Pravděpodobně z médií si již každý uvědomuje, že 12. května byly po celém světě zaznamenány masivní infekce viru ransomware Windows. Wana decrypt0r 2.0 (WannaCry, WCry). Útok používá poměrně nedávnou chybu zabezpečení v protokolu pro přístup ke sdíleným souborům a tiskárnám - SMBv1. Poté, co je počítač infikován, virus zašifruje některé soubory (dokumenty, pošta, databázové soubory) na pevném disku uživatele a změní jejich přípony na WCRY. Virus ransomware vyžaduje pro dešifrování souborů převod 300 USD. Nejprve jsou ohroženy všechny operační systémy Windows, které nemají aktualizaci opravující zranitelnost s povoleným protokolem SMB 1.0, přímo připojeným k Internetu a přístupem zvenčí přístupným portem 445. Byly zaznamenány další způsoby pronikání šifrovače do systémů (napadené weby, e-mailové konference). Poté, co virus vstoupí do obvodu místní sítě, může se autonomně šířit skenováním zranitelných hostitelů v síti.
Obsah:
- Aktualizace zabezpečení systému Windows k ochraně před WannaCry
- Zakázání SMB v 1.0
- WCry Attack Status
Aktualizace zabezpečení systému Windows k ochraně před WannaCry
Virus zneužil chybu zabezpečení SMB 1.0 opravenou v aktualizaci zabezpečení MS17-010, vydáno 14. března 2017. V případě, že jsou vaše počítače pravidelně aktualizovány prostřednictvím Windows Update nebo WSUS, stačí zkontrolovat dostupnost této aktualizace v počítači, jak je popsáno níže.
| Vista, Windows Server 2008 | wmic qfe list | findstr 4012598 |
| Windows 7, Windows Server 2008 R2 | wmic qfe list | findstr 4012212nebo wmic qfe list | findstr 4012215 |
| Windows 8.1 | wmic qfe list | findstr 4012213nebowmic qfe list | findstr 4012216 |
| Windows Server 2012 | wmic qfe list | findstr 4012214nebowmic qfe list | findstr 4012217 |
| Windows Server 2012 R2 | wmic qfe list | findstr 4012213nebowmic qfe list | findstr 4012216 |
| Windows 10 | wmic qfe list | findstr 4012606 |
| Windows 10 1511 | wmic qfe list | findstr 4013198 |
| Windows 10 1607 | wmic qfe list | findstr 4013429 |
| Windows Server 2016 | wmic qfe list | findstr 4013429 |
Pokud příkaz vrátí podobnou odpověď, byla již nainstalována oprava chyby zabezpečení.
ttp: //support.microsoft.com/? kbid = 4012213 Aktualizace zabezpečení MSK-DC2 KB4012213 CORP \ admin 5/13/2017
Pokud příkaz nic nevrací, je třeba stáhnout a nainstalovat příslušnou aktualizaci. Pokud jsou nainstalovány aktualizace zabezpečení systému Windows v dubnu nebo květnu (jako součást nového modelu kumulativní aktualizace systému Windows), je počítač také chráněn.
Stojí za zmínku, že navzdory skutečnosti, že Windows XP, Windows Server 2003, Windows 8 jsou již z podpory odstraněny, Microsoft rychle vydal aktualizaci dne.
Tip. Přímé odkazy na opravy pro opravu zranitelností ukončených systémů:
Windows XP SP3 x86 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP3 x86 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Windows XP SP2 x64 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows XP SP2 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 x86 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x86 ENU - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
Windows Server 2003 x64 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2003 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 8 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Zakázání SMB v 1.0
Jednoduchý a účinný způsob ochrany před zranitelností je úplné vypnutí protokolu SMB 1.0 na klientech a serverech. Pokud ve vaší síti nejsou žádné počítače se systémem Windows XP nebo Windows Server 2003, lze to provést pomocí příkazu
dism / online / norestart / disable-feature / featurename: SMB1Protocol
nebo podle doporučení v článku Zakázání SMB 1.0 v systému Windows 10 / Server 2016
WCry Attack Status
Podle nejnovějších informací bylo šíření viru WansCrypt ransomware zastaveno registrací domény iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Jak se ukázalo, v kódu měl virus přístup k této doméně, pokud odpověď nebyla, virus začal šifrovat dokumenty. Vývojáři tak zjevně nechali příležitost sami rychle zastavit šíření viru. Co jeden z nadšenců použil?.
Přirozeně nic nebrání autorům viru v psaní nové verze jejich stvoření v rámci vykořisťování ETERNALBLUE a bude pokračovat ve své špinavé práci. Proto, abyste zabránili útokům Ransom: Win32.WannaCrypt, musíte nainstalovat potřebné aktualizace (a pravidelně je instalovat), aktualizovat antiviry, deaktivovat SMB 1.0 (pokud je to možné) a neotevírat port 445 na internet bez nutnosti.
A uvedu také odkazy na užitečné články, které pomáhají minimalizovat poškození a pravděpodobnost útoku šifrovacího systému v systémech Windows:
- Ochrana šifrování pomocí FSRM
- Blokovat viry pomocí zásad omezení softwaru
- Obnova souborů ze stínových kopií po infekci pomocí šifrovače
