Массовая атака Wana decrypt0r 2.0 от 12 мая — информация и защита

заметки

Всем доброго времени суток и всяких прочих разностей.

Маленькая заметка в блог. Как наверняка многие уже знают (об этом, традиционно, трындит весь интернет, особенно радостно это делают антивирусные компании), вчера зафиксирована массовая атака шифровальщика Wana decrypt0r 2.0, требующего (после шифровки) 300$ не в каких-то там смсках, а сразу в биткоинах.

Wana decrypt0r 2.0

Атака наблюдается в разных сетях совершенно никак не связанных между собой, способна поражать системы развернутые из чистых образов и, по некоторым данным, использует уязвимость протокола SMBv1. В большинстве случаев ей подвержены все, кто не сидит за фаерволлом на нормальном роутере и закрытых портах и, само собой, держит не обновленные пиратки Windows (особенно это касается 7-ой версии).

Патчи для исправления этой уязвимости можно скачать на официальном сайте Miscrosoft по этой ссылке для новых систем и по этой ссылке для старых (XP, 2003, etc). Для выбора версии патча можно воспользоваться такой ссылкой

Уязвимость можно временно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке.

Для Win 8-10 и тп:
dism /online /norestart /disable-feature /featurename:SMB1Protocol

Для Win 7 и тп (в Powershell с правами администратора)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Для Win 7 и тп (в cmd с правами администратора, две команды)
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Консоль, естественно, должна быть запущена от имени администратора. Патчи при этом, всё же рекомендуется установить. По возможности есть смысл закрутить все гайки на фаерволле (в том числе роутера, провайдера и куда там у Вас есть доступ).

Интерактивная карта заражения по мере обновления:

Массовая атака Wana decrypt0r 2.0 от 12 мая - информация и защита

Линк на карту (а не на скриншот) примерно такой вот.

Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

  • Перейдите по ссылке выше и проверьте код обновления для вашей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215;
  • Откройте консоль от имени администратора;
  • Напишите:
    dism /online /get-packages | findstr KB4012212
  • Нажмите Enter, подождите результата (ответа);
  • Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно;
  • Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч в списке, а еще убедитесь, что консоль запущена от имени администратора;
  • Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше.

Мануал и информация взяты из открытых источников, в частности из соответствующего текста на GT, где уже полным ходом идет обсуждение проблемы.

PS: Мнение: у нас эту новость будут пиарить до эпической бесконечности и под этим соусом еще эпичнее (хотя куда уж больше?) закрутят гайки в этом сегменте интернета, попомните мои слова

сказать «спасибо»подписатьсяобучаться
Хотите знать и уметь, больше и сами?

Мы предлагаем Вам скачать бесплатные книги от автора. Компьютеры, программы, администрирование, сервера, сети и другое. Не является рекламой. Предложение от sonikelf.ru

Скачать книги
Sonikelf's Project's логотип Sonikelf's Project's логотип Космодамианская наб., 32-34 Россия, Москва (916) 174-8226
10000
11 Цепочка комментария
39 Ответы по цепочке
0 Последователи
 
Популярнейший комментарий
Цепочка актуального комментария
12 Авторы комментариев
  Подписаться  
Уведомление о
Денис Борискин

привет :)) Если я правильно понял,рекомендуется поставить все апдейты?

User1234

Аааааа, всё пропало - всё пропало, спасите - помогите, аааааа! =O

Temo4kin

Интересно, а что там с Windows 10?

Сергей

Эм... Рецепт прост.
1) Берем Acronis или его подобие.
2) Включаем регулярный бекап. Или вообще ставим непрерывную защиту (постоянно бекапит все измененные файлы)
3) Храним бекапы отдельно (например NAS)
В итоге, при любой проблеме, просто развертываем предыдущий образ.
ПРОФИТ!

Vlad

Проверил, патч уже установлен и можно спать спокойно.
Спасибо за науку.

Денис Борискин

ну и носкрипты,куда ж без него =)

Денис Борискин

ну тогда акронис+гугл драйв и виртуалки для открытия сомнительных файлов\писем (а бэкапы несколько разных)

Денис Борискин

политики программ у меня подняты (не смотря на то,что я один работаю за своим ноутом...Как оказалось-лишнем не будет), SMB тоже вырубил,патч поставил

Андрей

Ну а как же подключение к сетевому диску ? У меня Zyxel Kinetik DSL с торент качалкой и диском на 1тБ, отключил SMB, теперь каждый раз отключать-подключать диск к системнику? Мягко говоря не очень удобно.

Степан

Если установлено обновление 3212646, то не нужно устанавливать патчи?

Эдлен

Уважаемый соник, запустил обновления Виндовс7 Ультимэйт, обновилось только одно важное обновление, дальше система сама откатилась назад. Вопрос: можно ли мне целиком и полностью удалить папку С:Windows/SoftwareDistribution, где, как я понял, находятся все скачанные, но не установленные обновления. Могу ли я это сделать без вреда для системы?

Ваш сайт у меня давно уже в закладках. Скачана одна из Ваших книг. Мои огромное уважение и большая благодарность за Ваш труд!