Verjetno iz medijev vsi že vedo, da so 12. maja po vsem svetu zabeležile množične okužbe virusa ransomware Windows. Wana decrypt0r 2.0 (WannaCry, WCry). Napad uporablja dokaj nedavno ranljivost v protokolu za dostop do skupnih datotek in tiskalnikov - SMBv1. Ko je računalnik okužen, virus šifrira nekatere datoteke (dokumente, pošto, datoteke z bazami podatkov) na uporabnikovem trdem disku in spremeni njihove razširitve v WCRY. Virus programske opreme zahteva nakazilo 300 USD za dešifriranje datotek. Najprej so ogroženi vsi operacijski sistemi Windows, ki nimajo posodobitve za odpravljanje ranljivosti z omogočenim protokolom SMB 1.0, ki so neposredno povezani z internetom in vrata 445, ki so dostopna od zunaj. Ko virus zaide v obod lokalnega omrežja, se lahko samostojno širi s skeniranjem ranljivih gostiteljev v omrežju.
Vsebina:
- Posodobitve varnosti Windows za zaščito pred WannaCry
- Onemogočanje SMB v 1.0
- Status napada WC-ja
Posodobitve varnosti Windows za zaščito pred WannaCry
Virus je izkoristil ranljivost SMB 1.0, ki je bila določena v varnostni posodobitvi MS17-010, izdala 14. marec 2017. V primeru, da se računalniki redno posodabljajo prek Windows Update ali WSUS, je dovolj, da preverite razpoložljivost te posodobitve v računalniku, kot je opisano spodaj.
| Vista, Windows Server 2008 | wmic qfe seznam | findstr 4012598 |
| Windows 7, Windows Server 2008 R2 | wmic qfe seznam | findstr 4012212ali wmic qfe seznam | findstr 4012215 |
| Windows 8.1 | wmic qfe seznam | findstr 4012213aliwmic qfe seznam | findstr 4012216 |
| Windows Server 2012 | wmic qfe seznam | findstr 4012214aliwmic qfe seznam | findstr 4012217 |
| Windows Server 2012 R2 | wmic qfe seznam | findstr 4012213aliwmic qfe seznam | findstr 4012216 |
| Windows 10 | wmic qfe seznam | findstr 4012606 |
| Windows 10 1511 | wmic qfe seznam | findstr 4013198 |
| Windows 10 1607 | wmic qfe seznam | findstr 4013429 |
| Windows Server 2016 | wmic qfe seznam | findstr 4013429 |
Če ukaz vrne podoben odgovor, je obliž, ki pokriva ranljivost, že nameščen.
ttp: //support.microsoft.com/? kbid = 4012213 Varnostna posodobitev MSK-DC2 KB4012213 CORP \ admin 13.5.2017
Če ukaz ne vrne ničesar, morate prenesti in namestiti ustrezno posodobitev. Če so v aprilu ali maju nameščene varnostne posodobitve sistema Windows (kot del novega kumulativnega modela posodobitev sistema Windows), je računalnik tudi zaščiten.
Omeniti velja, da je Microsoft kljub dejstvu, da so Windows XP, Windows Server 2003, Windows 8 že odstranjeni iz podpore, hitro izdal posodobitev dneva.
Namig. Neposredne povezave do popravkov za odpravljanje ranljivosti za ustavljene sisteme:
Windows XP SP3 x86 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP3 x86 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Windows XP SP2 x64 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows XP SP2 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 x86 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x86 ENU - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
Windows Server 2003 x64 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2003 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 8 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Onemogočanje SMB v 1.0
Preprost in učinkovit način zaščite pred ranljivostjo je popolna onemogočenost protokola SMB 1.0 na odjemalcih in strežnikih. Če v vašem omrežju ni računalnikov z operacijskim sistemom Windows XP ali Windows Server 2003, lahko to storite z ukazom
dism / online / norestart / onesposobi-funkcijo / ime funkcije: SMB1Protocol
ali kot je priporočeno v članku Onemogočanje SMB 1.0 v operacijskem sistemu Windows 10 / Server 2016
Status napada WC-ja
Po zadnjih informacijah je bilo širjenje virusa odkupne programske opreme WannaCrypt ustavljeno z registracijo domene iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Kot se je izkazalo, je imel virus v kodi dostop do te domene; če je bil odgovor ne, je virus začel šifrirati dokumente. Očitno so razvijalci na ta način pustili priložnost, da hitro zaustavijo širjenje virusa. Kaj je uporabil eden od navdušencev?.
Seveda avtorji virusa nič ne preprečujejo, da bi pod izkoriščanjem ETERNALBLUE napisali novo različico svojega ustvarjanja in nadaljeval bo svoje umazano delo. Tako za preprečitev napadov Ransom: Win32.WannaCrypt morate namestiti potrebne posodobitve (in jih redno nameščati), posodobiti protivirusne programe, onemogočiti SMB 1.0 (če je primerno) in ne odpreti vrat 445 na internet brez potrebe.
Navedel bom tudi povezave do uporabnih člankov, ki pomagajo zmanjšati škodo in verjetnost napada šifrirnika na sisteme Windows:
- Zaščitna zaščita s FSRM
- Blokirajte viruse z omejitvami programske opreme
- Obnovitev datotek iz senčnih kopij po okužbi s šifrirjem
