Wanna Cry (Wana decrypt0r 2.0). Самая масштабная вирусная атака в истории. Как защититься.

Вирус безвозвратно шифрует файлы с расширениями .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

 

Распространяется не только через запуск зараженного файла, но и по сети, используя дыру в протоколе SAMBA 1-й версии, т.е. заражению подвержены все ПК с ОС Windows. Если файл зашифрован, то даже оплата злоумышленнику ничего не даст, т.к. шифрация происходит со случайно сгенерированным ключом.

 

 

Будьте осторожны со своими ПК, в т.ч с виртуальными машинами. Прежде чем дать доступ ПК в сеть – отключите драйвер SMBv1. Защититься от заражения по сети можно следующими способом: поставьте обновления, конкретно от этой уязвимости закрывают следующие патчи:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Windows XP: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb401...

Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/win...

Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...

Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...

Windows Vista x86: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Vista x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2008 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2008 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2008 R2: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows 8 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 8 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows Server 2012: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 8.1 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 8.1 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows Server 2012 R2: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1511) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1511) x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1607) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1607) x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2016: http://download.windowsupdate.com/d/msdownload/update/softwa...

 

Патч включен в обновления Windows начиная с 14 марта.

Если установить патч/обновления нет возможности – закройте на фаерволе tcp/udp порты 135 и 445 и/или отключите SMB 1-й версии

На XP:

Нужно добавить  в путь реестра HKLM\SYSTEM\CurrentControlSet\Services\Netbt\Parameters параметр SMBDeviceEnabled тип REG_DWORD значение 0   (прекратится доступ с/на общие ресурсы и печать на сетевые принтеры)

 

VISTA/7:

Выполнить от имени администратора cmd и запустить в нем последовательно две команды:

sc config lanmanworkstation depend= bowser/mrxsmb20/nsi

sc config mrxsmb10 start= disabled

 

После этого обязательно перезагрузиться

Проверить, что драйвер не запущен в консоли командой sс query mrxsmb10, он должен быть в состоянии STOPPED 

 

В Win8 и старше можно отключить драйвер одним из нескольких способов:

 

  • *) Запустить powershell от имени администратора и выполнить команду
  • Set-SmbServerConfiguration -EnableSMB1Protocol $false –force
  • И там же проверить статус выполнения командой 
  • Get-SmbServerConfiguration
  • enablesmb1protocol должен быть в статусе false
  • *) Отключить компонент SMB1/ CIFS либо командой в командной строке запущенной от имени администратора:
  • dism /online /norestart /disable-feature /featurename:SMB1Protocol
  • либо через графический интерфейс «Панель управления» - «Программы и компоненты» - «Включение/отключение компонентов Windows» в открывшемся окне снять галочку «Поддержка общего доступа к файлам SMB 1.0/CIFS»

  • Но и после этого остаётся риск заразиться через запуск зараженного файла. Будьте осторожны, не открывайте письма, а уж тем более вложения, от неизвестных Вам отправителей. Используйте хороший антивирус с актуальными базами.

 

 

 

  •  
0
Ваша оценка: Нет

 

Ἀλκαῖο аватар

Ἀλκαῖο
15 Май, 2017 - 17:23

Линукс не шифруется?

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
15 Май, 2017 - 18:03

конкретно этим вирусом - нет. Для взлома используются системные вызовы винды, для работы используются также cmd-команды и сам файл в exe-формате.
https://habrahabr.ru/company/pentestit/blog/328606/



Ἀλκαῖο аватар

Ἀλκαῖο
16 Май, 2017 - 08:18

получается я все правильно сделал?
поставил бесплатную ось и избавился от многих вирусов ?

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
16 Май, 2017 - 10:02

От большинства. Но на *nix тоже немало уязвимостей Smile



Ἀλκαῖο аватар

Ἀλκαῖο
16 Май, 2017 - 12:05

обновления(заплатки) почти каждый день

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
16 Май, 2017 - 13:53

ну тогда беспокоиться почти не о чем



Ἀλκαῖο аватар

Ἀλκαῖο
16 Май, 2017 - 15:12

почти

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
25 Май, 2017 - 17:07

а вот и появился "cry" для линуховой самбы. https://habrahabr.ru/company/cloud4y/blog/329464/



Ἀλκαῖο аватар

Ἀλκαῖο
25 Май, 2017 - 17:09

как предохраняются красноглазые ?

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
25 Май, 2017 - 17:10

так же как виндозники - обновления и/или строчка в конфиге самбы.



Ἀλκαῖο аватар

Ἀλκαῖο
25 Май, 2017 - 17:14

где берут эти строчки ?
вот комментарий из хабра
— все линуксоиды нищеброды, и за расшифровку никто платить не будет. Я сам линуксоид, так что точно знаю.

никто не купит , и даром тоже не отдадут из жадности ?

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
25 Май, 2017 - 17:21

в тексте статьи приводится эта строчка.



Ἀλκαῖο аватар

Ἀλκαῖο
25 Май, 2017 - 17:26

говорят, очень много серверов работает на ос Линукс.
потому что нищеброды , или другая причина ?

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
25 Май, 2017 - 17:39

Потому что удобнее, понятнее, безопаснее, гибче и зачастую быстрее чем Windows. У нас из ~50 серверов только около 6-8 на Windows.



Ἀλκαῖο аватар

Ἀλκαῖο
25 Май, 2017 - 19:48

Правда, что для сервера на Windows необходимо купить лицензию , а сервер Линукс можно все программы установить бесплатно ?

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
26 Май, 2017 - 05:42

нет



Ἀλκαῖο аватар

Ἀλκαῖο
26 Май, 2017 - 06:41

программм нет или за них платить заставят ?
есть возможность найти бесплатное ПО и поднять сервер ?

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
26 Май, 2017 - 10:31

Под линукс, как дистрибутивы, так и программы есть и платные, и бесплатные.



Lyr аватар

Lyr
25 Май, 2017 - 17:22

Если верить господам, которые платили, и тем, которые разбирали механизм шифрации - оплата ничего не даст, т.к. шифруется рандомным ключом, неизвестным никому, в т.ч. создателю вируса.



Lyr аватар

Lyr
18 Май, 2017 - 08:15

Линуксоиды смогли Smile Через WINE, но всё же.



Ἀλκαῖο аватар

Ἀλκαῖο
18 Май, 2017 - 17:40

как это сделать ?

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
19 Май, 2017 - 14:47

Скорее всего просто - берешь зараженный файл, как его получить - известно. И запускаешь под WINE. Done



Ἀλκαῖο аватар

Ἀλκαῖο
19 Май, 2017 - 16:05

слишком долго

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Lyr аватар

Lyr
16 Май, 2017 - 07:27

В пятницу были поражены компьютеры многих больниц, банков, коммерческих компаний, государственных организаций, домашних пользователей. Компания Renault приостановила работу нескольких заводов во Франции, компьютерщики Nissan пытаются восстановить работу компьютеров на английском заводе. В промышленном конгломерате Hitachi сотрудники не могли принимать и отправлять электронную почту, в Китае отказал приём платежей на некоторых заправках PetroChina. Атаке подверглись многие российские государственные организации, в том числе МВД, Банк России и Минздрав.



Alex  аватар

Alex
16 Май, 2017 - 16:03

где же отечественная ось на основе Linux?



Lyr аватар

Lyr
16 Май, 2017 - 16:32

А при чём тут она? Отечественного в "наших" дистрибутивах мало, а уязвимости те же.



Ἀλκαῖο аватар

Ἀλκαῖο
25 Май, 2017 - 17:35

на хабре с комментов по ссылкам с темы съехал на отечественные оси
https://habrahabr.ru/article/327935/
OS Фантом, «Мой офис», OS DAY 2017, Sailfish Mobile OS RUS, Jet OS,

ушел в себя
вернусь нескоро.

Голод пережили,разруху пережили ,изобилие тоже переживем. 



Z.S аватар

Z.S
27 Май, 2017 - 14:23

добрые люди , не называя причин отправили в бан - вынужденно разархивировал забытый ник

нам немного нужно от жизни - достаточно САМОГО ЛУЧШЕГО



Отправить комментарий


Новости Ижевска
Новости Можги
Новости Сарапула
Новости Глазова
Новости поселка Ува
Новости поселка Малая Пурга
Новости поселка Ува
Новости поселка Игра
Новости города Чайковский