May 16th, 2017

hamsa

Why-Willy-cry или к встрече с вирусом будь готов!

На Хабре переполох, угроза расценивается как реальная и серьезная: целый пакет публикаций за последние три дня.



"Масштабная атака дескриптором WannaCry наблюдается в сетях совершенно не связанных между ссобой.
Вирус-вымогатель начал распространяться 12 мая. Десятки тысяч заражений зарегистрировали в 99 странах. Пострадали
телекоммуникационные компании, банки, крупные предприятия и госучреждения. В Великобритании из строя вышли компьютеры системы здравоохранения. Был остановлен завод «Рено», у «Железных дорог Германии» из строя вышли почти 500 компьютеров. Заражение подтвердили в госструктурах Саудовской Аравии. В какой-то момент казалось, что эпидемия остановлена, но специалисты по кибербезопасности зафиксировали новую версию, вредоносной программе удалось атаковать
с феноменальной скоростью - один компьютер в секунду.
"


Как теперь жить, по ссылкам не ходить? У Касперского форумчане пишут, что на Ютубе заражались.
В соц.сетях расходятся ссылки для скачивания патчей и тут же в комментах пугают, что вот там-то, по ссылкам, засада и поджидает.

На микрософтовском сайте выложена инструкция, как проделать необходимые манипуляции вручную:

https://support.microsoft.com/en-us/help/2696547/

Правка регистров для чайника
Перевод с айтишного на русский в картинках:

Collapse )


фото с гиктайма, оттуда же:

История вопроса

>> ...WannyCry — это червь-шифровальщик, отличительной особенностью которого является функция саморазмножения, обычно отсутствующая у классических шифровальщиков. Это значит, что для заражения вам не требуется никуда кликать, ничего нажимать и ничего открывать. Достаточно иметь просто уязвимый, непропатченный и подключенный к Интернет (в том числе и через другие компьютеры, например, в локальной сети) компьютер на базе платформы Windows

>> ...Набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у хакеров из Агенства Нац.Безопасности США уже неделю лежит в открытом доступе github.com/fuzzbunch/fuzzbunch с обучающими видео. Среди них уязвимость ETERNALBLUE и связанный с ней бэкдор DOUBLEPULSAR. Первая позволяет через уязвимый SMB получать удаленный доступ к компьютеру и незаметно устанавливать на него программное обеспечение. Компания Microsoft еще в марте выпустила соответствующий патч для данной уязвимости, но, как показывает опыт, многие администраторы по разным причинам не удосужились его установить на свои компьютеры.
(А многие пользователи избегая надоедливых напоминаний о перезагрузке после обновлений отключают их)

>> ...В процессе инсталляции процесс “tasksche.exe” или сам вирус извлекает из себя и запускает файл “@wanadecryptor@.exe” множество раз в различные пользовательские папки и другие директории, содержащие файлы для зашифровывания, видимо для того, чтобы избежать единой точки отказа или обнаружения.
>> ...Данные команды отключают сервис теневого копирования, удаляют существующие копии и отключают запуск по умолчанию средств восстановления при загрузке ОС.

>> ...Уязвимость также можно закрыть, полностью отключив поддержку SMBv1.

(что мы и проделали)

[Прямые ссылки на пакет микрософтовских обновлений]
Если кто сидит с отключенными:

Патч MS17-010 для исправления уязвимости Windows от вируса WCry
Обновление для системы безопасности Windows XP SP3 (KB4012598)
www.microsoft.com/ru-RU/download/details.aspx?id=55245

Windows 8.1 Update for x64-based Systems (KB2919355)
www.microsoft.com/en-us/download/details.aspx?id=42335

Windows 8.1 Update (KB2919355)
www.microsoft.com/en-us/download/details.aspx?id=42327

Каталог обновлений для Windows 7 и Windows 2008 R2
www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

Ежемесячный набор исправлений качества системы безопасности для Windows 7 (KB4012215), март 2017 г.
March, 2017 Security Monthly Quality Rollup for Windows 7 (KB4012215)
download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu

Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4012215), март 2017 г.
March, 2017 Security Monthly Quality Rollup for Windows 7 for x64-based Systems (KB4012215)
download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu

Накопительный пакет обновления для Windows 10 Version 1511 (KB4013198)
Накопительный пакет обновления для Windows 10 Version 1511 для систем на базе процессоров x64 (KB4013198)
www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

Накопительный пакет обновления для Windows 10 Version 1607 (KB4013429)
Накопительный пакет обновления для Windows 10 Version 1607 для систем на базе процессоров x64 (KB4013429)
Накопительный пакет обновления для Windows Server 2016 для систем на базе процессоров x64 (KB4013429)
www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

Пишут, что если есть проблемы с переключением языков - к MS лучше обращаться через Интернет Эксплорер.