В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"
Атака наблюдается в разных сетях совершенно никак не связанных между с собой.
Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.
Связавшись с бывшими коллегами я был удивлен похожими историями.
Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.
Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.
И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".
Nmap не находит открытых портов. Вывод nmap показывает что даже в этом случае некоторые порты открыты наружу по умолчанию:
Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
135/tcp open msrpc
445/tcp open microsoft-ds
49154/tcp open unknownЕдинственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают
UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.
Патчи для исправления этой уязвимости можно скачать на официальном сайте:
Microsoft Security Bulletin MS17-010
https://technet.microsoft.com/en-us/library/security/ms17-010.aspxПатч, для старых систем (Windows XP, Winows Server 2003R2)
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в коммандной строке:
dism /online /norestart /disable-feature /featurename:SMB1ProtocolУстановить патчи при этом все равно рекомендуется
UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:
Перейдите по ссылке выше (
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
Откройте
cmd.exe (коммандную строку)
Напишите:
wmic qfe list | findstr 4012212 Нажмите
Enter Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно: http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше.
UPD3: В интернете находятся интересные подробности по данному инциденту:
Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
Автор
Тема: Масштабна кібератака у світі: новий вірус поширюється з "пекельною швидкістю" (Прочитано 20805 раз)