13 мая 2017 13.05.17 63 6174

Массовая атака криптером Wana decrypt0r 2.0 по всему миру!

+37

Что надо знать. «Заражению» подвержены Windows от XP и выше, на которых не было установлено обновление безопасности марта 2017. Если у вас включены автоматическое обновления, то нужные патчи уже установлены. Конкретно назвать номера не могу, т. к. они меняются. Но называться они должны типо «для системы безопасности». К примеру Windows 7 — KB4019264, Windows 10 — KB4019472Если вы давно не обновлялись, необходимо установить как минимум эти обновления (ищите там свою винду).

Криптор (программа-шифровальщик) проникает в систему пользуясь уязвимостью службы SMBv1, используя порт 445.
То есть для «заражения» ничего случайно скачивать не надо, достаточно иметь уязвимый Windows подключённый к интернету. Никакие антивирусы и файрволы на данный момент не помеха.
Загрузившись в систему, Wana decryptor начинает шифровать файлы, сменяя их расширение на «WNCRY». Затем будет сообщение с вымогательствам, (кто бы мог подумать) биткоинов, эквивалентным 300$.

SMB служба для локальной(домашняя) сети Windows, совместный доступ к принтерам, общие папки и т. п. Эти возможности нужны не всем.
По этому можно просто отключить службу через консоль dism /online /norestart /disable-feature /featurename:SMB1Protocol
Однако установка обновлений безопасности обязательна.
В моём случае эта служба не была найдена, т. к. я до этого пытался заблочить 445 порт и по видимому успешно убил службу.

Атака началось примерно сутки или двое назад.
Ей подверглись несколько больниц в Британии.
МВД России, Мегафон и т. д.

Интерактивная карта заражения (кликабельно):

Извините за сумбур записи, всю ночь просидел, сначала разбирался с патчами и блокировкой порта, потом читал новости.
Судя по новостям, поначалу требовали 600$.
Однако у них не хилые запросы, учитывая атаку без разбора, в теории можно было снять больше если уменьшить цену. А так же проблем биткоинов. По моему это как требовать в марсианских тугриках. Всё таки не каждый знает что такое биткоины, не говоря о тмо что бы достать и так же они могут быть запрещены в стране.

Более подробную инфу можно получить здесь, geektimes.ru/post/289115/ откуда и я брал.

Здесь можно прочитать подробности работы криптора.


Лучшие комментарии

Че за облако такое, куда пара терабайт пор… информации я имел в виду, поместится?
Так файлов больше не останется, а в них может содержаться очень важная для пользователя информация.
Я такую чушь впервые слышу. Процесс, буквально выжигающий всю информацию, кроме вшитых заводских параметров, не может стереть вирус… Блин. Я официально краду твою идею для своего нового кибер-панк рассказа.
Далеко не все так делают. Я сталкивался с крипторами. Очень часто люди даже готовы заплатить злоумышленникам (когда, конечно, речь идёт не о таких суммах), но при условии, что те реально пришлют декриптор, а уверенности в этом, понятное дело, нет. Тем не менее, если даже один из тысячи решит раскошелиться, то злоумышленник поимеет неплохие бабки. В данном случае, ещё и в биткоинах, которые есть хоть и мало у кого, но и отследить их куда сложнее + вечно растущий курс.
А ещё она шифрует файлы на жёстком диске, которые без ключа не расшифровать (он-то 300$ и стоит). И никакая переустановка винды тут не поможет.
Про тёмные углы оперативы, которая неспособна хранить информацию без питания. Сиречь очищается при каждой перезагрузке. И прошивке в BIOS, которых существует многие тысячи вариаций и где малейшее нарушение может вести к отказу загрузки всей системы. Конечно слышали. Фантастика, она такая.
За буржуев не скажу, но у наших серьёзных контор компы зачастую не висят просто так в сети. Пользуют VPN и прочее, вплоть до отсутствия выхода в интернет в принципе. + настройки домена, которые включают и политику установки обновлений (и, кстати, местами обновы вообще отключены, во избежание конфликтов со специфическим софтом). Всё это, конечно, мешает всякой гадости проникать внутрь, но так же может и мешать своевременному обновлению операционок. Особо «сообразительный» юзверь запросто может притащить гадость на флешке и впустить ей в локалку. А критические обновы, почему-то, никто не носит. ( (хотя и слава богу)
Ну и пиратки, да. В гос. учреждениях такие встречаются нередко. Хоть это не относится к обновлениям практически никак.
Ну теоретически технология телепортирования была изобретена Николой Тесла. Я в это верю, другие говорят, что я дебил. Мне сложно поверить в вирус, который сможет встроить себя в «заводскую таблицу» и сидеть там. Это пространство жестко ограничено. Записать туда что-то значит удалить что-то. В результате жесткий просто перестанет определяться системой. Но идея клевая. Ее я тоже украду.
Предлагаю к ознаКомлению!
Да вообще мы живем в такое время, когда заморочки с вирусами не стоят свеч. Половину хакеров купили компании, производящие антивирусы, так что преодолеть защиту с каждым месяцем все сложнее и сложнее. Заражать вирусом ПК простых пользователей смысла тоже нет, красть там практически нечего. Ну разве что пароли, но сейчас почти все службы имеют дополнительную защиту и запрашивают подтверждение через SMS или другое доверенное устройство. Заразить вирусом сеть крупной компании или банка и украсть что-то тоже охренительно сложно.

На мой взгляд вирусы морально устарели лет назад. Сейчас куда эффективнее использовать DDOS-атаки для обрушения сети крупных предприятий или кражи чего-то ценного.
Он объявиться только если винда про прежнему будет без нужного обновления и продолжит светить голым портом в сеть.
А потом такие как вы прибегают с криками «ААА НА НЕЙ ВАЖНЫЕ ДОКУМЕНТЫ, НУЖНЫ ВЧЕРА, СДЕЛАЙТЕ ЧТО-НИ-БУДЬ, ААА!!!!». Смотришь на этот кусок китайского гуано, и понимаешь, что путь этой флешке только в ведро.

Народ, умаляю, запомните, флешки можно использовать ТОЛЬКО ДЛЯ ПЕРЕНОСА ИНФОРМАЦИИ. Они слишком ненадёжны для долговечного хранения информации, да и могут легко потеряться.
Серьезно… Они решили, что пользователи, работающие в подобных структурах уписаются и начнут массово выкладывать бабло? Не думаю…

Там работают такие же люди, как и везде. У них тоже есть личная информация различной степени важности. С учётом, что воостановить зашифрованные криптором файлы выудить навряд ли удастся, даже с привлечением серьёзных специалистов, то затея вполне себе дерзкая и пакостная.
Еще такой вопрос, чисто интересно, говорится, что простейший способ защиты это обновить винду, куда уже в марте была вшита защита, ладно не все пользователи винду обновляют, но как же МВД России, Мегафон и больницы в Британии? Они что на пиратских виндах сидят или как это понять?
Дык, не спорю. Вас остаётся только поддержать, как и начальство в вашей конторе. Но, к сожалению, такое начальство и такие люди в остром дефиците. В идеале, у админа и безопасника даже мышь под лавкой без росписи в журнале и фиксации в БД не пискнет, но это скорее исключение, чем правило.
Не ну я сам же хотел написать, но при редактирование забыл убрать галочку…
Хм, это ведь хорошо придумали, давно пора.
а вот если бы не стрельнула информация про массовые заражения компов. Я бы так и не знал что у меня винда бесконечно обновы ищет, за одно и этот баг вылечил)
Читай также