Анализ шифровальщика Wana Decrypt0r 2.0

Новость последних дней, всколыхнувшая всё на свете — вирусная атака Wanna Decrypt0r. Штука резкая и беспощадная. Так что если вам посчастливилось не словить её, а операционку вы давное не обновляли, то срочно ставте последнии security updates . Заодно можно вручную на всякий случай заблокировать порты по которым шифровальщик пробирается к своим жертвам.

Подробнее про вирус, его работу, распространение, и доходность можно узнать тут:

Анализ шифровальщика Wanna Decrypt0r 2.0 на хабре

Ransomware day: массовое заражение Wana Decrypt0r на хабре

Защитные меры

В качестве средств защиты рекомендуется срочно обновить Windows системы (если вы этого еще по каким-то причинам не сделали), использовать средства обнаружения и блокирования атак — firewall и т.д.

Например это можно сделать с помощью следующих команд:

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Команды блокируют доступ к TCP портам 135 и 445. Именно через них вирус распространяется в локальных сетях.

Кстати, из хороших новостей — Текла Файлы эта штука не шифрует. А вот DWG и 3ds очень даже. Еще один повод моделировать с помощью Tekla Structures.

UPD 1

https://geektimes.ru/post/289115/ — Актуальная информация на тему вируса. Собственно инфа ниже как раз оттуда.

Оффициальные патчи для win 7 закрывающие уязвимость к WannaCry

Windows 7 x86:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7 x64:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Патч для пиратских версий win7 чтобы не вылетал синий экран после установки патчей от wannaCry:

https://forum.simplix.ks.ua/viewtopic.php?id=536

Проверка наличия патча закрывающего уязвимость WannaCry

  • Перейдите по ссылке выше и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
  • Откройте cmd.exe (командную строку)
  • Напишите:
    wmic qfe list | findstr 4012212
  • Нажмите Enter
  • Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
    http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
  • Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
  • Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше или по прямой ссылке из UPD9

 

UPD 2: WannaCry vs. Adylkuzz: кто кого опередил?

Оказывается был еще один вирус эксплуатирующий ту же уязвимость. И судя по всему от него пострадало куда больше компьютеров. Одна из причин успеха в стратегии монетизации — adylkuzz майнит крипто-валюту monero с помощью своих жертв. Подробнее:

https://habrahabr.ru/post/328932/

https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar