A Windows védelme a Wana Decrypt0r ransomware vírusától

Valószínűleg a médiából mindenki tudja, hogy május 12-én a Windows ransomware vírusának súlyos fertőzéseit rögzítették szerte a világon.  Wana decrypt0r 2.0 (WannaCry, WCry). A támadás a megosztott fájlokhoz és nyomtatókhoz való hozzáféréshez a protokoll meglehetősen friss sérülékenységét használja - SMBv1. A számítógép megfertőzése után a vírus titkosítja a felhasználó merevlemezén található egyes fájlokat (dokumentumokat, e-maileket, adatbázis-fájlokat), kiterjesztéseiket WCRY-re változtatva. A ransomware vírus 300 dollár átutalást igényel a fájlok visszafejtéséhez. Mindenekelőtt azok a Windows operációs rendszerek, amelyek nem rendelkeznek sebezhetőséget kijavító frissítéssel az engedélyezett SMB 1.0 protokollmal, közvetlenül kapcsolódnak az internethez és a kívülről elérhető porthoz 445. A rendszerek titkosító más módon történő behatolásának lehetőségeit (fertőzött webhelyek, levelezőlisták) megfigyelték. Miután a vírus belépett a helyi hálózat kerületébe, önállóan terjedhet a hálózat sebezhető gazdagépeinek beolvasásával.

Tartalom:

• Windows biztonsági frissítések a WannaCry ellen
• Az SMB v 1.0 letiltása
• WCry Attack állapota

Windows biztonsági frissítések a WannaCry ellen

A vírus kihasználta az SMB 1.0 biztonsági rését, amelyet a biztonsági frissítés rögzített MS17-010, felszabadított 2017. március 14. Abban az esetben, ha számítógépét rendszeresen frissítik a Windows Update vagy a WSUS segítségével, elegendő ellenőrizni, hogy a frissítés elérhető-e a számítógépen az alábbiak szerint.

Ha a parancs hasonló választ ad vissza, akkor a biztonsági rést lefedő javítást már telepítették.

ttp: //support.microsoft.com/? kbid = 4012213 MSK-DC2 biztonsági frissítés KB4012213 CORP \ admin 2017.05.13.

Ha a parancs semmit nem ad vissza, akkor töltse le és telepítse a megfelelő frissítést. Ha április vagy május Windows biztonsági frissítéseket telepítenek (az új kumulatív Windows frissítési modell részeként), akkor a számítógép is védett.

Érdemes megjegyezni, hogy annak ellenére, hogy a Windows XP, a Windows Server 2003 és a Windows 8 már eltávolításra került a támogatásból, a Microsoft gyorsan kiadta a nap frissítését.

tanács. Közvetlen linkek a megszüntetett rendszerek sebezhetőségének javítására szolgáló javításokhoz:

Windows XP SP3 x86 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

Windows XP SP3 x86 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

Windows XP SP2 x64 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows XP SP2 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows Server 2003 x86 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 x86 ENU - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe

Windows Server 2003 x64 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Windows Server 2003 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows 8 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

Windows 8 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

Az SMB v 1.0 letiltása

A sebezhetőség elleni védelem egyszerű és hatékony módja az SMB 1.0 protokoll teljes letiltása az ügyfelekön és a kiszolgálókon. Ha a hálózatban nincsenek Windows XP vagy Windows Server 2003 rendszert futtató számítógépek, akkor ezt a parancs segítségével lehet megtenni

dism / online / norestart / Disable-feature / featurename: SMB1Protocol

vagy az SMB 1.0 letiltása a Windows 10 / Server 2016 cikkben ajánlottak szerint

WCry Attack állapota

A legfrissebb információk szerint a WannaCrypt ransomware vírus terjedését az iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain regisztrálásával állították le. Mint kiderült, a kódban a vírusnak hozzáférése volt ehhez a tartományhoz, ha nem válaszolt, a vírus elkezdett titkosítani a dokumentumokat. Úgy tűnik, hogy így a fejlesztők maguknak hagyták a lehetőséget, hogy gyorsan megállítsák a vírus terjedését. Mit használt az egyik rajongó?.

Természetesen semmi sem akadályozza meg a vírus szerzőit abban, hogy új verzióját írják az ETERNALBLUE kizsákmányolás alatt, és folytatja a piszkos munkáját. Ezért a Ransom: Win32.WannaCrypt támadások elkerülése érdekében telepítenie kell a szükséges frissítéseket (és rendszeresen telepítenie kell azokat), frissítenie kell az antivírusokat, le kell tiltania az SMB 1.0-t (ha van ilyen), és nem kell megnyitnia a 445-ös portot az internetre szükség nélkül..

Emellett linkeket is tartalmazok hasznos cikkekhez, amelyek minimalizálják a titkosító támadás veszélyét és valószínűségét a Windows rendszereken:

• Titkosításvédelem az FSRM segítségével
• Blokkolja a vírusokat a szoftver korlátozási házirendekkel
• Fájlok helyreállítása az árnyékmásolatokból egy titkosítóval való fertőzés után