Май 122017
 

В начале весны была обнаружена уязвимость в протоколе SMB v1, она позволяет выполнять злоумышленнику на уязвимой машине произвольный код. Практически сразу же появился патч от Майкрософта и вирус-вымогатель, который шифрует файлы пользователя и требует деньги за дешифрование.  Обезопасить свой компьютер и сеть можно установив соответствующий патч или запретив в найстройках системы использование SMB v1, а лучше сделать и то и другое.  Эти меры защитят Ваш компьютер от заражения по сети, но если Вы сами скачаете и запустите вирус то они не помогут.

Тут на английском подробно про уязвимость: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, ссылки на патчи в конце статьи, если Ваш компьютер не заражен, листайте ниже и устанавливайте патчи (если включено автоматическое обновление, то вероятно патч уже установлен, но лучше перестраховаться и проверить).

Если Ваш компьютер заражен, то на данный момент удалить WannaCryptor можно разными способами:

  1. Первым делом установите патч закрывающий уязвимость (ссылки ниже), если этого не сделать возможно повторное заражение
  2. В Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008 использование уязвимого протокола SMB v1 можно запретить командой:
    Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 -Force
    Для этого запустите PowerShell от имени администратора, скопируйте выделенное жирным и кликните правой кнопкой на окне PowerShell, затем нажмите Enter, после необходимо перезагрузить компьютер для применения изменений.Команда для Windows 8 and Windows Server 2012 выглядит иначе:

    Set-SmbServerConfiguration -EnableSMB1Protocol $false

  3. Используйте утилиту MalwareBytes (по отзывам помогает)
  4. Используйте AdwCleaner (так же есть подтвержденные случаи успешного лечения)
  5. Лечение просто удаляет вирус, но зашифрованные файлы так и остаются зашифрованными.
  6. Так же не лишним будет проверить компьютер бесплатной антивирусной утилитой Cureit 
  7. Учитывая масштабы атаки весьма вероятно появления утилиты для дешифровки в обозримом будущем, пока не ясно, можно ли расшифровать файлы если заплатить вымогателям.

Ссылки на патчи:

Несмотря на прекращение поддержки Windows XP для нее и WIndows Server 2003 так же выпустили обновление закрывающее уязвимости в протоколе SMB v1:

Windows Server 2008
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows 7
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows 8.1
Windows 8.1 for 32-bit Systems
Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems
Windows 8.1 for x64-based Systems
Windows Server 2012 and Windows Server 2012 R2
Windows Server 2012
Windows Server 2012
Windows Server 2012 R2
Windows Server 2012 R2
Windows 10
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows Server 2016
Windows Server 2016 for x64-based Systems
Server Core installation option
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2012 (Server Core installation)
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016 for x64-based Systems [3](Server Core installation)

UPD На начало июня расшифровщика нет, но весьма вероятно он будет, так что зашифрованные файлы можно не спешить удалять. Для тех кто только заразился и еще не перезагружал компьютер есть возможность расшифровать файлы WannaCry.

1 звезда2 звезды3 звезды4 звезды5 звезд (2 оценок, среднее: 5,00 out of 5)
Загрузка...

  3 комментария в “Уязвимость в SMB или как обезопасить свою сеть от шифратора вымогателя WCry (WannaCry или WannaCryptor) и его разновидностей”

  1. […] MS17-010, и выполните рекомендации из статьи про WannaCry, сделать это следовало более месяца назад, но и сейчас […]

  2. […] успешной атаки вируса WannaCry, почти незаметной прошла аналогичная атака XData Ransomware […]

  3. Дыра в Win как раз таки и используется для проникновения вируса. А где они сидят? Правильно, на сайтах с сомнительной репутацией — то есть порносайтах. Не сами же вы пишите вирус для заражения своего компа.

 Оставить комментарий

Войти с помощью: 

Вы можете использовать HTML теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(требуется)

(требуется)