Обновления Microsoft (MS17-010) от уязвимостей, эксплуатируемых Wana Decrypt0r 2.0
Wana Decrypt0r 2.0 (WNCRY) — это вредоносная программа (вирус-шифровальщик), которая использует эксплоит ETERNALBLUE использующий уязвимости в SMBv1 (MS17-010) для доставки вредоносного кода на операционные системы Windows.
Вирус зашифровывает все файлы на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое. Подвержены опасности компьютеры, напрямую подключенные к Интернету (без NAT/firewall), также есть случаи заражения через UPnP конечных компьютеров (пользователь заходит на зараженный сайт/скачивает вирус, тот заражает компьютер, а затем распространяется тем же методом по локальной сети).
Ниже представлены ссылки с сайта Microsoft на патч MS17-010, который закроет уязвимость. Выберите нужную операционную систему, затем нажмите на ссылку. На Ваш компьютер загрузится патч для Вашей версии операционной системы. Запустите патч и следуйте указаниям ОС. После установки патча перезагрузите компьютер.
Windows XP x86:
Windows XP x64:
Windows Server 2003 x86:
Windows Server 2003 x64:
Windows Vista x86:
Windows Vista x64:
Windows Server 2008 x86:
Windows Server 2008 x64:
Windows 7 x86:
Windows 7 x64:
Windows Server 2008 R2:
Windows 8 x86:
Windows 8 x64:
Windows Server 2012:
Windows 8.1 x86:
Windows 8.1 x64:
Windows Server 2012 R2:
Windows 10 x86:
Windows 10 x64:
Windows 10 (1511) x86:
Windows 10 (1511) x64:
Windows 10 (1607) x86:
Windows 10 (1607) x64:
Windows Server 2016:
Надеемся, что данная статья была Вам полезна!
Патч MS17-010 для исправления уязвимости Windows, используемой WannaCry и Petya
Обновление для системы безопасности MS17-010 устраняет уязвимость сервера SMB, используемую в атаке шифровальщика WannaCry и Petya.
Установка MS17-010 не требуется
Установка патча не требуется, если у вас включено автоматическое обновление Windows, и установлены последние обновления после 14 марта 2017 года для следующих операционных систем:
Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016
Проверьте последние обновления системы в Центре обновления Windows:
- Для Windows Vista, 7, 8.1 в меню Пуск откройте Панель управления > Центр обновления Windows и нажмите «Поиск обновлений».
- Для Windows 10 перейдите в меню Параметры > Обновление и безопасность и нажмите «Проверка наличия обновлений».
Последние обновления для Windows 10 версии 1703 (Creators Update): KB4016871 (15063.296), для Windows 10 версии 1607 (Anniversary Update): KB4019472 (14393.1198)
Установка MS17-010 требуется
Поддерживаемые Microsoft системы
Установка патча требуется, если у вас отключено автоматическое обновление Windows, и вы не устанавливали обновления до 14 марта 2017 года для следующих операционных систем:
Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016
Неподдерживаемые Microsoft системы
Требуется установка обновления KB4012598, если у вас следующие операционные системы:
Windows 8, Windows XP SP3, Windows XP SP2 64-bit, Windows Server 2008 for Itanium-based Systems, Windows Vista, Windows Server 2008, Windows XP Embedded, Windows Server 2003, Windows Server 2003 Datacenter Edition.
Защита Windows от вируса-шифровальщика Wana Decrypt0r
Вероятно, из СМИ, все уже в курсе, что 12 мая по всему миру зафиксированы массовые заражения ОС Windows вирусом-шифровальщиком Wana decrypt0r 2.0 (WannaCry, WCry). Для атаки используется довольно свежая уязвимость в протоколе доступа к общим файлам и принтерам — SMBv1. После заражения компьютера, вирус шифрует некоторые файлы (документы, почту, файлы баз) на жестком диске пользователя, меняя их расширения на WCRY. За расшифровку файлов вирус-вымогатель требует перевести 300$. Под угрозой в первую очередь находятся все ОС Windows, на которых отсутствует исправляющее уязвимость обновление, с включенным протоколом SMB 1.0, напрямую подключенные к Интернету и с доступным извне портом 445. Отмечались и другие способы проникновения шифровальщика в системы (зараженные сайты, рассылки). После попадания вируса внутрь периметра локальной сеть, он может распространяться автономно, сканируя уязвимые хосты в сети.
Обновления безопасности Windows для защиты от WannaCry
Уязвимость в SMB 1.0, эксплуатируемая вирусом, исправлена в обновлениях безопасности MS17-010, выпущенных 14 марта 2017 года. В том случае, если ваши компьютеры регулярно обновляются через Windows Update или WSUS, достаточно проверить наличие данного обновления на компьютере как описано ниже.
| Vista, Windows Server 2008 | wmic qfe list | findstr 4012598 |
| Windows 7, Windows Server 2008 R2 | wmic qfe list | findstr 4012212 или wmic qfe list | findstr 4012215 |
| Windows 8.1 | wmic qfe list | findstr 4012213 или wmic qfe list | findstr 4012216 |
| Windows Server 2012 | wmic qfe list | findstr 4012214 или wmic qfe list | findstr 4012217 |
| Windows Server 2012 R2 | wmic qfe list | findstr 4012213 или wmic qfe list | findstr 4012216 |
| Windows 10 | wmic qfe list | findstr 4012606 |
| Windows 10 1511 | wmic qfe list | findstr 4013198 |
| Windows 10 1607 | wmic qfe list | findstr 4013429 |
| Windows Server 2016 | wmic qfe list | findstr 4013429 |
В том случае, если команда возвращает подобный ответ, значит патч, закрывающий уязвимость, у вас уже установлен.
ttp://support.microsoft.com/?kbid=4012213 MSK-DC2 Security Update KB4012213 CORP\admin 5/13/2017
Если команда ничего не возвращает, нужно скачать и установить соответствующее обновления. В том случае, если установлены апрельские или майские обновления безопасности Windows (в рамках новой накопительной модели обновления Windows), ваш компьютер также защищен.
Стоит отметить, что, несмотря на то что Windows XP, Windows Server 2003, Windows 8 уже сняты с поддержки, Microsoft оперативно выпустило обновление и дня них.
Совет. Прямые ссылки на патчи для исправления уязвимости под снятые с поддержки системы:
Windows XP SP3 x86 RUS — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP3 x86 ENU — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Windows XP SP2 x64 RUS — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows XP SP2 x64 ENU — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 x86 RUS — http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x86 ENU — http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
Windows Server 2003 x64 RUS – http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2003 x64 ENU — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 8 x86 — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64 — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Отключение SMB v 1.0
Простым и действенным способом защиты от уязвимости является полное отключение протокола SMB 1.0 на клиентах и серверах. В том случае, если в вашей сети не осталось компьютеров с Windows XP или Windows Server 2003, это можно выполнить с помощью команды
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Статус атаки WCry
По последней информации, распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Как оказалось, в коде вирус была зашито обращение к этому домену, при отрицательном ответе вирус начинал шифрование документов. Судя по всему, таким способо разработчики оставили для себе возможность быстро приостановить распространение вируса. Чем воспользовался один из энтузиастов.
Естественно, авторам вируса ничего не мешает написать свежую версию своего творения под эксплойт ETERNALBLUE, и он продолжит свое черное дело. Таким образом, для предотвращения атак Ransom:Win32.WannaCrypt необходимо установить нужные обновления (и устанавливать их регулярно), обновить антивирусы, отключить SMB 1.0 (если применимл), и не открывать без необходимости порт 445 в Интернет.
И еще приведу ссылки на полезные статьи, позволяющие минимизировать вред и вероятность атаки шифровальщиков в Windows системах: