Внимание! Эпидемия трояна-шифровальщика WannaCry

Дата: 15.05.2017

12 мая, началась эпидемия трояна-шифровальщика WannaCry (также известного как WCry, WannaCrypt0r и WannaCrypt).

На данный момент, атаке подверглись более 100 000 компьютеров по всему миру.

Такой разрушительный эффект был достигнут использованием эксплойта для Windows, известным под названием EternalBlue. Данный эксплоит использует уязвимость в протоколе SMB, которую Microsoft закрыла 14 марта этого года. Используя эту уязвимость, злоумышленники получали удаленный доступ к компьютеру и устанавливали на него троян-шифровальщик.

Более подробную информацию можно узнать в статье.

 

Рисунок 1 - Сообщение от WannaCry с требованием оплаты

На данный момент распространение WannaCry было приостановлено исследователем MalwareTech. Исследователь изучил протокол WannaCry и нашел способ отправить команду «остановить заражение». Но разработчики WannaCry уже выпустили две обновленные версии вируса, которые не подчиняются данной команде.

Рекомендации

Способа расшифровать файлы в данный момент не существует.

Рекомендуется срочно установить обновление MS17-010.

Если нет возможности установить обновление прямо сейчас, обратитесь к системным администраторам с просьбой ограничить доступ к компьютеру по протоколу SMB.

Пример команды для ограничения доступа к портам SMB:

  1. netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
  2. netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Пример команды для отключения поддержки протокола SMBv1:

  1. dism /online /norestart /disable-feature /featurename:SMB1Protocol

Основные меры защиты от подобных атак

  1. Регулярная установка обновлений программного обеспечения;
  2. Регулярное выполнение резервного копирования.