Vjerojatno iz medija svi su već svjesni da su 12. svibnja širom svijeta zabilježene masovne infekcije virusom ransomwarea. Wana decrypt0r 2.0 (WannaCry, WCry). Napad koristi prilično nedavnu ranjivost u protokolu za pristup dijeljenim datotekama i pisačima - SMBv1. Nakon što je računalo zaraženo, virus šifrira neke datoteke (dokumente, poštu, datoteke baze podataka) na korisnikovom tvrdom disku, mijenjajući njihova proširenja u WCRY. Za ransomware virus potreban je prijenos u iznosu od 300 USD za dešifriranje datoteka. Prije svega, u opasnosti su svi Windows OS-ovi koji nemaju ažuriranje za ispravljanje ranjivosti s omogućenim SMB 1.0 protokolom, izravno spojeni na Internet i ulazom 445 koji je dostupan izvana. Nakon što virus uđe u obod lokalne mreže, može se autonomno širiti skeniranjem ranjivih računala na mreži.
sadržaj:
- Ažuriranja sigurnosti sustava Windows radi zaštite od WannaCry-a
- Onemogućavanje SMB v 1.0
- Status napada WC-a
Ažuriranja sigurnosti sustava Windows radi zaštite od WannaCry-a
Virus je iskoristio ranjivost SMB 1.0 fiksiranog u sigurnosnom ažuriranju MS17-010, oslobođen 14. ožujka 2017. U slučaju da se vaša računala redovito ažuriraju putem Windows Update-a ili WSUS-a, dovoljno je provjeriti dostupnost ovog ažuriranja na računalu kako je opisano u nastavku.
| Vista, Windows Server 2008 | wmic qfe popis | findstr 4012598 |
| Windows 7, Windows Server 2008 R2 | wmic qfe popis | findstr 4012212ili wmic qfe popis | findstr 4012215 |
| Windows 8.1 | wmic qfe popis | findstr 4012213iliwmic qfe popis | findstr 4012216 |
| Windows Server 2012 | wmic qfe popis | findstr 4012214iliwmic qfe popis | findstr 4012217 |
| Windows Server 2012 R2 | wmic qfe popis | findstr 4012213iliwmic qfe popis | findstr 4012216 |
| Windows 10 | wmic qfe popis | findstr 4012606 |
| Windows 10 1511 | wmic qfe popis | findstr 4013198 |
| Windows 10 1607 | wmic qfe popis | findstr 4013429 |
| Windows Server 2016 | wmic qfe popis | findstr 4013429 |
Ako naredba vrati sličan odgovor, zakrpa koja pokriva ranjivost već je instalirana.
ttp: //support.microsoft.com/? kbid = 4012213 Sigurnosno ažuriranje MSK-DC2 KB4012213 CORP \ admin 13.5.2017
Ako naredba ne vrati ništa, morate preuzeti i instalirati odgovarajuće ažuriranje. Ako su u travnju ili svibnju instalirana sigurnosna ažuriranja za Windows (kao dio novog kumulativnog modela ažuriranja sustava Windows), vaše računalo je također zaštićeno.
Vrijedi napomenuti da je Microsoft, unatoč činjenici da su Windows XP, Windows Server 2003, Windows 8 već uklonjeni iz podrške, Microsoft brzo objavio ažuriranje dana.
vijeće. Izravne veze do zakrpa radi popravljanja ranjivosti za prekinute sustave:
Windows XP SP3 x86 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP3 x86 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Windows XP SP2 x64 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows XP SP2 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 x86 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x86 ENU - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
Windows Server 2003 x64 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2003 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 8 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Onemogućavanje SMB v 1.0
Jednostavan i učinkovit način zaštite od ranjivosti je potpuno onemogućivanje SMB 1.0 protokola na klijentima i poslužiteljima. Ako u vašoj mreži nema računala sa sustavom Windows XP ili Windows Server 2003, to se može učiniti pomoću naredbe
dism / online / norestart / onesposobiti-značajku / ime: SMB1Protocol
ili kako je preporučeno u članku Onemogućavanje SMB 1.0 u sustavu Windows 10 / Server 2016
Status napada WC-a
Prema posljednjim informacijama, širenje virusa WannaCrypt ransomwarea zaustavljeno je registracijom domene iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Kako se ispostavilo, virus je u kodu imao pristup ovoj domeni; ako je odgovor bio ne, virus je počeo šifrirati dokumente. Očito su na taj način programeri ostavili priliku za sebe da brzo zaustave širenje virusa. Što je koristio jedan od entuzijasta?.
Naravno, ništa ne sprječava autore virusa da pod eksploatacijom ETERNALBLUE napišu svježu verziju svog stvaralaštva, a on će nastaviti svoj prljavi posao. Dakle, da biste spriječili napade Ransom: Win32.WannaCrypt, morate instalirati potrebna ažuriranja (i redovito ih instalirati), ažurirati antivirusne programe, onemogućiti SMB 1.0 (ako je primjenjivo) i ne otvarati port 445 na Internet bez potrebe.
A također ću pružiti veze do korisnih članaka koji pomažu umanjiti štetu i vjerojatnost napada šifrera na Windows sustavima:
- Zaštita kodiranja s FSRM-om
- Blokirajte viruse softverom za ograničenje softvera
- Oporavak datoteka iz sjenovitih kopija nakon infekcije enkriptorom
