Rimon Lusi (fotovivo) wrote,
Rimon Lusi
fotovivo

Category:

Why-Willy-cry или к встрече с вирусом будь готов!

На Хабре переполох, угроза расценивается как реальная и серьезная: целый пакет публикаций за последние три дня.



"Масштабная атака дескриптором WannaCry наблюдается в сетях совершенно не связанных между ссобой.
Вирус-вымогатель начал распространяться 12 мая. Десятки тысяч заражений зарегистрировали в 99 странах. Пострадали
телекоммуникационные компании, банки, крупные предприятия и госучреждения. В Великобритании из строя вышли компьютеры системы здравоохранения. Был остановлен завод «Рено», у «Железных дорог Германии» из строя вышли почти 500 компьютеров. Заражение подтвердили в госструктурах Саудовской Аравии. В какой-то момент казалось, что эпидемия остановлена, но специалисты по кибербезопасности зафиксировали новую версию, вредоносной программе удалось атаковать
с феноменальной скоростью - один компьютер в секунду.
"


Как теперь жить, по ссылкам не ходить? У Касперского форумчане пишут, что на Ютубе заражались.
В соц.сетях расходятся ссылки для скачивания патчей и тут же в комментах пугают, что вот там-то, по ссылкам, засада и поджидает.

На микрософтовском сайте выложена инструкция, как проделать необходимые манипуляции вручную:

https://support.microsoft.com/en-us/help/2696547/

Правка регистров для чайника
Перевод с айтишного на русский в картинках:


Полная справка: https://microsoft.com/msrc/2017/05/12

Пример для Семерки и ниже,
для  Виндовс-8 инстукция там же,
несколько отличается в деталях, но  принцип такой же


Открываем настройки файервола -
fotovivo

Старт, строка поиска внизу понимает с полу-слова.


В левой колонке находим "внешние" и "внутренние" правила,
в правой - "создать новое правило"

fotovivo
в открывшемся окошке выбираем "порт". "Дальше"



fotovivo

Дальше вписываем рекомендованные 137, 139 и 445 (в повседневной жизни домашний комп без них  обойдется).
"Дальше""Дальше" по умолчанию.

Под конец система попросит придумать правилу имя, выбираем произвольно, что б помнить что у нас там.

fotovivo

С этим всё.




Следующим шагом
с помощью соответствующей службы внесем рекомендованные правки:

fotovivo

Вызов службы аналогичен вышерассмотренному

Появится синее окошко.
Скопируем в него строки приведенные в инструкции (по одной, мышкой "копировать"):

fotovivo


"вставить" - и больше ничего не надо делать (ни "пуска", ни "ок" там нет)

fotovivo


Готово. Осталось перезагрузится.

Можем ходить по ссылкам, открывать архивы и РDF, смотреть ролики и качать кряки с непроверенных сайтов.
Во всяком случае обмениваться котиками и ставить легальные утилиты можно без опасений.




фото с гиктайма, оттуда же:

История вопроса

>> ...WannyCry — это червь-шифровальщик, отличительной особенностью которого является функция саморазмножения, обычно отсутствующая у классических шифровальщиков. Это значит, что для заражения вам не требуется никуда кликать, ничего нажимать и ничего открывать. Достаточно иметь просто уязвимый, непропатченный и подключенный к Интернет (в том числе и через другие компьютеры, например, в локальной сети) компьютер на базе платформы Windows

>> ...Набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у хакеров из Агенства Нац.Безопасности США уже неделю лежит в открытом доступе github.com/fuzzbunch/fuzzbunch с обучающими видео. Среди них уязвимость ETERNALBLUE и связанный с ней бэкдор DOUBLEPULSAR. Первая позволяет через уязвимый SMB получать удаленный доступ к компьютеру и незаметно устанавливать на него программное обеспечение. Компания Microsoft еще в марте выпустила соответствующий патч для данной уязвимости, но, как показывает опыт, многие администраторы по разным причинам не удосужились его установить на свои компьютеры.
(А многие пользователи избегая надоедливых напоминаний о перезагрузке после обновлений отключают их)

>> ...В процессе инсталляции процесс “tasksche.exe” или сам вирус извлекает из себя и запускает файл “@wanadecryptor@.exe” множество раз в различные пользовательские папки и другие директории, содержащие файлы для зашифровывания, видимо для того, чтобы избежать единой точки отказа или обнаружения.
>> ...Данные команды отключают сервис теневого копирования, удаляют существующие копии и отключают запуск по умолчанию средств восстановления при загрузке ОС.

>> ...Уязвимость также можно закрыть, полностью отключив поддержку SMBv1.

(что мы и проделали)

[Прямые ссылки на пакет микрософтовских обновлений]
Если кто сидит с отключенными:

Патч MS17-010 для исправления уязвимости Windows от вируса WCry
Обновление для системы безопасности Windows XP SP3 (KB4012598)
www.microsoft.com/ru-RU/download/details.aspx?id=55245

Windows 8.1 Update for x64-based Systems (KB2919355)
www.microsoft.com/en-us/download/details.aspx?id=42335

Windows 8.1 Update (KB2919355)
www.microsoft.com/en-us/download/details.aspx?id=42327

Каталог обновлений для Windows 7 и Windows 2008 R2
www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

Ежемесячный набор исправлений качества системы безопасности для Windows 7 (KB4012215), март 2017 г.
March, 2017 Security Monthly Quality Rollup for Windows 7 (KB4012215)
download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu

Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4012215), март 2017 г.
March, 2017 Security Monthly Quality Rollup for Windows 7 for x64-based Systems (KB4012215)
download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu

Накопительный пакет обновления для Windows 10 Version 1511 (KB4013198)
Накопительный пакет обновления для Windows 10 Version 1511 для систем на базе процессоров x64 (KB4013198)
www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

Накопительный пакет обновления для Windows 10 Version 1607 (KB4013429)
Накопительный пакет обновления для Windows 10 Version 1607 для систем на базе процессоров x64 (KB4013429)
Накопительный пакет обновления для Windows Server 2016 для систем на базе процессоров x64 (KB4013429)
www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

Пишут, что если есть проблемы с переключением языков - к MS лучше обращаться через Интернет Эксплорер.


Tags: веб-штучки, век_учись
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 78 comments