (не 8.1!), и Windows Server 2003. Дело в том, что британские больницы пострадали от атак Wana Decrypt0r по той простой причине, что в них до сих пор активно используют Windows XP, и похожая ситуация наблюдается во многих компаниях и ведомствах. Загрузить исправления можно здесь (рекомендуется использовать Internet Explorer). Вдобавок компания Microsoft напоминает, что можно также отключить протокол SMB1, следуя данной инструкции (на англ. языке). Мое мнение - отключать протокол нет смысла, так как появились версии, использующие уязвимости протокола второй версии (SMB2) а его отключение на ОС ниже Windows 10 может привести к отрицательным последствиям и крайне нежелательно.

 

Впрочем, распространение Wana Decrypt0r и «вымогательский апокалипсис» временно удалось приостановить, и благодарить за это стоит независимого исследователя, известного как MalwareTech.

Исследователю удалось обнаружить в коде малвари жестко закодированный «рубильник», останавливающий распространение заразы. Как оказалось, перед началом работы Wana Decrypt0r обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения.

По материалам сайта https://xakep.ru

 

P.S.

По подтвержденной информации, началось распространение малвари без "рубильника", поэтому я настоятельно рекомендую всем установить обновления безопасности. Для пользователей Windows 7 и старше (кроме Windows 8 - она вроде как тоже старше, но снята с поддержки) это можно сделать централизованно, просто установив все доступные обновления из Центра обновления Windows (или скачав обновление для своей ОС отдельным пакетом отсюда, если по каким то причинам вы не устанавливаете обновления, что крайне нежелательно), а для всех остальных - по ссылке, приведенной выше по тексту статьи.

На всякий случай я скачал обновления для ОС, снятых с поддержки, поэтому если у вас не получается взять их с официального сайта, то вы можете найти их здесь.

 

Далее информация, предназначенная для системных администраторов и лиц, к ним приравненных:

Проверить свое сетевое хозяйство на предмет наличия уязвимости перед шифровальщиком можно с помощью вот этой утилиты.



16 Comments


Recommended Comments

Серёга, я правильно понял что если включено автоматическое обновление системы то можно переживать "ниочинь сильно"?

Share this comment


Link to comment
8 часов назад, CEPBAJl сказал:

Серёга, я правильно понял что если включено автоматическое обновление системы то можно переживать "ниочинь сильно"?

Да, можно переживать не сильно.

Но лучше проверить и убедиться, что соответствующее обновление у тебя установлено.

Вот здесь есть номера обновлений. У тебя может быть установлено как просто обновление безопасности (Security Only), так и полный ежемесячный пакет (Monthly Rollup).

8 часов назад, YarJagd сказал:

А как эта хрень попадает на комп?

Первая версия распространялась через фишинговые письма. Вторая (о которой речь) - уже через уязвимость в ОС (т.е. без твоего участия - не нужно запускать какой либо файл из письма или переходить по ссылке в нем). Именно это обусловило такой масштаб эпидемии. После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет. Вирус имеет функции сетевого червя и пытается распространяться в сети через уязвимость в SMBv1, для чего он перебирает множество IP-адресов случайным образом и пытается соединиться на порт 445 (SMB). За 20 минут динамического анализа в песочнице вирус успел перебрать более 60 000 IP-адресов из различных диапазонов. Таким образом, вирус обладает способностью к самораспространению не только по локальной сети, но и возможность атаковать другие компьютеры в мировом масштабе.

Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты.

 

Share this comment


Link to comment

Сергей, сорри... но запуская проверку... получаю вот такой результат - 

Спойлер

241.JPG

Что не так?

PS обновление из твоего облака - установил.

Share this comment


Link to comment

У меня другое :)

Скачал отдельное обновление, запустил. Не установилось, так как служба обновления отключена. Отключал сам, специально, у меня просто Винда, без обновлений, для танков и интернета.

Запустил службу, начало устанавливаться обновление. Оставил комп включенным и ушёл по делам.

Пришёл, Винда скачала все обновления и установила их. Теперь у меня последняя версия :P

Опять отключил службу обновления :) До следующего массового психоза...

Share this comment


Link to comment
1 час назад, yridro сказал:

Сергей, сорри... но запуская проверку... получаю вот такой результат - 

Юра, а ты это читал? :)

Цитата

Далее информация, предназначенная для системных администраторов и лиц, к ним приравненных

Простым юзерам программка эта без надобности :)

Просто скачай и поставь обнову для своей системы.

Share this comment


Link to comment

Пошёл по Серёгиной ссылке... ничего не понял... Обновы вообще отключены, плюнул...

Но моя умненькая помощница всё сделала сама :) Оставалось только нажать кнопочку... А Каток её ругал :)

Спойлер

2.jpg

 

Share this comment


Link to comment
7 часов назад, YarJagd сказал:

Пошёл по Серёгиной ссылке... ничего не понял... Обновы вообще отключены, плюнул...

Вот раз с первой частью все так хреново, то вторая часть должна быть обязательно включена.

 

Share this comment


Link to comment

@kaTok43rus Серёга, для win7 64x SP1 надо ставить вот эту шляпу?

http://www.catalog.update.microsoft.com/search.aspx?q=3212646

По ссылке - предпоследняя снизу.

Это январский пак, а уязвимость майская. Всё верно?

Как я понял фикс выложен в мартовском сборнике фиксов по этой ссылке

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

Share this comment


Link to comment
1 час назад, makcumka82 сказал:

@kaTok43rus Серёга, для win7 64x SP1 надо ставить вот эту шляпу?

http://www.catalog.update.microsoft.com/search.aspx?q=3212646

По ссылке - предпоследняя снизу.

Это январский пак, а уязвимость майская. Всё верно?

Как я понял фикс выложен в мартовском сборнике фиксов по этой ссылке

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

должно быть установлено обновление с номером 4012215 или 4012212

Лучше первое

Share this comment


Link to comment
13 минут назад, kaTok43rus сказал:

должно быть установлено обновление с номером 4012215 или 4012212

Лучше первое

215й поставил...

ну и 646, коли уж скачал :) 

Share this comment


Link to comment

Сергей @kaTok43rus, а для ХР надо ставить какие-нить обновы (кстати, а есть ли они?) или пусть наконец-то сдохнет (сам выкручивается)?

Edited by VLAD_MIR36

Share this comment


Link to comment
4 минуты назад, VLAD_MIR36 сказал:

Сергей @kaTok43rus, а для ХР надо ставить какие-нить обновы (кстати, а есть ли они?) или пусть наконец-то сдохнет (сам выкручивается)?

Вова! А ты внимательно читал написанное? :)

Share this comment


Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

Используя данный сайт, Вы соглашаетесь с положением Terms of Use.