Обновление от wannacry: Как обновить Windows, чтобы защититься от WannaCry
Как обновить Windows, чтобы защититься от WannaCry
Про атаку шифровальщика WannaCry слышали уже, кажется, все. Мы написали об этом уже два поста — с общим рассказом о том, что же произошло, и с советами для бизнеса. И выяснили, что далеко не все понимают, что, где и как надо обновить, чтобы закрыть в Windows уязвимость, через которую WannaCry проникал на компьютеры. Рассказываем, что надо сделать и где брать патчи.
1. Узнайте версию Windows на своем компьютере
Во-первых, важно, что шифровальщик WannaCry существует только для Windows. Если на вашем устройстве в качестве операционной системы используется macOS, iOS, Android, Linux или что угодно другое, то для него этот зловред угрозы не представляет.
А вот для устройств на Windows — представляет. Но для разных версий Windows нужны разные патчи. Так что перед тем, как что-то ставить, нужно разобраться, какая у вас версия Windows.
Делается это так:
- Нажмите на клавиатуре клавиши [Win] и [R] одновременно.
- В появившемся окне введите winver и нажмите OK. В появившемся окне будет указана версия Windows.
- Если вы не знаете, 32-разрядная у вас версия системы или 64-разрядная, вы можете просто скачать оба обновления, и для 32-битной Windows, и 64-битной — один из них обязательно установится.
2. Установите патч MS17-010, который закрывает уязвимость Windows
Определили версию системы? Вот ссылки на патчи для всех версий Windows, для которых они вообще есть:
При нажатии на нужную ссылку скачается исполняемый файл с расширением MSU с необходимым обновлением. Нажмите на него и далее следуйте подсказкам мастера установки. После окончания установки на всякий случай перезагрузите систему. Готово — уязвимость закрыта, просто так на ваш компьютер WannaCry уже не проберется.
3. Проверьте компьютер на вирусы
Возможно, WannaCry успел пролезть на ваш компьютер до того, как вы закрыли уязвимость. Так что на всякий случай стоит проверить компьютер на вирусы.
Если у вас нет антивируса, то скачайте бесплатную 30-дневную версию Kaspersky Internet Security. Если же у вас уже установлено защитное решение «Лаборатории Касперского», сделайте вот что.
- Убедитесь, что у вас включен модуль Мониторинг активности. Для этого зайдите в настройки, выберите раздел Защита и убедитесь, что напротив пункта Мониторинг активности написано Вкл.
- Запустите быструю проверку компьютера на вирусы. Для этого в интерфейсе антивирусного решения выберите раздел Проверка, в нем — пункт Быстрая проверка, а затем нажмите Запустить проверку.
- Если антивирус обнаружит зловреда с вердиктом Trojan.Win64.EquationDrug.gen — его надо удалить, а затем перезагрузить компьютер.
Все, вы защищены от WannaCry. Теперь позаботьтесь о родных и друзьях, которые не умеют защищать свои устройства сами.
WannaCry: Автономные пакеты обновления Microsoft MS17-010
17 мая 2017 ВК
Tw
Fb
Про сам шифровальщик не слышал только мёртвый, поэтому без лишних слов ссылки на автономные пакеты обновлений Microsoft, закрывающие дыру, которую эксплуатирует WannaCry. Однако это не гарантирует 100% защиты!!!
P.S. Забавно, что на 9 клиентских серверах и нескольких ПК я запустил простой поиск обновлений (через Панель управления > Центр обновления Windows), и ни на одном из них эти обновления не загрузились сами.
Чтобы проверить, стоит ли у Вас это обновление, перейдите в Панель управления > Центр обновления Windows > Просмотр журнала обновлений (Win 7, 8, Server 2008R2, 2012R2) или Параметры > Обновления и безопасность > Журнал обновлений (Win 10). В этом окне найдите в списке установленных (начиная с 10 мая 2017 года) обновление с нужным номером в конце (например, для Windows 7 x64 это будет KB4012212). Состояние или статус — Успех. Если такого обновления нет, загрузите его по ссылкам ниже. Номера KB можно узнать там же.
Полный список всех пакетов обновлений тут:
https://technet.microsoft.com/library/security/ms17-010.aspx
Windows 7 x32
March, 2017 Security Only Quality Update for Windows 7 (KB4012212)
http://download.windowsupdate.com/…
Windows 7 x64
March, 2017 Security Only Quality Update for Windows 7 for x64-based Systems (KB4012212) http://download.windowsupdate.com/…
Windows Server 2008 R2 x64
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212) http://download.windowsupdate.com/…
Windows 8.1 x32
March, 2017 Security Only Quality Update for Windows 8.1 (KB4012213)
http://download.windowsupdate.com/…
Windows 8.1 x64
March, 2017 Security Only Quality Update for Windows 8.1 for x64-based Systems (KB4012213) http://download.windowsupdate.com/…
Windows Server 2012 R2 x64
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213) http://download.windowsupdate.com/…
Патчи для разных версий Windows 10 не совпадают! Будьте внимательны!
Чтобы узнать, какая у вас версия Windows 10, в поиске (лупа около меню пуск) наберите команду
winver
и в открывшемся окне Вы увидите номер Вашей версии Windows 10.
Windows 10 x32
Cumulative Update for Windows 10 (KB4012606)
http://download.windowsupdate.com/…
Windows 10 x64
Cumulative Update for Windows 10 for x64-based Systems (KB4012606)
http://download.windowsupdate.com/…
Windows 10 1511 x32
Cumulative Update for Windows 10 Version 1511 (KB4013198)
http://download.windowsupdate.com/…
Windows 10 1511 x64
Cumulative Update for Windows 10 Version 1511 for x64-based Systems (KB4013198) http://download.windowsupdate.com/…
Windows 10 1607 x32
Cumulative Update for Windows 10 Version 1607 (KB4013429)
http://download.windowsupdate.com/…
Windows 10 1607 x64
Cumulative Update for Windows 10 Version 1607 for x64-based Systems (KB4013429) http://download.windowsupdate.com/…
Windows Server 2016 x64
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)
http://download.windowsupdate.com/…
Вирус WannaCry: ссылки для загрузки патча
В начавшейся вчера масштабной атаке вируса-шифровальщика WannaCrypt (он же Wana decrypt0r, WannaCry и WCr) используется дыра в сервере SMB (v.1.0) Windows, которую Microsoft залатала еще в марте, но далеко не все пользователи своевременно устанавливают на свои системы регулярно выпускаемые обновления, чем и воспользовались злоумышленники, запустившие распространение WannaCrypt по всему миру. 14 марта этого года Microsoft выпустила специальный бюллетень MS17-010, описывающий проблему и дающий рекомендации по ее устранению. В этом бюллетене также указаны ссылки для загрузки патча, устраняющего эту уязвимость. Прямые ссылки для загрузки: Windows XP SP3 Патч для Windows 10 версии 1703 не нужен — заплатка уже вшита в систему. Для того, чтобы узнать версию используемой ОС Windows, нужно одновременно нажать клавиши Win и R, после чего в появившемся окошке напечатать winver и нажать кнопку ОК. По теме:
|
» Прочитать остальные / Написать свой комментарий
Все рубрики статей:
WannaCry: необходимые обновления Windows и способы обнаружения
Шифровальщик WannaCry (Wana Decrypt0r) стал главной IT-новостью выходных. Достаточно подробно о нем можно прочитать здесь и здесь. А в данной заметке будет лишь информация об обновлениях Windows, которые необходимо установить и требуемых мерах по обнаружению.
Итак, перечень обновлений Windows, закрывающих уязвимость, в зависимости от версий ОС плюс ссылки:
Windows 10 — KB4012606 (скачать)
Windows 10 версия 1511 — KB4013198 (скачать)
Windows 10 версия 1607 и Windows Server 2016 — KB4013429 (скачать)
Windows 8.1 и Windows Server 2012 R2 — KB4012213 (скачать) или KB4012216 (скачать)
Первый патч представляет собой сборник только обновлений безопасности, второй — полный пакет ежемесячный исправлений. Уязвимость, используемую WannaCry, закрывает любой из них. Подобное касается и других версий ОС, где будут указаны два патча.
Windows Embedded 8 Standart и Windows Server 2012 — KB4012214 (скачать) или KB4012217 (скачать)
Windows 7, Windows Embedded 7 Standart и Windows Server 2008 R2 — KB4012212 (скачать) или KB4012215 (скачать)
Windows XP, Windows Vista, Windows 8, Windows Server 2003, Windows Server 2008, WES09 и POSReady 2009 — KB4012598 (скачать)
Как видите, Microsoft представила патчи и для устаревших систем, которые больше не поддерживаются.
Данные обновления рекомендуется поставить как можно скорее.
Антивирусы уже детектируют Wana Decrypt0r, однако прогноз о перспективах дешифрования файлов пока неутешительный. Цитата с официального сайта Лаборатории Касперского:
В случае если Ваши файлы оказались зашифрованы, категорически нельзя использовать предлагаемые в сети Интернет или полученные в электронных письмах средства расшифровки. Файлы зашифрованы криптостойким алгоритмом и не могут быть расшифрованы, а утилиты, загруженные вами, могут нанести еще больший вред как вашему компьютеру, так и компьютерам во всей организации, поскольку потенциально являются вредоносными и нацелены на новую волну эпидемии.
Скорее всего, пик заражений уже позади, хотя в будущем, вероятно, возникнет еще парочка видоизмененных шифровальщиков. Впрочем, они уже не будут такой новостью, как WannaCry.
Вирус WannaCry: ссылки для загрузки патча
В начавшейся вчера масштабной атаке вируса-шифровальщика WannaCrypt (он же Wana decrypt0r, WannaCry и WCr) используется дыра в сервере SMB (v.1.0) Windows, которую Microsoft залатала еще в марте, но далеко не все пользователи своевременно устанавливают на свои системы регулярно выпускаемые обновления, чем и воспользовались злоумышленники, запустившие распространение WannaCrypt по всему миру. 14 марта этого года Microsoft выпустила специальный бюллетень MS17-010, описывающий проблему и дающий рекомендации по ее устранению. В этом бюллетене также указаны ссылки для загрузки патча, устраняющего эту уязвимость. Прямые ссылки для загрузки: Windows XP SP3 Патч для Windows 10 версии 1703 не нужен — заплатка уже вшита в систему. Для того, чтобы узнать версию используемой ОС Windows, нужно одновременно нажать клавиши Win и R, после чего в появившемся окошке напечатать winver и нажать кнопку ОК. По теме:
|
» Прочитать остальные / Написать свой комментарий
Все рубрики статей:
Как защищаться от атаки вируса-шифровальщика «WannaCry» / Блог компании TS Solution / Хабр
Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.
Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру, Газета.ру, РБК.
Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать здесь и здесь.
Эта уязвимость относится к классу Remote code execution, что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ — локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.
Меры безопасности
Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:
- Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь.
- Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана здесь, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
- В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation. Специально для компаний, не имеющих данной подписки, мы предлагаем быстро оформить её в триальный период 30 дней. Для того чтобы запросить ключ активирующий полнофункциональную подписку для вашего шлюза Check Point — напишите на почту [email protected] Подробнее про системы эмуляции файлов вы можете посмотреть здесь.
Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:
Microsoft Windows EternalBlue SMB Remote Code Execution
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0144)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0145)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0146)
Microsoft Windows SMB Information Disclosure (MS17-010: CVE-2017-0147)
Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry тут.
Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.
Риск действительно большой!
UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.
Вебинар проводит компания TS Solution и Сергей Невструев, Check Point Threat Prevention Sales Manager Eastern Europe.
Мы затронем следующие вопросы:
- Атака #WannaCry
- Масштаб и текущее состояние
- Особенности
- Факторы массовости
Рекомендации по безопасности
Как быть на шаг впереди и спать спокойно
- IPS + AM
- SandBlast: Threat Emulation и Threat Extraction
- SandBlast Agent: Anti-Ransomware
- SandBlast Agent: Forensics
- SandBlast Agent: Anti-Bot
Зарегистрировать можно, ответив на это письмо, либо пройдя по ссылке на регистрацию здесь.
Как защититься от атак WannaCry пользователям продуктов для бизнеса
Мы проанализировали информацию о заражениях программой-шифровальщиком WannaCry, с которыми 12 мая 2017 года столкнулись компании по всему миру.
Атака проходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. На зараженную систему устанавливался руткит, с помощью которого злоумышленники запускали программу-шифровальщика.
Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen, а программы-шифровальщики, которые использовались в этой атаке, как:
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- PDM:Trojan.Win32.Generic
- Intrusion.Win.DoublePulsar.a
Для снижения рисков заражения мы рекомендуем компаниям предпринять следующие меры:
- Установите официальный патч от Microsoft, который закрывает уязвимость:
- Убедитесь, что включены защитные решения на всех узлах сети.
- Обновите антивирусные базы всех используемых продуктов «Лаборатории Касперского».
Мы анализируем образцы вредоносного программного обеспечения для установления возможности расшифровки данных.
Подробную информацию об атаках «WannaCry» смотрите в отчете «Лаборатории Касперского».
Ransomware WannaCry: все, что вам нужно знать
Уязвим ли ваш компьютер для атак со стороны вымогателя WannaCry? Читайте дальше, чтобы узнать, как мы исследуем все, что нужно знать об атаке программы-вымогателя WannaCry.
Из этой статьи вы узнаете:
- Что такое программа-вымогатель WannaCry
- Как работала атака программы-вымогателя WannaCry
- Последствия атаки программы-вымогателя WannaCry
- Как защитить компьютер от программ-вымогателей
Описание программы-вымогателя WannaCry
WannaCry — это пример программы-вымогателя — типа вредоносного ПО (вредоносного ПО), которое киберпреступники используют для вымогательства денег.
Ransomware делает это, либо шифруя ценные файлы, чтобы вы не могли их прочитать, либо блокируя ваш компьютер, чтобы вы не могли его использовать.
Программа-вымогатель, использующая шифрование, называется программой-вымогателем. Программа-вымогатель, которая блокирует доступ к вашему компьютеру, называется программ-вымогателем.
Как и другие типы программ-вымогателей, WannaCry берет ваши данные в заложники, обещая вернуть их, если вы заплатите выкуп.
WannaCry нацелен на компьютеры, использующие Microsoft Windows в качестве операционной системы.Он шифрует данные и требует уплаты выкупа в криптовалюте Биткойн за их возврат.
Что представляла собой атака программы-вымогателя WannaCry?
Атака программы-вымогателя WannaCry стала глобальной эпидемией, разразившейся в мае 2017 года.
Эта атака программы-вымогателя распространилась через компьютеры под управлением Microsoft Windows. Файлы пользователя были взяты в заложники, и за их возвращение потребовали выкуп в биткойнах.
Если бы не постоянное использование устаревших компьютерных систем и плохое обучение необходимости обновления программного обеспечения, ущерба, нанесенного этой атакой, можно было бы избежать.
Как работает атака WannaCry?
Киберпреступники, ответственные за атаку, воспользовались уязвимостью в операционной системе Microsoft Windows с помощью взлома, который якобы был разработан Агентством национальной безопасности США .
Известный как EternalBlue, этот взлом был обнародован группой хакеров под названием Shadow Brokers перед атакой WannaCry.
Microsoft выпустила исправление безопасности, которое защищало системы пользователей от этой уязвимости почти за два месяца до начала атаки вымогателя WannaCry.К сожалению, многие люди и организации не обновляют свои операционные системы регулярно и поэтому подверглись атаке.
Те, кто не запускал обновление Microsoft Windows перед атакой, не воспользовались этим патчем, а уязвимость, использованная EternalBlue, сделала их открытыми для атаки.
Когда это произошло впервые, люди предполагали, что атака программы-вымогателя WannaCry первоначально распространилась через фишинговую кампанию (фишинговая кампания — это спам-рассылки с зараженными ссылками или вложениями, которые побуждают пользователей загружать вредоносное ПО).Однако EternalBlue был эксплойтом, который позволил WannaCry распространяться и распространяться, а DoublePulsar был «бэкдором», установленным на скомпрометированных компьютерах (использовавшимся для выполнения WannaCry).
Что произойдет, если выкуп WannaCry не был уплачен?
Злоумышленники потребовали биткойнов на сумму 300 долларов, а затем увеличили выкуп до 600 долларов в биткойнах. Если жертвы не заплатят выкуп в течение трех дней, жертвам атаки вымогателя WannaCry было сказано, что их файлы будут удалены без возможности восстановления.
Совет, когда дело касается выплаты выкупа, — не поддаваться давлению. Всегда избегайте уплаты выкупа, поскольку нет гарантии, что ваши данные будут возвращены, и каждый платеж подтверждает бизнес-модель преступников, повышая вероятность будущих атак.
Этот совет оказался разумным во время атаки WannaCry, поскольку, как сообщается, кодировка, использованная при атаке, была ошибочной. Когда жертвы платили выкуп, злоумышленники не могли связать платеж с компьютером конкретной жертвы.
Есть некоторые сомнения в том, вернули ли кому-нибудь свои файлы. Некоторые исследователи утверждали, что никто не вернул свои данные. Однако компания под названием F-Secure заявила, что некоторым это удалось. Это яркое напоминание о том, почему никогда не стоит платить выкуп в случае атаки программы-вымогателя.
Какое влияние оказала атака WannaCry?
Атака программы-вымогателя WannaCry поразила около 230 000 компьютеров по всему миру.
Одной из первых пострадавших компаний была испанская компания мобильной связи Telefónica.К 12 мая -го года были затронуты тысячи больниц и операционных NHS по всей Великобритании.
Атака затронула треть больничных фондов NHS. Сообщается, что машины скорой помощи ужасно перенаправлены, в результате чего люди, нуждающиеся в срочной помощи, нуждаются в помощи. По оценкам, это обошлось NHS в колоссальные 92 миллиона фунтов стерлингов после того, как в результате нападения было отменено 19000 встреч.
По мере распространения программ-вымогателей за пределы Европы компьютерные системы в 150 странах были повреждены. Атака программы-вымогателя WannaCry оказала существенное финансовое воздействие по всему миру.По оценкам, это киберпреступление нанесло ущерб в размере 4 миллиардов долларов по всему миру.
Защита от программ-вымогателей
Теперь вы понимаете, как произошла атака программы-вымогателя WannaCry и какое влияние она оказала, давайте рассмотрим, как защитить себя от программ-вымогателей.
Вот наши главные советы:
Регулярно обновляйте программное обеспечение и операционную систему
Пользователи компьютеров стали жертвами атаки WannaCry, потому что они не обновили свою операционную систему Microsoft Windows.
Если бы они регулярно обновляли свои операционные системы, они бы извлекли выгоду из исправления безопасности, выпущенного Microsoft перед атакой.
Этот патч устранил уязвимость, которая использовалась EternalBlue для заражения компьютеров программой-вымогателем WannaCry.
Обязательно обновляйте свое программное обеспечение и операционную систему. Это важный шаг защиты от программ-вымогателей.
Не переходить по подозрительным ссылкам
Если вы открываете незнакомое электронное письмо или посещаете веб-сайт, которому не доверяете, не переходите по ссылкам.Нажатие на непроверенные ссылки может вызвать загрузку программы-вымогателя.
Никогда не открывайте ненадежные вложения электронной почты
Не открывайте вложения электронной почты, если вы не уверены в их безопасности. Вы знаете отправителя и доверяете ему? Понятно, что за приставка? Вы ожидали получить прикрепленный файл?
Если приложение просило вас включить макросы для его просмотра, держитесь подальше. Не включайте макросы и не открывайте вложения, так как это обычный способ распространения программ-вымогателей и других типов вредоносных программ.
Не скачивать с ненадежных сайтов
Загрузка файлов с неизвестных сайтов увеличивает риск загрузки программ-вымогателей. Загружайте файлы только с веб-сайтов, которым доверяете.
Избегайте неизвестных USB-устройств
Не вставляйте USB-накопители или другие съемные устройства хранения данных в свой компьютер, если вы не знаете, откуда они взялись. Они могли быть заражены программами-вымогателями.
Использование VPN при использовании общедоступного Wi-Fi
Соблюдайте осторожность при использовании общедоступного Wi-Fi, поскольку это делает вашу компьютерную систему более уязвимой для атак.
Используйте безопасную VPN, чтобы защитить себя от риска вредоносных программ при использовании общедоступного Wi-Fi.
Установить программное обеспечение безопасности в Интернете
Защитите свой компьютер и защитите свой компьютер от программ-вымогателей, установив программное обеспечение для обеспечения безопасности в Интернете. Выбирайте комплексное решение, которое защищает от множества сложных угроз, например от Kaspersky System Watcher.
Обновите программное обеспечение интернет-безопасности
Чтобы обеспечить максимальную защиту, которую может предложить ваша интернет-безопасность (включая все последние исправления), обновляйте ее.
Резервное копирование данных
Обязательно регулярно выполняйте резервное копирование данных с помощью внешнего жесткого диска или облачного хранилища. Если вы станете жертвой хакеров-вымогателей, ваши данные будут в безопасности, если они будут созданы. Просто не забудьте отключить внешнее запоминающее устройство от компьютера после резервного копирования данных. Постоянное подключение внешнего хранилища к компьютеру потенциально может подвергнуть его воздействию семейств программ-вымогателей, которые также могут шифровать данные на этих устройствах.
Хотите спать спокойно с максимальной защитой от программ-вымогателей? Защитите себя с помощью бесплатного Kaspersky Anti-Ransomware Tool или Premium Kaspersky Anti-Ransomware Products
.
Как правильно обновить Windows, чтобы защитить компьютер от WannaCry
К настоящему времени все слышали об атаке вымогателя WannaCry. Пока у нас есть два поста об этом: один с общим обзором того, что произошло, а другой с советами для бизнеса. Но стало ясно, что не все понимают, как исправить уязвимость Windows, которая используется WannaCry и позволяет ей перемещаться с одного компьютера на другой. Итак, здесь мы объясним, что делать и где найти необходимые исправления.
1. Узнайте, какая версия Windows установлена на вашем компьютере
Прежде всего, важно отметить, что WannaCry может заражать только устройства на Windows. Если ваше устройство работает под управлением macOS, iOS, Android, Linux или любой другой операционной системы, вредоносное ПО не сможет нанести вред этим устройствам.
Тем не менее, он представляет серьезную угрозу для устройств под управлением Windows. Но для разных версий Windows требуются разные патчи. Итак, прежде чем что-то устанавливать, вы должны выяснить, какая версия Windows у вас установлена.
Для этого:
- Нажмите клавиши Windows + R на клавиатуре;
- В поле «Выполнить», которое появится на экране, введите winver и нажмите «ОК».
Откроется окно с вашей версией Windows.
2. Установите обновление MS17-010, исправляющее уязвимость в Windows
.
Выяснение версии закончено? Вот ссылки на обновления для всех версий Windows, для которых он был выпущен. Обратите внимание: если вы не уверены, используете ли вы 32-битную или 64-битную версию Windows, вы можете просто загрузить оба патча — один из них подойдет вам; попытка запустить неправильный вызовет сообщение об ошибке, но не повредит.
При нажатии на соответствующую ссылку ваша система загрузит исполняемый файл с расширением MSU. Это необходимое обновление. Просто дважды щелкните файл, чтобы запустить его, и следуйте инструкциям мастера настройки. После завершения установки перезагрузите вашу систему. Вот и все: уязвимость будет закрыта, и WannaCry не сможет легко проникнуть на ваш компьютер.
3. Проверить компьютер на вирусы
Возможно, WannaCry просканировал ваш компьютер до того, как вы устранили уязвимость.Так что на всякий случай запустите проверку на вирусы.
Если у вас нет антивируса, вы можете бесплатно скачать 30-дневную пробную версию Kaspersky Internet Security. Если он у вас уже есть, выполните следующие действия:
- Убедитесь, что модуль Наблюдателя за системой включен. Для этого зайдите в настройки решения безопасности, выберите Protection и убедитесь, что System Watcher включен.
- Выполните быстрое сканирование вашего компьютера на вирусы. Для этого щелкните Сканировать в интерфейсе антивирусного решения.Затем выберите Быстрое сканирование , а затем Выполнить сканирование .
- Если антивирус обнаружит что-то, в имени которого содержится Trojan.Win64.EquationDrug.gen , удалите обнаруженный файл и перезагрузите компьютер.
Вот и все: теперь вы защищены от WannaCry. Пришло время позаботиться о своих родственниках и друзьях, которые не знают, как защитить свои устройства.
.
Критическое обновление: WannaCry Ransomware
12 мая 2017 года программа-вымогатель WannaCry разрушила сотни организаций в десятках стран. Программа-вымогатель шифрует личные и важные документы и файлы и требует около 300 долларов США в валюте BitCoin, чтобы жертва могла разблокировать свои файлы.
Примечание. Дополнительная информация приведена ниже, а также в других связанных блогах.
Защита вашей организации от программ-вымогателей WannaCry
WannaCry: эволюция истории от бета-версии до 2.0
Важно отметить, что решения Fortinet успешно блокируют эту атаку.
1. FortiGate IPS закрывает эксплойт
2. FortiSandbox обнаруживает вредоносное поведение
3. Наш антивирусный движок обнаруживает вредоносное ПО вместе с вариантами
4. Наш веб-фильтр определяет целевые сайты и соответствующим образом блокирует или разрешает их
5. FortiGate ISFW останавливает распространение вредоносного ПО
Червячное поведение, проявляемое этой вредоносной программой, связано с активным зондированием порта 445 сервера SMBv1 в локальной сети в поисках наличия бэкдора.Дабл. Пульсар. Если бэкдор присутствует, полезная нагрузка доставляется и выполняется через этот канал. В противном случае выбирается менее надежный способ эксплуатации.
По этой причине мы рекомендуем организациям (на данный момент) заблокировать порт 445 из Интернета или, в дальнейшем, использовать возможности NGFW для блокировки самого протокола SMB из Интернета.
Вредоносная программа является модульной. Это означает, что, поскольку он может предоставить злоумышленнику права суперпользователя на зараженном устройстве, он позволит им загружать дополнительные вредоносные программы и поддельные URL-адреса.В одном случае, обнаруженном Fortinet, вредоносная программа сначала воспользовалась уязвимостью CVE-2017-0144, чтобы получить доступ к системе. После этого был использован дроппер для загрузки программы-вымогателя, которая шифрует файлы.
Эта уязвимость возникает из-за переполнения целого числа при синтаксическом анализе искаженного запроса Trans2 на сервере SMBv1. Успешная эксплуатация приводит к выполнению кода в контексте приложения. Для этого не требуется аутентификация, что стало ключом к быстрому возникновению эпидемии в локальных сетях.
Бэкдор.Двойной.Пульсар
Если вредоносная программа обнаружит, что в системе установлен Backdoor.Double.Pulsar, она попытается загрузить и выполнить полезную нагрузку, используя этот метод. Интересно, что в некоторых проанализированных нами образцах мы обнаружили неиспользуемый флаг для отключения DoublePulsar.
Вредоносная программа зашифрована внутри дроппера для библиотеки DLL, зашифрованной с помощью ключа AES. После запуска вредоносная программа сбрасывает файл с именем t.wry. Затем вредоносная программа использует встроенный ключ AES для дешифрования библиотеки DLL, которая, попав в память, загружается в родительский процесс, таким образом, не подвергая вредоносное ПО на диске.Это функция, которую не используют некоторые антивирусные движки.
Поддерживается 179 типов файлов, и для каждого файла генерируется ключ.
В субботу, 13 мая, -е , исследователь безопасности обнаружил аварийный выключатель для этой вредоносной программы. Это была проверка DNS на доменном имени, которое в то время не было зарегистрировано. После регистрации вредоносная программа обнаружила, что домен активен, и заражение было остановлено.
Исходящий TOR
Вредоносная программа загружает клиент TOR и начинает связываться с C&C серверами по протоколу TOR.Мы рекомендуем вам заблокировать исходящий трафик TOR. Вы можете сделать это на устройствах FortiGate, используя подписи AppControl.
Вы делаете это, перейдя в профили безопасности, управление приложениями и выбрав добавить подпись в разделе «Переопределения приложений».
Затем добавьте протокол Tor:
Теперь вы видите, что он заблокирован
Убедитесь, что вы используете политику приложения в политике брандмауэра, чтобы убедиться, что она активирована.
Входящий TOR
Хотя это не обязательно необходимо, вы можете также рассмотреть возможность блокировки входящего трафика, исходящего из сети TOR. Входящий трафик, исходящий из сети TOR, выглядит как любой другой интернет-трафик. Однако исходная точка находится на выходных узлах TOR. Список хорошо известных выходных узлов приведен и обновлен в базе данных Fortinet Internet Service. Вы можете использовать этот предварительно созданный список в политике брандмауэра.
Если вредоносному ПО разрешено общаться, оно попытается подключиться к нескольким вредоносным доменам.Механизм веб-фильтрации Fortinet классифицирует эти известные домены как вредоносные, и при правильной настройке должен блокировать эти домены как часть политик вашего брандмауэра.
Вредоносная программа останавливается, если обнаруживает, что домен «www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com» существует. Первоначально этот домен не существовал, но теперь он существует, поскольку британский исследователь вредоносных программ зарегистрировал его.
Примечание : Организации, использующие прокси-серверы, не получат выгоды от аварийного выключателя.Вредоносная программа не поддерживает прокси-серверы, поэтому она не сможет подключиться к домену kill-switch, и, таким образом, вредоносная программа не будет остановлена.
Для работы аварийного переключателя вредоносная программа должна иметь возможность связываться с доменом аварийного переключателя. Поскольку в интересах всех возможностей остановить вредоносное ПО, Fortinet решила не относить домен аварийного отключения к вредоносным. Однако в отчетах от 14 мая th , 2017 была выявлена версия вредоносной программы, которая обходит аварийный выключатель, что делает его неэффективным средством смягчения последствий.
На самом деле, аварийный переключатель теперь кажется устаревшим, поскольку атака все еще продолжается, и образцы из этих новых волн включают разные доменные имена, или некоторые вообще не включают аварийный переключатель доменного имени.
FortiGuard Labs активно работает с нашими партнерами по CTA, чтобы делиться информацией об угрозах и гарантировать, что все организации имеют точную информацию, чтобы гарантировать их защиту от этой активной угрозы.
Fortinet предоставляет две основные сигнатуры IPS для обнаружения атак.Их:
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
(выпущен 14 марта -го , 2017, обновлен 10 мая -го , 2017)
Бэкдор.Double.Pulsar
(выпущено 27 февраля -го , 2017, обновлено 1 мая -го , 2017)
В
движках Fortinet Anti-Malware / Anti-Virus предусмотрены интеллектуальные сигнатуры для обнаружения вредоносных программ, а также модели на основе поведения для обнаружения возможных новых вариантов.
Сигнатуры AV:
W32 / Агент.AAPW! Tr
W32 / CVE_2017_0147.A! Tr
W32 / Farfli.ATVE! Tr.bdr
W32 / Filecoder_WannaCryptor.B! Tr
W32 / Filecoder_WannaCryptor.D! Tr
W32 / Gen.DKT! Tr
W32 / Gen.DLG! Tr
W32 / GenKryptik.1C25! Tr
W32 / Generic.AC.3EF991! Tr
W32 / Scatter.B! Tr
W32 / Wanna.A! Tr
W32 / Wanna.D! Tr
W32 / WannaCryptor.B! Tr
W32 / WannaCryptor.D! Tr
W32 / Запчасть.D! Tr
Обратите внимание, что некоторые сигнатуры AV требуют настройки устройств FortiGate с использованием расширенных определений антивируса. В своем устройстве FortiGate вам нужно выбрать систему, FortiGuard, а затем включить расширенный AV и расширенный IPS, если они доступны. Не волнуйтесь, если это не так. Многие из наших устройств используют это как параметр по умолчанию.
Если вредоносному ПО разрешено выполнение, оно выполнит команду icacls. / grant Everyone: F / T / C / Q, что дает полные права доступа ко всем файлам и папкам, в которых хранится вредоносная программа.Кроме того, вредоносная программа очищает теневые копии Windows, отключает восстановление при запуске Windows и очищает журнал резервного копирования Windows Server.
После этого шифровальщик выполнит и сделает файлы недоступными. После запуска программы-вымогателя пользователи получают предупреждающее сообщение, аналогичное показанному ниже.
Программа-вымогатель также сбросит файл с именем ! Пожалуйста, прочтите меня! .Txt с дальнейшими инструкциями. Имя файла может незначительно изменяться при каждом заражении.
Возможность быстрого и легкого заработка с помощью программ-вымогателей позволяет легко понять, почему они остаются чрезвычайно прибыльными для злоумышленников. Сколько пользователей платят выкуп? Трудно сказать, потому что авторы вредоносных программ используют несколько биткойн-кошельков, чтобы скрыть свои следы, и постоянно переводят биткойны в эти кошельки и из них.
После заражения жертвы могут попытаться восстановить свои файлы с помощью резервных копий или других методов или заплатить выкуп. Ниже приведены ссылки на три сайта с блокчейнами, которые дают некоторую информацию о собранных выкупах.На момент написания стоимость 1 биткойна эквивалентна 1784,90 доллара.
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Всего получено: 9.41458497 BTC
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Всего получено: 5.17934856 BTC
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Всего получено: 7.1629281 BTC
15zGqZCTcys6eCjDkE3DypCjXi6QWRV6V1
Всего получено: 1.09469717 BTC
С помощью только этих трех кошельков, связанных с Wannacry, программа-вымогатель собрала у жертв более 38 833,82 доллара США.
В поисках вредоносного ПО
Структура безопасности Fortinet может значительно помочь организациям в отслеживании этого вредоносного ПО и определении того, где оно могло заразить организацию.
МОК:
Наблюдаемые IP-адреса C&C
188 [.] 166 [.] 23 [.] 127: 443
193 [.] 23 [.] 244 [.] 244: 443
2 [.] 3 [.] 69 [.] 209: 9001
146 [.] 0 [.] 32 [.] 144: 9001
50 [.] 7 [.] 161 [.] 218: 9001
217.79.179 [.] 77
128.31.0 [.] 39
213,61,66 [.] 116
212.47.232 [.] 237
81.30.158 [.] 223
79.172.193 [.] 32
89.45.235 [.] 21
38.229.72 [.] 16
188.138.33 [.] 220
Наблюдаемые хэш-значения SHA-256
0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894 |
2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d |
4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 |
b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 |
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa |
f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494 |
593bbcc8f34047da9960b8456094c0eaf69caaf16f1626b813484207df8bd8af |
5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec |
5d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9 |
6bf1839a7e72a92a2bb18fbedf1873e4892b00ea4b122e48ae80fac5048db1a7 |
7108d6793a003695ee8107401cfb17af305fa82ff6c16b7a5db45f15e5c9e12d |
76a3666ce9119295104bb69ee7af3f2845d23f40ba48ace7987f79b06312bbdf |
78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df |
7c465ea7bcccf4f94147add808f24629644be11c0ba4823f16e8c19e0090f0ff |
7e369022da51937781b3efe6c57f824f05cf43cbd66b4a24367a19488d2939e4 |
9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640 |
9cc32c94ce7dc6e48f86704625b6cdc0fda0d2cd7ad769e4d0bb1776903e5a13 |
9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977 |
a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740 |
aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c |
b3c39aeb14425f137b5bd0fd7654f1d6a45c0e8518ef7e209ad63d8dc6d0bac7 |
b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0 |
b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4 |
b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 |
be22645c61949ad6a077373a7d6cd85e3fae44315632f161adc4c99d5a8e6844 |
c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9 |
ca29de1dc8817868c93e54b09f557fe14e40083c0955294df5bd91f52ba469c8 |
d8a9879a99ac7b12e63e6bcae7f965fbf1b63d892a8649ab1d6b08ce711f7127 |
dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696 |
e14f1a655d54254d06d51cd23a2fa57b6ffdf371cf6b828ee483b1b1d6d21079 |
e8450dd6f908b23c9cbd6011fe3d940b24c0420a208d6924e2d920f92c894a96 |
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa |
eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb |
f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494 |
Примите участие в нашем еженедельном обзоре FortiGuard Threat Intelligence.
.
Не хочешь плакать? 5 простых советов, как защитить себя от программ-вымогателей — RT Viral
Новая агрессивная разновидность программ-вымогателей выключает операционные компьютеры Windows по всему миру. Хотя вирус, известный как WannaCry, уже заразил более 75 000 компьютеров в 99 странах, на самом деле защитить свои цифровые данные не так уж и сложно.
ЖИВЫЕ ОБНОВЛЕНИЯ: Массовые кибератаки поражают компьютерные системы по всему миру
Последняя версия программы-вымогателя использует асимметричное шифрование для хранения информации о цели с целью выкупа с использованием пары ключей, уникально созданных злоумышленником для жертвы.Злоумышленник делает закрытый ключ доступным для жертвы только после уплаты выкупа — или, скорее всего, не делает этого.
Вот несколько простых шагов, которые помогут защитить вашу машину и ваши файлы от попадания в заложники онлайн-мошенников.
# 0 Патч!
Специалисты по безопасности советуют сразу же установить исправление Microsoft — MS17-010. После установки обязательно перезагрузите систему.
Патч, закрывающий бэкдор, используемый WannaCry для проникновения в систему, был выпущен Microsoft 14 марта — по-видимому, вскоре после того, как АНБ стало известно, что его эксплойт был украден, и примерно за месяц до того, как хакерская группа Shadow Brokers раскрыла его. мир.
Что касается сегодняшнего кошмара программ-вымогателей, это очень плохо. Примените MS17-010 немедленно и срочно!
— Райан Нарайн (@ryanaraine) 12 мая 2017 г.
В целом исправление вашей системы и установка регулярных обновлений Microsoft должны защитить обычного пользователя ПК от нежелательных уязвимостей.
# 1 Осторожно!
Как и многие другие программы-вымогатели, вирус может проникнуть в систему не только через уязвимость Windows, но и через фишинговую атаку «спрей-не-молиться», которая включает рассылку пользователям спама электронных писем, содержащих вредоносные вложения.Злоумышленники также могут заставить жертву щелкнуть URL-адрес, по которому вредоносная программа будет готова проникнуть на ваш компьютер.
Поскольку программа-вымогатель нацелена на обычных пользователей Интернета, предприятий и поставщиков государственных услуг, любые лица или организации, которым требуется постоянный доступ к их системам, должны быть особенно осторожны, какие сайты они посещают и какие вложения открывают.
# 2 Резервное копирование!
Чтобы защитить себя от того, чтобы быть заложником похитителей данных, настоятельно рекомендуется регулярно создавать безопасные резервные копии важных данных.Однако простого резервного копирования недостаточно, поскольку требуется физическое отключение запоминающего устройства, чтобы избежать его заражения программами-вымогателями. Облачное хранилище — еще один вариант использования, но он делает ваши данные уязвимыми для всех других видов атак.
# 3 Не платите выкуп!
Это довольно просто — нет гарантии, что жертвы получат свои данные обратно, даже если они догнали кибер-преступники, требующие от них денег. Кроме того, нет никакой гарантии, что злоумышленники не нанесут вам еще один удар или не потребуют большего.
# 4 Установите антивирус (хотя бы пробную версию)!
Воспользуйтесь средством удаления программ-вымогателей вашего антивирусного ПО, которое должно сканировать и устранять любые попытки программ-вымогателей, обнаруженных на вашем компьютере.
Подробнее
Большинство платных подписок используют защиту в реальном времени для удержания клиентов. Даже если программа-вымогатель обойдет ваш антивирус, велика вероятность, что в течение короткого времени автоматическое обновление антивируса очистит вашу систему от злоумышленника.Большинство антивирусных компаний предлагают бесплатные пробные версии для тестирования перед подпиской на платную услугу, чего должно быть достаточно, если нужно срочно удалить шальное вредоносное ПО.
Программы-вымогатели, известные как WannaCry, Wanna или Wcry, в пятницу устроили глобальную кибер-инфекцию, заразив не менее 75 000 компьютеров как минимум в 99 странах. Вредоносная программа, адаптированная для многоязычной платформы, вызвала полный паралич данных в банках, больницах и поставщиках телекоммуникационных услуг, в первую очередь в Великобритании, Испании и Германии.
Вирус требует выкуп в биткойнах от 300 до 600 долларов до 15 мая, чтобы разблокировать доступ к данным, находящимся в заложниках. Широко распространено мнение, что вредоносная программа была разработана на основе эксплойта нулевого дня Агентства национальной безопасности, о котором в прошлом месяце просочилась хакерская группа Shadow Brokers.
.