Защита Windows от вируса-шифровальщика Wana Decrypt0r
Вероятно, из СМИ, все уже в курсе, что 12 мая по всему миру зафиксированы массовые заражения ОС Windows вирусом-шифровальщиком Wana decrypt0r 2.0 (WannaCry, WCry). Для атаки используется довольно свежая уязвимость в протоколе доступа к общим файлам и принтерам — SMBv1. После заражения компьютера, вирус шифрует некоторые файлы (документы, почту, файлы баз) на жестком диске пользователя, меняя их расширения на WCRY. За расшифровку файлов вирус-вымогатель требует перевести 300$. Под угрозой в первую очередь находятся все ОС Windows, на которых отсутствует исправляющее уязвимость обновление, с включенным протоколом SMB 1.0, напрямую подключенные к Интернету и с доступным извне портом 445. Отмечались и другие способы проникновения шифровальщика в системы (зараженные сайты, рассылки). После попадания вируса внутрь периметра локальной сеть, он может распространяться автономно, сканируя уязвимые хосты в сети.
Обновления безопасности Windows для защиты от WannaCry
Уязвимость в SMB 1.0, эксплуатируемая вирусом, исправлена в обновлениях безопасности MS17-010, выпущенных 14 марта 2017 года. В том случае, если ваши компьютеры регулярно обновляются через Windows Update или WSUS, достаточно проверить наличие данного обновления на компьютере как описано ниже.
| Vista, Windows Server 2008 | wmic qfe list | findstr 4012598 |
| Windows 7, Windows Server 2008 R2 | wmic qfe list | findstr 4012212 или wmic qfe list | findstr 4012215 |
| Windows 8.1 | wmic qfe list | findstr 4012213 или wmic qfe list | findstr 4012216 |
| Windows Server 2012 | wmic qfe list | findstr 4012214 или wmic qfe list | findstr 4012217 |
| Windows Server 2012 R2 | wmic qfe list | findstr 4012213 или wmic qfe list | findstr 4012216 |
| Windows 10 | wmic qfe list | findstr 4012606 |
| Windows 10 1511 | wmic qfe list | findstr 4013198 |
| Windows 10 1607 | wmic qfe list | findstr 4013429 |
| Windows Server 2016 | wmic qfe list | findstr 4013429 |
В том случае, если команда возвращает подобный ответ, значит патч, закрывающий уязвимость, у вас уже установлен.
ttp://support.microsoft.com/?kbid=4012213 MSK-DC2 Security Update KB4012213 CORP\admin 5/13/2017
Если команда ничего не возвращает, нужно скачать и установить соответствующее обновления. В том случае, если установлены апрельские или майские обновления безопасности Windows (в рамках новой накопительной модели обновления Windows), ваш компьютер также защищен.
Стоит отметить, что, несмотря на то что Windows XP, Windows Server 2003, Windows 8 уже сняты с поддержки, Microsoft оперативно выпустило обновление и дня них.
Совет. Прямые ссылки на патчи для исправления уязвимости под снятые с поддержки системы:
Windows XP SP3 x86 RUS — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP3 x86 ENU — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Windows XP SP2 x64 RUS — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows XP SP2 x64 ENU — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 x86 RUS — http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x86 ENU — http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
Windows Server 2003 x64 RUS – http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2003 x64 ENU — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 8 x86 — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64 — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Отключение SMB v 1.0
Простым и действенным способом защиты от уязвимости является полное отключение протокола SMB 1.0 на клиентах и серверах. В том случае, если в вашей сети не осталось компьютеров с Windows XP или Windows Server 2003, это можно выполнить с помощью команды
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Статус атаки WCry
По последней информации, распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Как оказалось, в коде вирус была зашито обращение к этому домену, при отрицательном ответе вирус начинал шифрование документов. Судя по всему, таким способо разработчики оставили для себе возможность быстро приостановить распространение вируса. Чем воспользовался один из энтузиастов.
Естественно, авторам вируса ничего не мешает написать свежую версию своего творения под эксплойт ETERNALBLUE, и он продолжит свое черное дело. Таким образом, для предотвращения атак Ransom:Win32.WannaCrypt необходимо установить нужные обновления (и устанавливать их регулярно), обновить антивирусы, отключить SMB 1.0 (если применимл), и не открывать без необходимости порт 445 в Интернет.
И еще приведу ссылки на полезные статьи, позволяющие минимизировать вред и вероятность атаки шифровальщиков в Windows системах:
Microsoft windows qfe что такое
Профиль | Отправить PM | Цитировать
Если запустить msinfo32, то там есть запись:
Аппаратно-зависимый уровень:
Версия=»5.1.2600.5574 (xpsp_sp3_qfe.130704-0421″
На разных Компах c Windows XP набор цифр «130704-0421» отличается.
Чем это вызвано? Что это за цифры.
Мне нужно было переустановить XP у знакомого, но у него не оказалось образа для восстановления, а система стала реально глючить после аварийного отключения электроэнергии (частный дом).
Но. Переустановить не представляется возможным, только полная установка.
Приятель отказывается, продолжает работать на глючной системе. И мне приходиться часто ему помогать.
Вопрос, невозможно переустановить, потому что вот эти цифры разные? Нужно искать дистр у которого именно такие?
Что это за цифры? Почему отличаются для разных корпоративок?
Что такое «qfe»?
| Конфигурация компьютера |
| Материнская плата: Quanta 30CC |
| HDD: TOSHIBA MK1646GSX 160 гиг sata |
| Звук: 82801H (ICH8 Family) HD Audio Controller , Realtek ALC268 |
| CD/DVD: TSSTcorp CDDVDW TS-L632N |
| ОС: Windows XP pro x32 |
| Прочее: Hewlett-Packard HP Pavilion dv6700 Notebook PC |
| Но. Переустановить не представляется возможным » |
Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.
| Конфигурация компьютера |
| Материнская плата: Quanta 30CC |
| HDD: TOSHIBA MK1646GSX 160 гиг sata |
| Звук: 82801H (ICH8 Family) HD Audio Controller , Realtek ALC268 |
| CD/DVD: TSSTcorp CDDVDW TS-L632N |
| ОС: Windows XP pro x32 |
| Прочее: Hewlett-Packard HP Pavilion dv6700 Notebook PC |
| скорее всего причина в том, что вы просто не знаете, как запускается с дистрибутива «обновление уже установленной Windows» » |
Обычно процесс переустановки был доступен если:
1. Из-под косячной винды запускался setup.exe или I386\winnt32.exe c CD с оригинальной виндой. Дальше процедура установки ищет устаовленную винду, оценивает состояние здоровья. Потом появлялось прделожение (выпадающий список): установить наново или переустановить
2. Похожий диалог появляется, если загрузиться с того же CD:
— Чтобы попытаться восстановить выделенную копию Windows XP нажмите .
— Чтобы установить новуцю копию Windows XP без восстановления, нажмите .
В случае у моего знакомого переустановка невозможна. Только установка по-новой
