Патч MS17-010 для исправления уязвимости Windows, используемой WannaCry и Petya
Обновление для системы безопасности MS17-010 устраняет уязвимость сервера SMB, используемую в атаке шифровальщика WannaCry и Petya.
Установка MS17-010 не требуется
Установка патча не требуется, если у вас включено автоматическое обновление Windows, и установлены последние обновления после 14 марта 2017 года для следующих операционных систем:
Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016
Проверьте последние обновления системы в Центре обновления Windows:
- Для Windows Vista, 7, 8.1 в меню Пуск откройте Панель управления > Центр обновления Windows и нажмите «Поиск обновлений».
- Для Windows 10 перейдите в меню Параметры > Обновление и безопасность и нажмите «Проверка наличия обновлений».
Последние обновления для Windows 10 версии 1703 (Creators Update): KB4016871 (15063.296), для Windows 10 версии 1607 (Anniversary Update): KB4019472 (14393.1198)
Установка MS17-010 требуется
Поддерживаемые Microsoft системы
Установка патча требуется, если у вас отключено автоматическое обновление Windows, и вы не устанавливали обновления до 14 марта 2017 года для следующих операционных систем:
Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016
Неподдерживаемые Microsoft системы
Требуется установка обновления KB4012598, если у вас следующие операционные системы:
Windows 8, Windows XP SP3, Windows XP SP2 64-bit, Windows Server 2008 for Itanium-based Systems, Windows Vista, Windows Server 2008, Windows XP Embedded, Windows Server 2003, Windows Server 2003 Datacenter Edition.
База знаний
Try 2 Fix beta
WannaCry: Автономные пакеты обновления Microsoft MS17-010
Про сам шифровальщик не слышал только мёртвый, поэтому без лишних слов ссылки на автономные пакеты обновлений Microsoft, закрывающие дыру, которую эксплуатирует WannaCry. Однако это не гарантирует 100% защиты.
P.S. Забавно, что на 9 клиентских серверах и нескольких ПК я запустил простой поиск обновлений (через Панель управления > Центр обновления Windows), и ни на одном из них эти обновления не загрузились сами.
Чтобы проверить, стоит ли у Вас это обновление, перейдите в Панель управления > Центр обновления Windows > Просмотр журнала обновлений (Win 7, 8, Server 2008R2, 2012R2) или Параметры > Обновления и безопасность > Журнал обновлений (Win 10). В этом окне найдите в списке установленных (начиная с 10 мая 2017 года) обновление с нужным номером в конце (например, для Windows 7 x64 это будет KB4012212). Состояние или статус — Успех. Если такого обновления нет, загрузите его по ссылкам ниже. Номера KB можно узнать там же.
Windows 7 x32
March, 2017 Security Only Quality Update for Windows 7 (KB4012212)
http://download.windowsupdate.com/…
Windows 7 x64
March, 2017 Security Only Quality Update for Windows 7 for x64-based Systems (KB4012212) http://download.windowsupdate.com/…
Windows Server 2008 R2 x64
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212) http://download.windowsupdate.com/…
Windows 8.1 x32
March, 2017 Security Only Quality Update for Windows 8.1 (KB4012213)
http://download.windowsupdate.com/…
Windows 8.1 x64
March, 2017 Security Only Quality Update for Windows 8.1 for x64-based Systems (KB4012213) http://download.windowsupdate.com/…
Windows Server 2012 R2 x64
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213) http://download.windowsupdate.com/…
Патчи для разных версий Windows 10 не совпадают! Будьте внимательны!
Чтобы узнать, какая у вас версия Windows 10, в поиске (лупа около меню пуск) наберите команду
и в открывшемся окне Вы увидите номер Вашей версии Windows 10.
Windows 10 x32
Cumulative Update for Windows 10 (KB4012606)
http://download.windowsupdate.com/…
Windows 10 x64
Cumulative Update for Windows 10 for x64-based Systems (KB4012606)
http://download.windowsupdate.com/…
Windows 10 1511 x32
Cumulative Update for Windows 10 Version 1511 (KB4013198)
http://download.windowsupdate.com/…
Windows 10 1511 x64
Cumulative Update for Windows 10 Version 1511 for x64-based Systems (KB4013198) http://download.windowsupdate.com/…
Windows 10 1607 x32
Cumulative Update for Windows 10 Version 1607 (KB4013429)
http://download.windowsupdate.com/…
Windows 10 1607 x64
Cumulative Update for Windows 10 Version 1607 for x64-based Systems (KB4013429) http://download.windowsupdate.com/…
Windows Server 2016 x64
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)
http://download.windowsupdate.com/…
Эти статьи будут Вам интересны
КриптоПро: Узнать ключ установленной программы в реестре
Многие из наших клиентов до сих пор пользуются версией КриптоПро CSP 3.6, в которой лицензионный ключ был спрятан от глаз пользователей (в отличие от последних версий Крипто-Про). При переустановке системы всегда возникает проблема с поиском документов на приобретение, а соответственно и ключ найти не всегда удаётся. Поэтому мы рассказываем, как напомнить себе, какой же у Вас ключ от КриптоПро CSP.
Конвертация таблицы разделов HDD/SSD с GPT в MBR и наоборот
Операцию по смене таблицы разделов накопителей HDD или SSD нельзя назвать повседневной, но иногда этим приходится заниматься. Расскажем, как конвертировать таблицу разделов при установке OS Windows.
Ярлыки вместо файлов на флешке. Recycler
Взрыв из прошлого! Не думали, что в 2018 году понадобится эта инструкция, но мы ошибались! На наших клиентов напал старый добрый зловред, который скрывает все файлы и папки на флешке, превращая их в ярлыки! Не торопитесь форматировать или выкидывать флешку, все Ваши файлы на месте!
База знаний «Try 2 Fix» Beta
Все материалы свободны
к распространению с обязательным
указанием источника
Wanna Cry патч для защиты от вируса WannaCry для Windows 7/10
12 мая около 13:00 началось распространение вируса Wana Decryptor. Практически за пару часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.
Свыше 40 тысяч взломов в 74 странах — интернет-пользователи по всему миру стали свидетелями самой масштабной в истории кибератаки. В списке пострадавших не только обычные люди, но также серверы банков, телекоммуникационных компаний и даже силовых ведомств.
Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России. К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать восстановить зашифрованные файлы используя такие программы как ShadowExplorer и PhotoRec.
Wanna Cry как защититься и как распространяется
Официальные патчи от Microsoft для защиты от вируса Wanna Cry:
Как защититься от вируса Wanna Cry
Защитится от вируса Wanna Cry можно скачав патч для вашей версии Windows.
Единственный антивирус, который находит вирус: ESET NOD32
Как распространяется Wanna Cry
Распространяется Wanna Cry:
- через файлы
- почтовые сообщения.
Как сообщается российскими СМИ, работа отделений МВД в нескольких регионах России нарушена из-за шифровальщика, поразившего множество компьютеров и грозящего уничтожить все данные. Кроме того, атаке подверглись оператор связи «Мегафон».
Речь идет о трояне-вымогателе WCry (WannaCry или WannaCryptor). Он шифрует информацию на компьютере и требует заплатить выкуп в размере 300 или 600 долларов биткоинами за расшифровку.
Также на форумах и в социальных сетях о заражениях сообщают обычные пользователи:
@[email protected], зашифрованы файлы, расширение WNCRY. Требуется утилита и инструкция по дешифровке.
WannaCry зашифровывает файлы и документы со следующими расширениями, добавляя .WCRY в конце названия файла:
.lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx
Атака WannaCry по всему миру
Атаки зафиксированы в более 100 стран. Россия, Украина и Индия испытывают наибольшие проблемы. Сообщения о заражении вирусом поступают из Великобритании, США, Китая, Испании, Италии. Отмечается, что атака хакеров затронула больницы и телекоммуникационные компании по всему миру. В интернете доступна интерактивная карта распространения угрозы WannaCrypt.
ак происходит заражение
WannaCry (WanaDecryptor): Технические детали заражения
Как рассказывают пользователи, вирус попадает на их компьютеры без каких-либо действий с их стороны и бесконтрольно распространяется в сетях. На форуме «Лаборатории Касперского» указывают, что даже включенный антивирус не гарантирует безопасности.
Сообщается, что атака шифровальщика WannaCry (Wana Decryptor) происходит через уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик. Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen.
Предположительно заражение произошло несколькими днями ранее, однако вирус проявил себя только после того, как зашифровал все файлы на компьютере.
Как удалить WanaDecryptor
Вы сможете удалить угрозу с помощью антивируса, большинство антивирусных программ уже обнаруживают угрозу. Распространенные определения:
Avast Win32:WanaCry-A [Trj], AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Ransom:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry
Если вы уже запустили угрозу на компьютере и ваши файлы были зашифрованы, расшифровка файлов практически невозможна, так как при эксплуатации уязвимости запускается сетевой шифратор. Однако, уже доступно несколько вариантов инструментов дешифрования:
Инструменты дешифрования WannaCry (WanaDecryptor)
Примечание: Если ваши файлы были зашифрованы, а резервная копия отсутствует, и существующие инструменты дешифрования не помогли, то рекомендуется сохранить зашифрованные файлы перед тем как выполнить очистку угрозы на компьютере. Они пригодятся, если в будущем будет создан работающий у вас инструмент дешифрования.
Рекомендации по защите
Microsoft: Установите обновления Windows
Microsoft заявила, что пользователи с бесплатным антивирусом компании и включенной функцией обновления системы Windows будут защищены от атак WannaCryptor.
Обновления от 14 марта закрывают уязвимость систем, через которую распространяется троян-вымогатель. Сегодня было добавлено обнаружение в антивирусные базы Microsoft Security Essentials / Защитника Windows для защиты от новой вредоносной программы известной как Ransom:Win32.WannaCrypt.
Общие рекомендации
Убедитесь, что антивирус включен и установлены последние обновления.
Установите бесплатный антивирус, если на компьютере нет никакой защиты.
Установите последние обновления системы в Центре обновления Windows:
Для Windows 7, 8.1 в меню Пуск откройте Панель управления > Центр обновления Windows и нажмите «Поиск обновлений».
Для Windows 10 перейдите в меню Параметры > Обновление и безопасность и нажмите «Проверка наличия обновлений»..
Если вы устанавливаете обновления вручную, установите официальный патч MS17-010 от Microsoft, который закрывает уязвимость сервера SMB, используемую в атаке шифровальщика WanaDecryptor.
Если в вашем антивирусе есть защита от шифровальщиков, включите ее. На нашем сайте также есть отдельный раздел Защита от шифровальщиков, где вы можете скачать бесплатные инструменты.
Выполните антивирусное сканирование системы.
Как закрыть порт 445
Эксперты отмечают, что самый простой способ обезопасить себя от атаки — это закрыть порт 445.
Как закрыть порт 445
Запустите Командную строку (cmd.exe) от имени администратора
Введите sc stop lanmanserver и нажмите Enter
Введите для Windows 10: sc config lanmanserver start=disabled, для других версий Windows: sc config lanmanserver start= disabled и нажмите Enter
Перезагрузите компьютер
В командной строке введите netstat -n -a | findstr «LISTENING» | findstr «:445», чтобы убедиться, что порт отключен. Если будут пустые строчки, порт не прослушивается.
Как закрыть порт 445
При необходимости открыть порт обратно:
Запустите Командную строку (cmd.exe) от имени администратора
Введите для Windows 10: sc config lanmanserver start=auto, для других версий Windows: sc config lanmanserver start= auto и нажмите Enter
Перезагрузите компьютер
Примечание: Порт 445 используется Windows для совместной работы с файлами. Закрытие этого порта не мешает соединению ПК с другими удаленными ресурсами, однако другие ПК не смогут подключиться к данной системе.
Лечение от Wanna Cryptor
Эпидемия шифратора WannaCry: что сделать для избежания заражения. Пошаговое руководство
Вечером 12 мая была обнаружена масштабная атака вымогателя WannaCryptor (WannaCry), который шифрует все данные на ПК и ноутбуках под управлением ОС Windows. В качестве выкупа за расшифровку программа требует 300 долларов в биткоинах (около 17 000 рублей).
Основной удар пришелся на российских пользователей и компании. На данный момент WannaCry успел поразить около 57 000 компьютеров, включая корпоративные сети МВД, РЖД и “Мегафона”. Также об атаках на свои системы сообщили Сбербанк и Минздрав.
Рассказываем, что прямо сейчас надо сделать для избежания заражения.
1. Шифратор эксплуатирует уязвимость Microsoft от марта 2017 года. Для минимизации угрозы необходимо срочно обновить свою версию Windows:
Пуск — Все программы — Центр обновления Windows — Поиск обновлений — Загрузить и установить
2. Даже если система не была обновлена и WannaCry попал на компьютер — и корпоративные, и домашние решения ESET NOD32 успешно детектируют и блокируют все его модификации.
3. В продуктах https://www.esetnod32.ru/home/ ESET NOD32 для Windows предусмотрена функция проверки обновлений операционной системы. Если она включена и все обновления Windows установлены, система защищена от WannaCryptor и подобных атак.
4. Решения ESET защищают даже устройства на устаревших системах Windows XP, Windows 8 и Windows Server 2003 (но от их использования мы все-таки рекомендуем отказаться).
В связи с высоким уровнем угрозы Microsoft также выпустила обновления для этих ОС. Загрузить их можно здесь.
5. Для детектирования еще неизвестных угроз в наших продуктах используются поведенческие, эвристические технологии. Если вирус ведет себя как вирус — скорее всего, это вирус. Так, облачная система ESET LiveGrid успешно отражала атаку с 12 мая, еще до обновления сигнатурных баз.
Подробнее о рекомендуемых настройках системы эвристики можно узнать здесь: https://www.esetnod32.ru/landing/noransom/
Как правильно называется вирус Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r?
С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r, основным отличием которого было способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.
Но все же основным именем является Wana Decrypt0r, хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor.
И последним именем, под которым часто называют этот вирус-шифровальщик пользователи — это WNCRY вирус, то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.
Чтoбы минимизиpoвaть pиcк пoпaдaния виpуca Wanna crу нa кoмпьютepы cпeциaлиcты «Лaбopaтopии Kacпepcкoгo» coвeтуют уcтaнoвить вce вoзмoжныe oбнoвлeния нa тeкущую вepcию Windows. Дeлo в тoм, чтo вpeдoнocнaя пpoгpaммa пopaжaeт тoлькo тe кoмпьютepы, кoтopыe paбoтaют нa этoм ПO.
Вирус Wanna Cry: Как распространяется
Ранее, мы упоминали об этом способе распространения вирусов в статье о безопасном поведении в интернете, так что – ничего нового.
Wanna Cry распространяется следующим образом: На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные, об этом информирует therussiantimes.com.
Вирус Wanna Cry: описание вируса
Wanna Cry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится не возможным.
На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию Wanna Cry:
Популярные файлы Microsoft Office (.xlsx, , передает therussiantimes.com.xls, .docx, .doc).
Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).
WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе — Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно. За расшифровку программа требует «выкуп» в размере от 300 до 600 долларов. К слову, в настоящее время на счета хакеров, по данным The Guardian, поступило уже более 42 тысяч долларов.
Источники: