Массовая атака Wana decrypt0r 2.0 от 12 мая — информация и защита

заметки

Всем доброго времени суток и всяких прочих разностей.

Маленькая заметка в блог. Как наверняка многие уже знают (об этом, традиционно, трындит весь интернет, особенно радостно это делают антивирусные компании), вчера зафиксирована массовая атака шифровальщика Wana decrypt0r 2.0, требующего (после шифровки) 300$ не в каких-то там смсках, а сразу в биткоинах.

Wana decrypt0r 2.0

Атака наблюдается в разных сетях совершенно никак не связанных между собой, способна поражать системы развернутые из чистых образов и, по некоторым данным, использует уязвимость протокола SMBv1. В большинстве случаев ей подвержены все, кто не сидит за фаерволлом на нормальном роутере и закрытых портах и, само собой, держит не обновленные пиратки Windows (особенно это касается 7-ой версии).

Патчи для исправления этой уязвимости можно скачать на официальном сайте Miscrosoft по этой ссылке для новых систем и по этой ссылке для старых (XP, 2003, etc). Для выбора версии патча можно воспользоваться такой ссылкой

Уязвимость можно временно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке.

Для Win 8-10 и тп:
dism /online /norestart /disable-feature /featurename:SMB1Protocol

Хотите знать, уметь, больше и сами?

Мы предлаем Вам бесплатные две книги от автора. Администрирование, сервера, сети, компьютеры и другое. Не является рекламой. Предложение от sonikelf.ru

Получить сейчас

Для Win 7 и тп (в Powershell с правами администратора)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Для Win 7 и тп (в cmd с правами администратора, две команды)
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Консоль, естественно, должна быть запущена от имени администратора. Патчи при этом, всё же рекомендуется установить. По возможности есть смысл закрутить все гайки на фаерволле (в том числе роутера, провайдера и куда там у Вас есть доступ).

Интерактивная карта заражения по мере обновления:

Линк на карту (а не на скриншот) примерно такой вот.

Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

  • Перейдите по ссылке выше и проверьте код обновления для вашей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215;
  • Откройте консоль от имени администратора;
  • Напишите:
    dism /online /get-packages | findstr KB4012212
  • Нажмите Enter, подождите результата (ответа);
  • Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно;
  • Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч в списке, а еще убедитесь, что консоль запущена от имени администратора;
  • Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше.

Мануал и информация взяты из открытых источников, в частности из соответствующего текста на GT, где уже полным ходом идет обсуждение проблемы.

PS: Мнение: у нас эту новость будут пиарить до эпической бесконечности и под этим соусом еще эпичнее (хотя куда уж больше?) закрутят гайки в этом сегменте интернета, попомните мои слова

Sonikelf's Project's логотип Космодамианская наб., 32-34 Россия, Москва (916) 174-8226

А что думаете Вы?

10000
  Подписаться  
Уведомить о
Денис Борискин

привет :)) Если я правильно понял,рекомендуется поставить все апдейты?

Sonikelf

Привет.
Читай внимательно

Alex

Раз не утруждают себя админы в уточнении информации (что жаль, к слову), я Вам помогу.
По ссылке вверху линк ведет на страницу где можно скачать обновления для клиентских и серверных систем.
Для Windows 10 там минимум три файла для x86 и x64 систем. Вам нужно узнать какая у вас версия системы. Разрядность, думаю сможете найти самостоятельно, благо делается это просто.
Нажмите Пуск, наберите winver и нажмите enter. Появится окошко на второй строчке которого будет указана версия сборки OС. В моем случае 1607.
Возвращаемся на страничку с патчами и ищем патч под свою разрядность и версию системы.
В данном случае подходит: Windows 10 Version 1607 for x64-based Systems
Надеюсь хоть как-то разъяснил.

User1234

Аааааа, всё пропало - всё пропало, спасите - помогите, аааааа! =O

Sonikelf

Найн :)

Temo4kin

Интересно, а что там с Windows 10?

Sonikelf

Тоже самое, что и с остальными, - если не стоят апдейты, то грустно

User1234

В зависимости от версии "десятки", должны быть установлены обновления: либо KB4012606, либо KB4013198, либо KB4013429. Если в Вашей системе обнаружилось одно из этих обновлений, значит усё окэй! ;-)

Юрий И

Ну а если 10 версии 1703 наличие какого KB я должен проверить? По ссылке все заканчивается на 1607.

Sonikelf

1703 по идее уже должно уметь из коробки.
Проще всего отключить консолью для надежности.

Юрий И

А на что повлияет отключение этой самой поддержки SMBv1

Сергей

Эм... Рецепт прост.
1) Берем Acronis или его подобие.
2) Включаем регулярный бекап. Или вообще ставим непрерывную защиту (постоянно бекапит все измененные файлы)
3) Храним бекапы отдельно (например NAS)
В итоге, при любой проблеме, просто развертываем предыдущий образ.
ПРОФИТ!

Sonikelf

Ну дык, как говорится, люди делятся на два типа, - те кто делают бэкапы или те кто их уже делает.

По второму пункту, - это всё хорошо, при учете, что бекапов несколько и Вы вовремя заметили проблему, а то можно получить шифрованные бекапы :)

Vlad

Проверил, патч уже установлен и можно спать спокойно.
Спасибо за науку.

Sonikelf

Пожалуйста

Денис Борискин

а у меня система на автомате бэкапится акронисом+важные файлы в гугл драйв...Ну и не открываю различные левые письма,а мусор софтовый я запускаю в виртуалках..Ну и temp-mail'ы всякие=защита )

Sonikelf

И даже виртуалка не спасёт

Денис Борискин

ну и носкрипты,куда ж без него =)

Денис Борискин

ну тогда акронис+гугл драйв и виртуалки для открытия сомнительных файлов\писем (а бэкапы несколько разных)

Sonikelf

Про виртуалки писал выше, гдрайв при наличии инета и десктопной установленной версии синхронизирует шифрованные файлы. Акронис выход (если не нарежет шифрованную версию), но вообще самым разумным в этом случае является:

а) Закрытые порты и/или отключенный SMB
б) Политики запуска программ
в) Обновление или конкретный патч

Денис Борискин

политики программ у меня подняты (не смотря на то,что я один работаю за своим ноутом...Как оказалось-лишнем не будет), SMB тоже вырубил,патч поставил

Андрей

Ну а как же подключение к сетевому диску ? У меня Zyxel Kinetik DSL с торент качалкой и диском на 1тБ, отключил SMB, теперь каждый раз отключать-подключать диск к системнику? Мягко говоря не очень удобно.

Степан

Если установлено обновление 3212646, то не нужно устанавливать патчи?

Эдлен

Уважаемый соник, запустил обновления Виндовс7 Ультимэйт, обновилось только одно важное обновление, дальше система сама откатилась назад. Вопрос: можно ли мне целиком и полностью удалить папку С:Windows/SoftwareDistribution, где, как я понял, находятся все скачанные, но не установленные обновления. Могу ли я это сделать без вреда для системы?

Ваш сайт у меня давно уже в закладках. Скачана одна из Ваших книг. Мои огромное уважение и большая благодарность за Ваш труд!

Эдлен

Забыл добавить, все порты надёжно закрыты, неоднократно проверено утилитой FireWallTest от 2ip.ru.