Атака вируса шифратора Wana decrypt0r 2.0

В настоящий момент можно наблюдать масштабную атаку трояном-декриптором «Wana decrypt0r 2.0»
Атака наблюдается в разных сетях совершенно никак не связанных между собой.

Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальнейших инструкций.

Известно, проникнуть вирусу достаточно подключить ПК с ОС WINDOWS к сети интернет на прямую без маршрутизатора, либо с перенаправленным 445 портом (SMB) без установленного обновления от 13 марта 2017 г.

Подвержены атаке как десктоповые так и серверные версии операционной системы, начиная от Windows XP и заканчивая Windows Server 2016.

Если у Вас включено автоматическое обновление, то скорее всего обновление уже стоит! Если же нет, то вот ссылка на пакет обновлений https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Прямые ссылки https://forum.kasperskyclub.ru/index.php?s=c4c52a4d7a471462090727ce73e65b24&showtopic=55543&page=1

Судя по всему, для атаки используется уязвимость протокола SMB.

 

Уязвимость так-же можно временно закрыть, полностью отключив поддержку SMB. Для этого достаточно выполнить следующую команду в командной строке:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Установить патчи при этом все равно рекомендуется.

О том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

  • Перейдите по ссылке выше и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
  • Откройте cmd.exe (командную строку)
  • Напишите:
    dism /online /get-packages | findstr KB4012212
  • Нажмите Enter
  • Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно
  • Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч
  • Если ни один патч не находится, рекомендую незамедлительно установить обновление по ссылке выше.

Краткие подробности в интернете:

Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым  важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе  ttps://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

источник: https://geektimes.ru/post/289115/

Comments are closed.