Захист Windows від вірусу-шифрувальника Wana Decrypt0r

Ймовірно, зі ЗМІ, все вже в курсі, що 12 травня по всьому світу зафіксовані масові зараження ОС Windows вірусом-шифрувальником  Wana decrypt0r 2.0 (WannaCry, WCry). Для атаки використовується досить свіжа уразливість в протоколі доступу до загальних файлів і принтерів - SMBv1. Після зараження комп'ютера, вірус шифрує деякі файли (документи, пошту, файли баз) на жорсткому диску користувача, змінюючи їх розширення на WCRY. За розшифровку файлів вірус-вимагач вимагає перевести 300 $. Під загрозою в першу чергу знаходяться всі ОС Windows, на яких відсутній виправляє уразливість оновлення, з включеним протоколом SMB 1.0, безпосередньо підключені до Інтернету і з доступним ззовні портом 445. Відзначалися і інші способи проникнення шифрувальника в системи (заражені сайти, розсилки). Після потрапляння вірусу всередину периметра локальної мережі, він може поширюватися автономно, скануючи вразливі хости в мережі.

зміст:

  • Оновлення безпеки Windows для захисту від WannaCry
  • Відключення SMB v 1.0
  • Статус атаки WCry

Оновлення безпеки Windows для захисту від WannaCry

Уразливість в SMB 1.0, експлуатована вірусом, виправлена ​​в оновленнях безпеки MS17-010, випущених 14 березня 2017 року. У тому випадку, якщо ваші комп'ютери регулярно оновлюються через Windows Update або WSUS, досить перевірити наявність даного поновлення на комп'ютері як описано нижче.

Vista, Windows Server 2008wmic qfe list | findstr 4012598
Windows 7, Windows Server 2008 R2wmic qfe list | findstr 4012212

абоwmic qfe list | findstr 4012215
Windows 8.1wmic qfe list | findstr 4012213абоwmic qfe list | findstr 4012216
Windows Server 2012wmic qfe list | findstr 4012214абоwmic qfe list | findstr 4012217
Windows Server 2012 R2wmic qfe list | findstr 4012213абоwmic qfe list | findstr 4012216
Windows 10wmic qfe list | findstr 4012606
Windows 10 1511wmic qfe list | findstr 4013198
Windows 10 1607wmic qfe list | findstr 4013429
Windows Server 2016wmic qfe list | findstr 4013429

У тому випадку, якщо команда повертає подібна відповідь, значить патч, що закриває уразливість, у вас вже встановлений.

ttp: //support.microsoft.com/? kbid = 4012213 MSK-DC2 Security Update KB4012213 CORP \ admin 5/13/2017

Якщо команда нічого не повертає, потрібно завантажити і встановити відповідне оновлення. У тому випадку, якщо встановлені квітневі або травневі оновлення безпеки Windows (в рамках нової накопичувальної моделі поновлення Windows), ваш комп'ютер також захищений.

Варто відзначити, що, незважаючи на те що Windows XP, Windows Server 2003, Windows 8 вже зняті з підтримки, Microsoft оперативно випустило оновлення і дня них.

Порада. Прямі посилання на патчі для виправлення уразливості під зняті з підтримки системи:

Windows XP SP3 x86 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

Windows XP SP3 x86 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

Windows XP SP2 x64 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows XP SP2 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows Server 2003 x86 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 x86 ENU - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe

Windows Server 2003 x64 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Windows Server 2003 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows 8 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

Windows 8 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

Відключення SMB v 1.0

Простим і дієвим способом захисту від вразливості є повне відключення протоколу SMB 1.0 на клієнтах і серверах. У тому випадку, якщо у вашій мережі не залишилося комп'ютерів з Windows XP або Windows Server 2003, це можна виконати за допомогою команди

dism / online / norestart / disable-feature / featurename: SMB1Protocol

або за рекомендаціями в статті Відключення SMB 1.0 в Windows 10 / Server 2016

Статус атаки WCry

За останньою інформацією, поширення вірусу-здирника WannaCrypt вдалося призупинити, зареєструвавши домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Як виявилося, в коді вірус була зашито звернення до цього домену, при негативній відповіді вірус починав шифрування документів. Судячи з усього, таким способо розробники залишили для себе можливість швидко призупинити поширення вірусу. Чим скористався один з ентузіастів.

Природно, авторам вірусу нічого не заважає написати свіжу версію свого творіння під експлойт ETERNALBLUE, і він продовжить свою чорну справу. Таким чином, для запобігання атак Ransom: Win32.WannaCrypt необхідно встановити потрібні оновлення (і встановлювати їх регулярно), оновити антивіруси, відключити SMB 1.0 (якщо пріменімл), і не відкривати без необхідності порт 445 в Інтернет.

І ще наведу посилання на корисні статті, що дозволяють мінімізувати шкоду і ймовірність атаки шифрувальників в Windows системах:

  • Захист від шифрувальників за допомогою FSRM
  • Блокування вірусів за допомогою Software Restriction Policies
  • Відновлення файлів з тіньових копій після зараження шифрувальником