[ВАЖЛИВО] Поширення Wana Decrypt0r тимчасово призупинено

Напевно все вже в курсі, що 12 травня десятки тисяч комп’ютерів по всьому світу стали жертвами атаки шифрувальника Wana Decrypt0r (він же WCry, WannaCry, WannaCrypt0r і WannaCrypt). Головними цілями стали Україна, Україна і Тайвань. У нас же від Wana Decrypt0r постраждали МОЗ України, «Мегафон», РЖД, МВС, Ощадбанк і це тільки найвідоміші. Напевно, це перший вимагач на моїй пам’яті, який потрапив навіть у випуски новин по зомбоящик.

Вимагач поширюється, використовуючи пролом першої версії протоколу SMBv1, для тих хто не в темі, це власне будь-яка мережа Microsoft (вже давно існують і SMBv2 і v3, а остання актуальна версія SMB 3.1.1). Проникнувши в систему, малваре діє як інші шифрувальники, замінюючи розширення пользоватльскіх файлів на .WNCRY і вимагаючи викуп в розмірі $ 300-600 в біткоіни. Треба визнати, апетити ще досить помірні.

Оновлення для усунення вразливості MS17-010, яку експлуатують зловмисники, був випущений компанією Microsoft ще в березні 2017 року.

З огляду на серйозність проблеми, вчора (13 травня), розробники Microsoft зволили уявити патчі і для операційних систем, підтримка яких була припинена багато років тому: Windows XP, Windows 8, Windows Server 2003, адже до сих пір Windows XP ще активно використовується.

Завантажити виправлення KB4012598.

MS17-010: Оновлення безпеки для Windows SMB Server: 14 марта 2017 р

Особисто моя порада, краще просто відключити протокол SMB1, в даний час потреби в ньому вже ніякої немає.

Слід зауважити, що поширення Wana Decrypt0r тимчасово вдалося призупинити. Незалежного досліднику під ніком MalwareTech, вдалося виявити що перед початком роботи Wana Decrypt0r звертається до домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Вимагач перевіряє існування домену і якщо не знаходить, то починає шифрувати файли. Дослідник зареєстрував домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, і поширення Wana Decrypt0r тимчасово припинилося. Зауважте, призупинено тільки масове поширення.

Так що настійно рекомендую або встановити патч від Microsoft, або відключити SMBv1.

Якщо вважаєте статтю корисною, не лінуйтеся ставити лайки і ділитися з друзями.

Ссылка на основную публикацию