12 мая, началась эпидемия трояна-шифровальщика WannaCry (также известного как WCry, WannaCrypt0r и WannaCrypt).
На данный момент, атаке подверглись более 100 000 компьютеров по всему миру.
Такой разрушительный эффект был достигнут использованием эксплойта для Windows, известным под названием EternalBlue. Данный эксплоит использует уязвимость в протоколе SMB, которую Microsoft закрыла 14 марта этого года. Используя эту уязвимость, злоумышленники получали удаленный доступ к компьютеру и устанавливали на него троян-шифровальщик.
Более подробную информацию можно узнать в статье.
На данный момент распространение WannaCry было приостановлено исследователем MalwareTech. Исследователь изучил протокол WannaCry и нашел способ отправить команду «остановить заражение». Но разработчики WannaCry уже выпустили две обновленные версии вируса, которые не подчиняются данной команде.
Рекомендации
Способа расшифровать файлы в данный момент не существует.
Рекомендуется срочно установить обновление MS17-010.
Если нет возможности установить обновление прямо сейчас, обратитесь к системным администраторам с просьбой ограничить доступ к компьютеру по протоколу SMB.
Пример команды для ограничения доступа к портам SMB:
- netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
- netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Пример команды для отключения поддержки протокола SMBv1:
- dism /online /norestart /disable-feature /featurename:SMB1Protocol
Основные меры защиты от подобных атак
- Регулярная установка обновлений программного обеспечения;
- Регулярное выполнение резервного копирования.