etoonda (etoonda) wrote,
etoonda
etoonda

Как защититься от атаки трояном-декриптором "Wana decrypt0r 2.0"



В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"

Атака наблюдается в разных сетях совершенно никак не связанных между собой.

Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.



Связавшись с бывшими коллегами я был удивлен похожими исторями.

Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адрес на ней, как сразу же в течении нескольких минут она была заражена.


A ransomware spreading in the lab at the university (отсюда)

Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.

И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".

Nmap не находит открытых портов. Вывод nmap показывает что даже в этом случае некоторые порты открыты наружу по умолчанию:

Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
135/tcp open msrpc
445/tcp open microsoft-ds
49154/tcp open unknown


Единственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают.

На данный момент до конца не известно как именно произошло заражение и какие конкретно версии Windows уязвимы.

Ждем дальнеших новостей, всех с субботой и вот вам нескушная обоина на рабочий стол:



UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.

Патчи для исправления этой уязвимости можно скачатать на официальном сайте:

Microsoft Security Bulletin MS17-010

Патч, для старых систем (Windows XP, Winows Server 2003R2)

Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Установить патчи при этом все равно рекомендуется

UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

Перейдите по ссылке выше и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215

Откройте cmd.exe (командную строку)
Напишите:

wmic qfe list | findstr 4012212

Нажмите Enter

Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:

http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017

Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка

Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше.

Как выяснилось этот метод не на 100% рабочий и у каждого могут быть свои ньюансы.

Если вы все же уверены что обновление безопасности у вас установлено, а в ответ вы по прежнему получаете пустую строку, попробуйте проверить обновление через журнал обновлений Windows или почитать комментарии к этой статье.

UPD3: В интернете находятся интересные подробности по данному инциденту:

Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.

Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.

В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.

В этом наборе есть опасный инструмент DoublePulsar.

Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

UPD4: Интерактивная карта заражения:



UPD5: Видео показывающее наглядное применение эксплойта:

Here is a video showing ETERNALBLUE being used to compromise a Windows 2008 R2 SP1 x64 host in under 120 seconds with FUZZBUNCH #0day ;-) pic.twitter.com/I9aUF530fU
— Hacker Fantastic (@hackerfantastic) April 14, 2017

UPD6: Нашелся интересный изъян в коде:

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

UPD7: Microsoft выпустил патч для старых систем (Windows XP и Windows Server 2003R2)

Спасибо xsash, Inflame, Pulse, nxrighthere, waisberg, forajump, Akr0n и другим за множество дополнений к этой статье.

Привет . Добавляй в друзья )




Tags: #0day, виндос
Subscribe

Posts from This Journal “виндос” Tag

  • Особенности национального майнинга

    К лету 2018 года правительство и ЦБ должны будут разработать порядок налогообложения и регистрации компаний, занимающихся майнингом криптовалют.…

  • Дебилы бл.

    Ростех предоставил российским школам американские планшеты 2012 года весом в 1,5 килограмма Устройства с 4 ГБ встроенной памяти работают на базе…

  • Роскомнадзор закрыл реестр блогеров.

    Роскомнадзор закрыл реестр блогеров. Потратив на него три года бессмысленной работы. В России больше нет реестра блогеров — ​по мнению Артема…

  • Добавьте на главную ссылку - Переключиться на СТАРУЮ версию НАВСЕГДА

    Случайно переключил на новую версию .... И сразу понял, что не смогу ) Наверно это к лучшему. Впереди лето . Есть конечно шанс с…

  • Вас не догонят. О сети i2p

    Сеть i2p — невидимый интернет — находится совсем близко и при этом бесконечно далеко от обычного интернета. Это другой мир, недоступный для…

  • «Зеус»

    КАК МВД АВТОМАТИЗИРОВАЛО СЛЕЖКУ В СОЦСЕТЯХ МВД Свердловской области объявило о закупке программно-аналитического модуля для информационной…

  • Небесный интернет от Google и Facebook в России будет вне закона

    Что касается интернет-стратостатов от Facebook, их над Россией будут просто сбивать. Глобальные интернет-проекты иностранных компаний угрожают…

  • Рубрика "Дно"...

    Расходы на развитие и поддержку российского поисковика «Спутник» превысили 2 млрд рублей после заключения «Ростелекомом» нового контакта на 372,8…

  • Pokemon GO, первые аресты

    - Мужчина, дайте мне пять тысяч рублей. - Не дам. - Тогда вы задержаны. За неповиновение сотруднику полиции. Pokemon GO, задержание на 12 часов.…

Buy for 90 tokens
Buy promo for minimal price.
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 11 comments