Wana_Decrypt0r
Обо всем, Пользователям

Вирус WannaCrypt (WCry)

Оригинал взят у thread2 в о новой Windows-уязвимости

Если очень коротко — то любая Windows-машина, на которой не стоит обновление, описанное в майкрософтовском бюллетене MSE17-010, может быть полностью захвачена любым участником той же сети.

В данный момент этой технологией пользуется очередной вирус-шифровальщик, распространяющийся по сети со скоростью лесного пожара, но сама технология захвата достаточно общая, и прекрасно описана, например, в одной из статей на хабре, на которую я здесь ссылаться не буду.

Атака состоит из нескольких частей, входной точкой которых является обращение к SMB-серверу атакуемой машины по протоколу SMB 1.0 . Скажу честно, что про протокол SMB 2.0, также упоминаемый в некоторых статьях, я на сегодня ничего сказать не могу — за исключением того, что MSE17-010 его не упоминает.
Если авто-обновление включено, то “March 2017 Security Monthly Quality Rollup”, в котором эта дырка была заделана, уже должен быть установлен.

Объясняя на пальцах — на вашей машине, вероятно, работает “служба расшаривания файлов и папок” — я все время забываю, как она правильно по-русски называется — принимающая соединения на порту 445, в том числе и по протоколу версии 1 ( на сегодня их существует как минимум три основных — с массой подвариантов ).
Это именно тот путь, по которому недавняя модификация вируса проникает на заражаемые машины.

Соответственно, для защиты от атаки можно предпринять один или все из следующих шагов, которые должны закрыть эту дорогу:
— установить на машине обновление безопасности от марта сего года — см. двукратно упоминавшуюся ссылку выше ;
— запретить на машине или сетевом роутере входящие соединения на портах 445 и 139 (см) ;
— запретить на машине поддержку протокола SMB 1.0 ( см ; грубо говоря, надо открыть определенный диалог и клюкнуть на определенную галку ; для уже неподдерживаемых систем типа Windows XP — гугл ваш друг )
— полностью погасить на вашем компьютере службу расшаривания файлов.

PS. В качестве исторического замечания — довольно забавно, что вся история загорелась после того, как хакеры ( Shadow Brokers ) спионерили у шпионов (NSA — National Security Agency) их набор хакерских инструментов, выложив их оные в открытый доступ после относительно неуспешных попыток продажи . После чего произошли два события:
во-первых, лидирующие фирмы-производители гордо сказали, что они и так закрыли большинство этих дырок, скромно умолчав о том, что самые зияющие отверстия продолжают зиять ;
во-вторых, пока они спешно заделывали ( и таки заделали ) эти дырки, успокоенная публика отдыхала ;
в-третьих, некие талантливые, но злонамеренные ребята, которые не поверили официальным объявлениям и почесались проверить эти утверждения на практике, успешно проапгрейдили свой вирус-шифровальщик и сейчас пытаются погасить с его помощью мир. ( ну то есть они просто хотят собрать в качестве выкупа все деньги на свете, но учитывая, что побочным эффектом является приостановка работы по всему миру организаций вроде госпиталей — это именно атака на весь шарик. )

В общем, обновите настройки на своем компьютере.

Если компьютер за nat(домашний), и вы его не прописывали специально в nat дня доступа извне, то в этот раз можно не беспокоиться.


Библиография

Добавить комментарий

HTML отключен, используйте Markdown. Размещение кода: [pastebin id=fs23] или [gistgit id=2926827] или [gistgit id=2926827 file=foo.txt]