Лидеры

12 мая 2017 года, десятки компаний по всему миру, а так же простые пользователи стали жертвами атак шифровальщика Wana Decrypt0r, который также известен под названиями WCry, WannaCry, WannaCrypt0r и WannaCrypt. Согласно данным ИБ-специалистов и сообщению испанского CERT, вымогатель распространяется, используя брешь в SMBv1, а также эксплоиты, которые хакерская группировка The Shadow Brokers ранее похитила у АНБ и опубликовала в открытом доступе: ETERNALBLUE и DOUBLEPULSAR. Проникнув в систему, малварь шифрует файлы пользователя, заменяя их разрешение на .WNCRY и требует выкуп в размере $300-600 в биткоин эквиваленте. От атак шифровальщика пострадали медицинские учреждения в Великобритании, целый ряд испанских компаний (включая крупную телекоммуникационную компанию Telefonica, банк Santander и газовую компанию Gas Natural), в Германии пострадал железнодорожный оператор Deutsche Bahn и так далее. По данным специалистов Avast, еще вчера количество атак превысило отметку 57 000, а аналитики «Лаборатории Касперского» говорили о 45 000 атак на 74 страны мира. Сейчас исследователи полагают, что речь идет уже более чем о 140 000 заражений. Также сообщается, что главными целями операторов малвари стали Россия, Украина и Тайвань. Так, в России в результате атак Wana Decrypt0r пострадали компания «Мегафон», РЖД, Минздрав России, МВД, Сбербанк, МЧС и многие другие. Патч для уязвимости, которую эксплуатируют злоумышленники, был выпущен компанией Microsoft еще в марте 2017 года.То есть жертвами атак становятся пользователи и организации, которые не следят за безопасностью и обновлением своих систем. Всем, кто по какой-то причине еще не установил обновление MS17-010, настоятельно рекомендуется сделать это немедленно. Учитывая серьезность проблемы, сегодня, 13 мая 2017 года, разработчики Microsoft представили патчи для операционных систем, поддержка которых была прекращена много лет назад: Windows XP, Windows 8 (не 8.1!), и Windows Server 2003. Дело в том, что британские больницы пострадали от атак Wana Decrypt0r по той простой причине, что в них до сих пор активно используют Windows XP, и похожая ситуация наблюдается во многих компаниях и ведомствах. Загрузить исправления можно здесь (рекомендуется использовать Internet Explorer). Вдобавок компания Microsoft напоминает, что можно также отключить протокол SMB1, следуя данной инструкции (на англ. языке). Мое мнение - отключать протокол нет смысла, так как появились версии, использующие уязвимости протокола второй версии (SMB2) а его отключение на ОС ниже Windows 10 может привести к отрицательным последствиям и крайне нежелательно. Впрочем, распространение Wana Decrypt0r и «вымогательский апокалипсис» временно удалось приостановить, и благодарить за это стоит независимого исследователя, известного как MalwareTech. Исследователю удалось обнаружить в коде малвари жестко закодированный «рубильник», останавливающий распространение заразы. Как оказалось, перед началом работы Wana Decrypt0r обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, проверяя, существует ли он. Если домен не зарегистрирован, малварь начинает шифровать файлы. Однако если домен существует, вымогатель останавливает процесс заражения. По материалам сайта https://xakep.ru P.S. По подтвержденной информации, началось распространение малвари без "рубильника", поэтому я настоятельно рекомендую всем установить обновления безопасности. Для пользователей Windows 7 и старше (кроме Windows 8 - она вроде как тоже старше, но снята с поддержки) это можно сделать централизованно, просто установив все доступные обновления из Центра обновления Windows (или скачав обновление для своей ОС отдельным пакетом отсюда, если по каким то причинам вы не устанавливаете обновления, что крайне нежелательно), а для всех остальных - по ссылке, приведенной выше по тексту статьи. На всякий случай я скачал обновления для ОС, снятых с поддержки, поэтому если у вас не получается взять их с официального сайта, то вы можете найти их здесь. Далее информация, предназначенная для системных администраторов и лиц, к ним приравненных: Проверить свое сетевое хозяйство на предмет наличия уязвимости перед шифровальщиком можно с помощью вот этой утилиты.

Чуть более 3 лет назад, 8 апреля 2014 года в мире высоких технологий случилось страшное — Microsoft наконец официально прекратила поддержку своей самой популярной операционной системы Windows XP. Операционная система осталась без заплаток для угроз нулевого дня, миллионы пользователей оказались в опасности заражения вирусами. Тем не менее, далеко не все спешат переходить на новые версии как этого желает софтверный гигант — кому-то жалко денег, кто-то привык к до боли знакомому интерфейсу и нескучной обоине с зелеными холмами. Намного серьезнее все обстоит в корпоративной среде, где на Windows XP работают тысячи машин, обновление которых выльется в миллионные траты и непредвиденные проблемы с годами отточенным корпоративным софтом. Но оказывается, что есть простой хак, который позволяет продлить получение обновлений для системы безопасности Windows XP аж до 9-го апреля 2019 года! Это стало возможным благодаря существованию особой версии WIndows XP — Windows Embedded POSReady 2009. Эта система была выпущена в 2009 году и основана на Windows XP Service Pack 3. Она предназначена для различных POS-терминалов, киосков, систем самообслуживания. Пользователям Windows XP не разрешается напрямую установить эти обновления для своей операционной системы. Однако, есть способ заставить систему делать это просто добавив определенный ключ в реестр Windows. Готовый файлик для импорта ключа реестра прилагается: Windows_Embedded_POSReady_2009.reg Поскольку расширенная поддержка Windows Embedded POSReady 2009 заканчивается только в 2019 году, Microsoft будет продолжать предоставлять новые обновления безопасности и исправления для этой версии до 9 апреля 2019 года, так что пользователи могут использовать этот хак для получения обновлений безопасности Windows XP до окончания расширенной поддержки Windows Embedded POSReady 2009. DISCLAIMER В связи с буйством различных антипиратских инициатив в нашем мире и стране, может внезапно оказаться, что данный трюк карается как раз 5 годами тюрьмы. Поэтому, решать вам. UPD Microsoft дала вполне ожидаемый комментарий сайту zdnet.com: По материалам сайта https://habrahabr.ru