К основному контенту

Какие уязвимости использует криптолокер WanaCryptor и что с ними делать

Что случилось?

  Случайно или намеренно у американских хакеров, то ли из АНБ, то ли из ЦРУ утекло очень опасное кибероружие (они как обычно не признаются и не каются). Об этом стало известно, когда не менее безответственный человек из Shadow Brokers выложил это оружие в Интернет. Среди них был эксплойт EternalBlue. В автоматическом режиме это кибероружие позволяет захватить управление любым компьютером Windows используя его стандартный сервис доступа к файловой системе по сети - протокол SMB. То есть не нужно получать никакого письма в почту - сетевой червь сам вас найдет и запустится.


Строки из кода EternalBlue

Есть ли решение?

  Да, компания Микрософт напряглась и выпустила уже исправление к этой пачке уязвимостей, вот описание: MS17-010 Но сами хакерские утилиты уже активно используются и всем компаниям и домашним пользователям надо быть настороже.

 Так вот одна из утилит от американских хакеров EternalBlue нашла свое применение в реализации криптолокера WanaCryptor, он же WanaCrypt0r, он же WCry, он же WannaCry: после распространения по сети на все компьютеры компании, этот вредоносный код зашифровывает файлы и просит выкуп: 300 долларов биткойнами. Причем шифрование используется достаточно сильное - американский алгоритм AЕS с 128 битным ключом, без лицензии ФСБ, естественно. Началось все это 12 мая 2017 года.


Заражение компьютерного табло железнодорожной станции

  Специально выбираются следующие файлы для шифрования:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .ai, .ARC, .asc, .asf, .asp, .avi, .backup, .bak, .bmp, .brd, .c, .cgm, .class, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .n, .nef, .odb, .odg, .odp, .ods, .odt, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sin, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .stw, .suo, .swf, .sxc, .sxd, .sxm, .sxw, .tar, .tarbz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip.

 К сожалению обновления на свой Windows поставили не все и поэтому масштаб заражения огромен. Современные средства защиты могут это предотвратить и остановить, но опять же средства защиты используют тоже не все.

Что делать? 

  1. Можно поставить обновления, наконец. Они вышли 14 марта и, по идее, пора бы их поставить. Сегодня уже 13 мая - неплохой день для установки обновлений. Суббота, выходной и вообще.
  2. Можно заблокировать TCP порты 135 и 445, что тоже поможет. Ну просто перестанет работать передача файлов по сети по SMB. Но зато останется по HTTP.
  3. Заблокировать все соединения с hxxp://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  4. Микрософт говорит, что если в настройках Windows есть Feature под названием SMB1.0/CIFS File Sharing Support - ее нужно выключить и уязвимость перестанет работать. Это можно сделать централизованно через GPO. Обновлено: Но уязвимость затрагивает и SMB 2 версии, поэтому этот пункт спорный.
Все это бесплатно! Все это описано на сайте Микрософт: MS17-010.

Есть платные варианты продуктов для защиты, в которых все автоматизировано, например их предлагает компания Palo Alto Networks.

Я про это буду рассказывать на форуме Positive Hack Days 23 мая в 15 часов дня в зале "Б". Причем я приготовил реальную демонстрацию криптолокера Loki и покажу все варианты блокировки криптолокера, используя механизмы сетевой защиты в устройстве NGFW и хостовой защиты от эксплойтов и вредоносного кода для Windows под названием TRAPS.


Palo Alto Networks: хакер в ловушке, или Практическая демонстрация блокировки эксплойтов и криптолокера


https://www.phdays.ru/program/239194/

Обновление от 15 мая: что сделали для защиты за выходные
http://safebdv.blogspot.de/2017/05/wanacryptor-wannacry.html




Комментарии

Популярные сообщения из этого блога

Сертификация Palo Alto Networks

Добрый день, коллеги!



В новостной ленте Алексея Лукацкого появилось и затем Алексей Комаров ретвитнул информацию о том, что отменили сертификаты у Palo Alto Networks. 
Это верно, информационное сообщение ФСТЭК тут:
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1516-informatsionnoe-soobshchenie-fstek-rossii-ot-1-fevralya-2018-g-n-240-24-554

Упомянутые сертификаты 2012 года кончаются в апреле 2018 года. Они настолько старые, что относятся к устройствам, которые уже даже не выпускаются: 2000 и 4000 серия, ну и версия операционной системы уже далеко не 4.0, а 8.0. То есть отменили сертификаты которые сами по себе кончаются в апреле 2018 и мало того часть из них на устройства, которые вышли из продажи.

Чтобы продлить эти сертификаты нужно было снова показать исходный код, а делать это для сертификатов которые кончаются через 2 месяца - неэффективно. Поэтому офис Palo Alto Networks сконцентрирован на получении новых сертификатов на новые устройства и на новую…

1 из 10 обязательных функций межсетевого экрана нового поколения

Критерии выбора межсетевого экрана обычно делятся на три основные области:
функции безопасности, удобство управления, производительность.  Функциональные элементы системы безопасности обеспечивают эффективность управления безопасностью и способность вашей команды управлять рисками, связанными с работой приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам?
В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность? 

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода з…

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ

КОНФЕРЕНЦИЯ PALO ALTO NETWORKS В МОСКВЕ Приглашаем Вас на ежегодное мероприятие по информационной безопасности – конференцию компании Palo Alto Networks в Москве 2 ноября 2017 года ЛОТТЕ ОТЕЛЬ
Новинский бульвар, д. 8, стр. 2.  Узнайте из первых уст об инновациях в информационной безопасности, технологиях защиты от zero-day атак и шифровальщиков, а также новинках платформы кибер-безопасности Palo Alto Networks. Участие бесплатное, необходима регистрация с корпоративным адресом электронной почты.