Previous Entry Поделиться Next Entry
Атака WannaCry и как с ней бороться
omchanin
Как обстановка, друзья? Никто не подхватил заразу? Омск вроде на карте отмечен...

Оригинал взят у kot_de_azur в Атака WannaCry и как с ней бороться. Понедельник в России


Остановили называется, с понедельника эпидемия набрала новую силу. (эпидемия онлайн) Даже страшно на работу приходить. Вдруг и там началось? Более 194,723 объектов было заражено за вчера. Более 42 000 долларов люди отдали вымогателям. В российских госучреждениях официально заявили, что сумели локализовать распространение. Интересно надолго?



Недавно я писал, что распространение смогли остановить приманкой-доменом. Но вышли новые копии вируса и волна понеслась с новой силой. Уже без красной кнопки. Сейчас собрал информацию, что можно сделать чтобы не потерять свои файлы.

Что плохого делает вирус WannaCry?

Шифрует все файлы компьютера на базе Widows (вчера появись данные о заражении Linux систем) и потом требует выкуп в 600$ (сумма будет указана в биткоинах) за расшифровку. Причем гарантию восстановления никто не дает. Пока эксперты ищут решение в борьбе с вирусом, нужно подготовить систему к атаке.


Вирус WannaCry 2.0


Рекомендации по лечению:

- Должен быть включён антивирус.
- Установите официальный патч (MS17-010) от Microsoft, убирает уязвимость которую используют злоумышленники.
- Проверьте всю систему антивирусом.
- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем.
- В организации специалист по безопасности должен заблокировать входящий трафик по SMB (порты 139, 445)
- Для пользователей антивируса Windows Defender вышла информация, что они автоматически защищены от вируса.
- Для пользователей Kaspersky необходимо включить компонент «Мониторинг системы». Затем нужно проверить систему: в случае обнаружения вредоносных атак (MEM:Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что патч MS17-010 установлен.
- Для восстановления файлов, попытаемся отследить нужное название программы декриптора здесь http://support.kaspersky.com/viruses/utility


Полный список официального патча MS17-010 для каждой системы Windows с сайта windowsupdate.com, не забудьте сделать точку восстановления перед установкой патча.

Пользователи нелегальных копии ОС Windows действуют на свой страх и риск!
[Нажмите, чтобы прочитать]


Такая же информация появилась на habrahabr
[Нажмите, чтобы прочитать]
Microsoft оперативно выпустила патчи для исправления уязвимости (патч может снести пиратскую Windows):


Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:

dism /online /norestart /disable-feature /featurename:SMB1Protocol









Деньги не следует перечислять злоумышленникам, т.к. ничего вы не получите. Так выглядит типичное сообщение с форума forum.kasperskyclub.ru по борьбе с вирусами:



Шон Конорейкин
Отпишусь и я о плачевном результате: в пятницу брат подхватил эту заразу, итог - год работы скрылся за расширением WNCRY. Работы было много сделано, в следствии чего было принято решение о переводе 300$ в виде биткоинов этим тварям. Со всеми % при переводах и пересчетах сумма составила 20000 рублей. Прошло 3е суток, никакого дешифровщика прислано не было. Сегодня окно вируса пропало, сообщение на рабочем столе тоже пропало, но файлы как были зашифрованы, так и остались!



И еще:



W.W.H.
Свыше 45 рабочих компьютеров и 420 серверов виртуальной сети W.W.H., обслуживающих коллосальное количество сайтов зарубежом было заблокировано. Всеми силами пытались бороться, даже прибегли к оплате... Но к сожалению деньги ушли - а проблема осталась. Даже прибегали к разного рода ПО деобфускации зашифрованных файлов, вроде "JackJ" и "P-N-H"... Но и этот результат я не буду озвучивать.


Расширения, шифруемых файлов на компьютере:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

Надо отметить, что не следует запускать подозрительные файлы с почты, мессенджеров и пр. программ. Все меры по безопасности лишь останавливают распространение через сеть, но не через принудительный запуск программы пользователем. Здоровье компьютера находится в руках самих пользователей.

Записи из этого журнала по тегу «программисты»


промо omchanin январь 16, 13:00 10
Разместить за 100 жетонов
Пришла пора делать пост №5 про омские блоги, разделенные на 2 части. Вообще в омском ЖЖ лоцируется под 300 блогов, так что тут только те, что я знаю. В первой части одни блоги nims55 - про крыши, было/стало, историю newomsk - история max_sky - про самолеты…

  • 1
Здравствуйте! Ваша запись попала в топ-25 популярных записей LiveJournal сибирского региона. Подробнее о рейтинге читайте в Справке.

У большинства дома роутеры стоят, автоматически закрывающие все порты для входящих соединений, если их, конечно, специально не пробросили сами пользователи.
Не запускать непонятные файлы — этому ещё с начальной школы учат...

Edited at 2017-05-16 04:55 (UTC)

Да не всегда роутер нормально закрыт "с улицы"... Те же Д-Линки вообще имеют огромную дыру в безопасности, что можно полностью перехватить управление с наружи.

Это понятно, что не панацея, и он (роутер) помогает только от определённых атак, но тем не менее типовой роутер у юзера «в лоб» закрыт снаружи, в том числе и для SMB.

Edited at 2017-05-16 08:23 (UTC)

Лучшее средство от СПИДа - никаких половых связей. А с компьютерами еще и резервное копирование данных.

Резервное копирование на жёсткий диск внутри того же компьютера мало поможет. Возможно, поможет хранение данных на NAS или отдельном сервере со своей ОС.

я так понимаю, Андроид не подвержен?

Дыра есть только в винде. А андроид - это линукс. Вот тут более-менее внятно описан механизм заражения http://froged55.livejournal.com/310719.html

У андроида тоже есть дыры, но свои. Да и в том же linux уязвимости обнаруживаются, но и устраняются.
Но и обновление винды тоже уместно, к той же атаке, о которой речь в посте, не подвержены те, кто установил пакет обновлений марта 2017.

Edited at 2017-05-16 08:27 (UTC)

Сайт омской прокуратуры не доступен))

Спрашивал у меня один товарищ совета, как запротоколировать заражение и шифровку информации- харррошая бухгалтерия была :(

рабочую сеть. Музей я умудрилась выключить в пятницу и не включить в понедельник))))

Дождались! В свете последних событий, что бы защитить наши компьютеры от вирусов в НИИ овцеводства и козоводства (!) создали альтернативу Windows http://htll.livejournal.com/112451.html

  • 1
?

Log in

No account? Create an account