Ransom Win32.WannaCrypt, он же Wanna Cry

Ransom Win32.WannaCrypt, он же Wanna Cry или просто WCry - новый шифровальщик, использующий старую уязвимость SMBv1. Атаковал десятки тысяч компьютеров по всему миру, пик атак пришелся на 12.05.2017.

В России были атакованы Минздрав, МЧС, МВД, РЖД, Сбербанк и Мегафон. Затем атаки были приостановлены с помощью регистрации сайта iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, указанного в коде вируса. Эксперты предполагают, что это только первая волна и будут другие. Значит нужно внимательно изучить ситуацию и защититься, чтобы потом не "захотелось рыдать".


Лирическое отступление

Первое, что повеселило: на сайтах Касперского и DrWeb всё тихо-спокойно, никаких предупреждений, никакой информации.

Ransom Win32.WannaCrypt, он же Wanna Cry
Ransom Win32.WannaCrypt, он же Wanna Cry

И даже если воспользоваться поиском, ничего вы не найдёте, переспрашивают про какую-то Анну:

Ransom Win32.WannaCrypt, он же Wanna Cry

У людей всё хорошо, антивирус продаётся, а по субботам работать вообще не кошерно.

Ransom Win32.WannaCrypt, он же Wanna Cry

Наверняка какой-нибудь очень умный человек мне возразит, ты же не зашёл на форум, а там как раз на 44 странице есть тема с подробным обсуждением, ну или типа того, отвечу - произошла массовая атака, поражены крупные инфраструктурные узлы, на главной странице должен висеть баннер с варнингом, как минимум.

Ransom Win32.WannaCrypt, он же Wanna Cry

Второе, масштабы. Около 1000 компьютеров только в ГИБДД. 1000, Карл! Инфа с Mail.ru:

"..В некоторых регионах России прекратили выдавать водительские права и ставить на учет автомобили.."

Ransom Win32.WannaCrypt, он же Wanna Cry

А на скриншоте ранее - "..оказание услуг в штатном режиме.."(сказала она).

Как после этого верить, что мы непобедимы и у нас всё под контролем? Где голова у руководящих чиновников, где их системные администраторы, кто их системные администраторы, ну и много других вопросов. Видимо сейчас появятся рабочие места.


По делу

Очень толковая заметка на Atraining. Понравилось "Как выглядит вирус?". Бгг. 🙂

Ну и собственно обладателям ОС на поддержке волноваться нечего, соответствующие обновления были выпущены аж 14 марта 2017, о чём сказано в Microsoft Security Bulletin MS17-010 - Critical. Апдейты покрывают все ОС начиная с Vista и выше.

Ransom Win32.WannaCrypt, он же Wanna Cry

Волноваться нужно тем, у кого XP и Windows Server 2003. Хотя Microsoft выпустила специальный патч KB4012598, но сделано это было уже после масштабной атаки, видно по графе "Последнее обновление", а именно сегодня - 13.05.2017 и MS как бы говорит -  ребята, пора доставать кошелёк и покупать новую ОС. А может быть и вирус был выпущен именно с этой целью, в середине марта патч, два месяца подождали, 90% использующих новые ОС обновились, затем удар, может нет, кто знает..

Патч качать тут. Из-за наплыва желающих тормозит адски, по крайней мере сегодня. Выложил. За название файлов можно не опасаться, 84397f9eeea668b975c0c2cf9aaf0e2312f50077 это хеш SHA-1 файла, да и вообще.. такой ерундой не занимаюсь, честный пионер.


Установка патча

На сервера установил руками, их у меня всего 6 на 2003, а вот на рабочие станции так уже не получится. Заливаем через WSUS. Схема следующая:

  • Делаем импорт обновлений;
Ransom Win32.WannaCrypt, он же Wanna Cry
  • На открывшейся страничке вбиваем номер обновления - KB4012598;
Ransom Win32.WannaCrypt, он же Wanna Cry
  • Выбираем нужное обновление;
Ransom Win32.WannaCrypt, он же Wanna Cry
  • Нажимаем на корзину;
Ransom Win32.WannaCrypt, он же Wanna Cry
  • Загружаем файл;
Ransom Win32.WannaCrypt, он же Wanna Cry
  • Ищем внутри WSUS и одобряем для нужных групп компьютеров;
Ransom Win32.WannaCrypt, он же Wanna Cry

Вот и всё. Чтобы посмотреть как обновление там себе поживает нужно сначала установить Report Viewer, а для него соответственно нужен .Net Framework 3.5, дистрибутива которого нет на сервере. Заниматься этим некогда, может как-нибудь потом.

Что ещё? Антивирус конечно же должен присутствовать, ну и в явном виде можно удалить SMBv1 с серверов:

Ransom Win32.WannaCrypt, он же Wanna Cry

После этого сервер нормально видит шары на других новых серверах и на него также можно нормально зайти:

Ransom Win32.WannaCrypt, он же Wanna Cry

Но вот доступа к файловому серверу на 2003 хоть с патчем, хоть без патча - у него уже нет. Будет что ещё, напишу дополнение.


Дополнение от 15.05.2017

Ну вот, дополнение не заставило себя ждать. Сначала как отключить SMBv1 через командную строку:

dism /online /norestart /disable-feature /featurename:SMB1Protocol
Ransom Win32.WannaCrypt, он же Wanna Cry

В некоторых случаях это удобно.

Теперь как же проверить, что нужное обновление установлено и как понять какое обновление искать? Номера возможных обновлений, закрывающих уязвимость, для конкретной ОС указаны в Microsoft Security Bulletin MS17-010 - Critical, о котором уже говорилось выше. Так из рисунка видно, что, например, для Windows 2008 R2 это будет или 4012212, или 4012215:

Ransom Win32.WannaCrypt, он же Wanna Cry

Искать же следующим запросом, где в конце запроса - номер обновления:

wmic qfe list | findstr 4012212

Так у меня получилось, как и предполагалось изначально, что мартовское обновление уже стояло на всех новых ОС, то есть на Windows Server 2008 R2 и выше и на всех десктопных ОС - Windows 7 и выше (2008 и Vista у меня нет). При этом для всех 2008 R2 обновлением оказалось именно 4012212, а для 2012 R2 и для GUI, и для Core - 4012213.

Ransom Win32.WannaCrypt, он же Wanna Cry

Ещё раз: ОС на поддержке, автообновление включено и работоспособно — волноваться не о чем.

Если же всё-таки по каким-либо причинам обновления не установлены, перейти по ссылке выше, скачать одно из обновлений и накатить вручную. Так на Windows 7 обновление 4012212 вливается без проблем, ставил и на 32 разрядную версию, и на 64 разрядную.

Теперь 2003 и XP, запрос следующий:

wmic qfe list | findstr 4012598
Ransom Win32.WannaCrypt, он же Wanna Cry

А как посмотреть в разрезе всех компьютеров с Windows XP, не подключаться же к каждому?

Ставим .Net Framework 3.5 на WSUS, находим ISO с дистрибутивом 2012 R2, тыкаем в него и он автоматически монтируется. Затем указываем путь к получившемуся дистрибутиву при установке.

Report Viewer 2008 предлагается установить при попытке посмотреть статистику по обновлению. Ну и в итоге можно оценить ситуацию:

Ransom Win32.WannaCrypt, он же Wanna Cry

Leave a Comment

Scroll to Top