[ВАЖНО] Распространение Wana Decrypt0r временно приостановлено
Наверняка все уже в курсе, что 12 мая десятки тысяч компьютеров по всему миру стали жертвами атаки шифровальщика Wana Decrypt0r (он же WCry, WannaCry, WannaCrypt0r и WannaCrypt). Главными целями стали Россия, Украина и Тайвань. У нас же от Wana Decrypt0r пострадали Минздрав России, «Мегафон», РЖД, МВД, Сбербанк и это только самые известные. Наверное, это первый вымогатель на моей памяти, который попал даже в выпуски новостей по зомбоящику.
Вымогатель распространяется, используя брешь первой версии протокола SMBv1, для тех кто не в теме, это собственно любая сеть Microsoft (уже давно существуют и SMBv2 и v3, а последняя актуальная версия SMB 3.1.1). Проникнув в систему, малварь действует как другие шифровальщики, заменяя расширение пользоватльских файлов на .WNCRY и требуя выкуп в размере $300-600 в биткоин. Надо признать, аппетиты ещё весьма умеренные.
Обновление для устранения уязвимости MS17-010, которую эксплуатируют злоумышленники, был выпущен компанией Microsoft еще в марте 2017 года.
Учитывая серьезность проблемы, вчера (13 мая), разработчики Microsoft соизволили представить патчи и для операционных систем, поддержка которых была прекращена много лет назад: Windows XP, Windows 8, и Windows Server 2003, ведь до сих пор Windows XP ещё активно используется.
Загрузить исправления KB4012598.
MS17-010: Обновление безопасности для Windows SMB Server: 14 марта 2017 г.
Лично мой совет, лучше просто отключить протокол SMB1, в данное время надобности в нём уже никакой нет.
Следует заметить, что распространение Wana Decrypt0r временно удалось приостановить. Независимому исследователю под ником MalwareTech, удалось обнаружить что перед началом работы Wana Decrypt0r обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Вымогатель проверяет существование домена и если не находит, то начинает шифровать файлы. Исследователь зарегистрировал домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и распространение Wana Decrypt0r временно приостановилось. Заметьте, приостановлено только массовое распространение.
Так что настоятельно рекомендую или установить патч от Microsoft, или отключить SMBv1.
Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.