ВНИМАНИЕ:Вирус-вымогатель WannaCrypt – ситуация и меры безопасности

Единый каталог журналов в свободном доступе.
Собранные из всех тем, разной тематики в один каталог для удобства
пользователей
Пред. тема След. тема

ВНИМАНИЕ:Вирус-вымогатель WannaCrypt – ситуация и меры безопасности

Сообщение Aleksander » 15 май 2017, 19:29

Вирус-вымогатель WannaCrypt – ситуация и меры безопасности


15.05.2017. Рекомендации от Advanced Training

С 12 мая 2017 года в СМИ стали появляться сообщения о новом и достаточно серьёзном зловреде.

Его называют по разному – и WanaCrypt0r 2.0, и WannaCrypt, и WCry.

В более-менее стандартизированной номенклатуре – Ransom:Win32.WannaCrypt.



Кратко про ситуацию и что предпринимать.

Причина заражения

В семействе ОС Windows обмен файлами в LAN-сетях практически полностью реализуется протоколом SMB. Данный протокол разработан фирмой IBM (в сотрудничестве с 3Com) в 1983 году, используется в OS/2, и оттуда уходит в состав сетевого стека Microsoft, более известного как “семейство протоколов и сервисов LAN Manager”.

Протокол SMBv1 живёт достаточно долго. Работает плохо и неэффективно – но не потому что он плохой, а потому что предназначался для универсальных задач – от сетевой печати до общего доступа к COM-портам – и поверх любых сетевых протоколов. То есть должен был он работать в следующей схеме:

Какой-то протокол сетевого уровня (IP, IPX, AppleTalk)
NetBIOS поверх транспортного протокола (в варианте IP – NetBT, NetBIOS Transport over TCP, используется 139й порт)
Запросы и ответы SMBv1

Всё это было снабжено большим количеством команд, долгими и многофазными согласованиями каждой мелочи, поэтому КПД протокола был откровенно не самым лучшим. Тянется это с Windows for Workgroups 3.11 до Windows XP / Server 2003.

В Windows 2000 Microsoft проводит первичную оптимизацию и запускает SMBv1 поверх “чистого” IP, снижая задачи прослойки NetBIOS и уменьшая overhead протоколов, чем улучшает соотношение “заголовки / данные”. Вы знаете этот вариант по открытому порту TCP 445. Но этот вариант работает параллельно с классическим, не являясь его заменой.

Начиная с ядра NT 6.0, где Microsoft первый раз серьёзно переписывает сетевой стек, появляется протокол SMBv2.

Он значительно упрощается в части количества команд, в него также начинает добавляться новый функционал. Данный процесс продолжается и после, выходят версии 2.1, 3.0, 3.0.2 и в текущих Windows Server 2016 / Windows 10 – SMB 3.1.1.



Microsoft двигает стандарт и дальше, публикуя свои открытые спецификации – их потом реализуют в сторонних продуктах типа Samba (пять лет по открытой документации реализовывали стандарт) и Apple (Apple делает свою копию Microsoft’овского SMBv2).

В результате на текущий момент на борту ОС от Microsoft обычно работает полный зоопарк – три версии SMB поверх двух сетевых портов (TCP 139 и TCP 445).

И вот в самой старой, ещё IBM’овской реализации SMBv1, была обнаружена уязвимость.

Матчасть здорового человека

Патч закрытия критической уязвимости в SMBv1 был выпущен 14 марта 2017 года, то есть 2 месяца назад: MS17-010.

Ссылки на патчи для различных ОС есть здесь:KB 4013389.

Какова реальная картинка с заражением?

Вот здесь можно посмотреть на ситуацию с заражением Ransom:Win32.WannaCrypt в реальном масштабе времени.

Как выглядит заражение?

Например вот так выглядит заражённый банкомат:



Штатные меры, которые не были использованы

Протокол SMBv1 может быть выключен полностью во всех сетях, где нет ОС младше Windows Vista и устаревших принтеров.

Как минимум, возможен переход на Direct SMB даже в случае Windows 2000 / XP / 2003, что уже упростит работу и снизит потенциальный attack surface.

Выключить SMBv1 можно и через PowerShell:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

И через реестр:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0

Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2 сервис):

sc.exe config lanmanworkstation depend=browser/mrxsmb20/nsi

sc.exe config mrxsmb10 start=disabled

Все указанные методы не приведут к потере функционала передачи файлов поверх сети – они лишь отключат супер-древний (34 года ему) вариант протокола SMB.

Действия на современных ОС

Если у вас Windows Server 2012 R2 / Windows 8.1 / старше, то дело ещё проще – вы можете целиком удалить компонент “старые возможности LAN Manager”, в который входит сервис Computer Browser и SMBv1. Это делается штатно, через удаление компонентов ОС.(Смотрите внизу примечание админа сайта)

Действия на устаревших ОС

Microsoft уже не поддерживает ОС линейки NT 5.x – Windows Server 2003 и Windows XP. Однако для такого случая выпущены патчи дляWindows Server 2003, Windows XP SP2 и SP3.

Общие вопросы

Почему это работает?

Вирус использует уязвимость в операционной системе Windows, которую Microsoft закрыла еще в марте 2017 года.
Всем, у кого система обновилась, вирус не угрожает.
Однако многие пользователи и организации отключают автоматические обновления на своих компьютерах.
Противоядие для компьютеров, зараженных WannaCry, пока не выпущено.

Как защититься?

Программы-вымогатели обычно устанавливаются через документы, распространяемые по электронной почте.
Как называется файл-переносчик в случае с WannaCry, пока также не ясно.

Полностью исключает возможность заражения установка соответствующего обновления для Windows.Пуск — Все программы — Центр обновления Windows — Поиск обновлений — Загрузить и установить

Решения ESET защищают даже устройства на устаревших системах Windows XP, Windows 8 и Windows Server 2003 (но от их использования мы все-таки рекомендуем отказаться).

В связи с высоким уровнем угрозы Microsoft также выпустила обновления для этих ОС. Загрузить их можно здесь.

Большой вопрос, почему всё это не было сделано на данный момент в сетях, подвергшихся заражению (их список только увеличивается).

Ещё больший вопрос – как за 2 месяца корпоративные системы, обладающие букетом возможностей обновления – от Windows Update и WSUS до Microsoft System Center с его ConfMgr – не установили патч, закрывающий критическую уязвимость включённого по умолчанию протокола. Какая квалификация у персонала, который это администрирует, у архитекторов, которые делали и подписывали дизайн сети с такой системой управления обновлениями, у безопасников, которые должны отслеживать текущую ситуацию с используемыми компонентами и их безопасностью.

Самый большой вопрос – как уязвимость в протоколе прожила 30 с лишним лет, хотя исходник был и у IBM, и у Microsoft. Вроде как у этих фирм коллективы тестировщиков и разработчиков разные. Исходный код SMBv1 был отдан IBM в опенсорсный проект Samba и прошёл аудит – и там тоже находят и тоже в марте 2017 года оставшиеся с тех же лет уязвимости. То есть вся эта уйма людей, адресно занятых аудитом, что со стороны корпораций США, что со стороны “американского сертифицированного открытого ПО” – все они удивительно синхронно просмотрели одни и те же древние уязвимости в SMBv1. Товарищ Сноуден имеет на этот счёт весьма закономерные вопросы и заготовленные ответы.

Впрочем, все эти вопросы – риторические.


Моё примечание:

Как удалить ненужные компоненты операционной системы?

Для того чтобы удалить установленные компоненты операционной системы, следует открыть диалоговое окно "Установка и удаление программ" (Пуск >Настройка * Панель управления > Установка и удаление программ) и щелкнуть на кнопке "Установка компонентов Windows" (слева с правами администратора). Запустится Мастер компонентов Windows, окно которого содержит список установленных компонентов, распределенных по категориям. Сбрасывая флажки у названии компонентов и категорий компонентов операционной системы, мы делаем запрос на их удаление. Поищите компонент “старые возможности LAN Manager” и если он есть снимите флажок.
Аватара пользователя
Aleksander
Администратор
 
Сообщения: 2941
Зарегистрирован: 05 окт 2013, 14:04

Re: ВНИМАНИЕ:Вирус-вымогатель WannaCrypt – ситуация и меры безопасности

Сообщение Aleksander » 21 май 2017, 08:40

Дополняю предыдущий пост:

Во-первых:Патчи для исправления этой уязвимости можно скачать на официальном сайте:

Microsoft Security Bulletin MS17-010
Патч, для старых систем (Windows XP, Winows Server 2003R2)

Во-вторых: Отключаем службы «Общий доступ к файлам и принтерам сетей Microsoft» и «Клиент для сетей Microsoft»
1. «Пуск».
2. «Панель управления».
3. «Центр управления сетями и общим доступом».
4. Там - щелкнуть по названию текущего подключения к интернету.
5. В открывшемся окошке щелкнуть на «Свойства».
6. Удалить/Отключить «Клиент для сетей Microsoft» и «Общий доступ к файлам и принтерам сетей Microsoft».
7. Перезагрузить компьютер.

В-третьих:Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1.
Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора:

dism /online /norestart /disable-feature /featurename:SMB1Protocol


Установка и удаление программ - Включение и отключение компонентов Windows - и далее снимаем галочку "Поддержка общего доступа к файлам SMB 1.0".

Официальные патчи для различных систем:

Windows Server 2003 for x64 http://anonym.to/?http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Windows Vista x86 Service Pack 2
http://anonym.to/?http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Windows Vista x64 Edition Service Pack 2
http://anonym.to/?http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2008 for x86
http://anonym.to/?http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Windows Server 2008 for x64
http://anonym.to/?http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2008 R2 for x64
http://anonym.to/?http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows Server 2008 R2 for Itanium
http://anonym.to/?http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu

Windows 7 for 32-bit Service Pack 1
http://anonym.to/?http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Windows 7 for x64 Service Pack 1
http://anonym.to/?http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows 8.1 for 32-bit
http://anonym.to/?http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu

Windows 8.1 for x64
http://anonym.to/?http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Windows 10 for 32-bit
http://anonym.to/?http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Windows 10 for x64
http://anonym.to/?http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Windows 10 Version 1511 for 32-bit
http://anonym.to/?http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu

Windows 10 Version 1511 for x64
http://anonym.to/?http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

Windows 10 Version 1607 for 32-bit
http://anonym.to/?http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu

Windows 10 Version 1607 for x64
http://anonym.to/?http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu


Тема поднималась пользователем Aleksander 21 май 2017, 08:40.
Аватара пользователя
Aleksander
Администратор
 
Сообщения: 2941
Зарегистрирован: 05 окт 2013, 14:04


Вернуться в ЖУРНАЛЫ.БУХГАЛТЕРИЯ.ЭКОНОМИКА.ФИНАНСЫ.ПРАВО.НОРМАТИВЫ.

Кто сейчас на конференции

Зарегистрированные пользователи: Google [Bot]