суббота, 13 мая 2017 г.

Какие уязвимости использует криптолокер WanaCryptor и что с ними делать

Что случилось?

  Случайно или намеренно у американских хакеров, то ли из АНБ, то ли из ЦРУ утекло очень опасное кибероружие (они как обычно не признаются и не каются). Об этом стало известно, когда не менее безответственный человек из Shadow Brokers выложил это оружие в Интернет. Среди них был эксплойт EternalBlue. В автоматическом режиме это кибероружие позволяет захватить управление любым компьютером Windows используя его стандартный сервис доступа к файловой системе по сети - протокол SMB. То есть не нужно получать никакого письма в почту - сетевой червь сам вас найдет и запустится.


Строки из кода EternalBlue

Есть ли решение?

  Да, компания Микрософт напряглась и выпустила уже исправление к этой пачке уязвимостей, вот описание: MS17-010 Но сами хакерские утилиты уже активно используются и всем компаниям и домашним пользователям надо быть настороже.

 Так вот одна из утилит от американских хакеров EternalBlue нашла свое применение в реализации криптолокера WanaCryptor, он же WanaCrypt0r, он же WCry, он же WannaCry: после распространения по сети на все компьютеры компании, этот вредоносный код зашифровывает файлы и просит выкуп: 300 долларов биткойнами. Причем шифрование используется достаточно сильное - американский алгоритм AЕS с 128 битным ключом, без лицензии ФСБ, естественно. Началось все это 12 мая 2017 года.


Заражение компьютерного табло железнодорожной станции

  Специально выбираются следующие файлы для шифрования:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .ai, .ARC, .asc, .asf, .asp, .avi, .backup, .bak, .bmp, .brd, .c, .cgm, .class, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .n, .nef, .odb, .odg, .odp, .ods, .odt, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sin, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .stw, .suo, .swf, .sxc, .sxd, .sxm, .sxw, .tar, .tarbz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip.

 К сожалению обновления на свой Windows поставили не все и поэтому масштаб заражения огромен. Современные средства защиты могут это предотвратить и остановить, но опять же средства защиты используют тоже не все.

Что делать? 

  1. Можно поставить обновления, наконец. Они вышли 14 марта и, по идее, пора бы их поставить. Сегодня уже 13 мая - неплохой день для установки обновлений. Суббота, выходной и вообще.
  2. Можно заблокировать TCP порты 135 и 445, что тоже поможет. Ну просто перестанет работать передача файлов по сети по SMB. Но зато останется по HTTP.
  3. Заблокировать все соединения с hxxp://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  4. Микрософт говорит, что если в настройках Windows есть Feature под названием SMB1.0/CIFS File Sharing Support - ее нужно выключить и уязвимость перестанет работать. Это можно сделать централизованно через GPO. Обновлено: Но уязвимость затрагивает и SMB 2 версии, поэтому этот пункт спорный.
Все это бесплатно! Все это описано на сайте Микрософт: MS17-010.

Есть платные варианты продуктов для защиты, в которых все автоматизировано, например их предлагает компания Palo Alto Networks.

Я про это буду рассказывать на форуме Positive Hack Days 23 мая в 15 часов дня в зале "Б". Причем я приготовил реальную демонстрацию криптолокера Loki и покажу все варианты блокировки криптолокера, используя механизмы сетевой защиты в устройстве NGFW и хостовой защиты от эксплойтов и вредоносного кода для Windows под названием TRAPS.


Palo Alto Networks: хакер в ловушке, или Практическая демонстрация блокировки эксплойтов и криптолокера


https://www.phdays.ru/program/239194/

Обновление от 15 мая: что сделали для защиты за выходные
http://safebdv.blogspot.de/2017/05/wanacryptor-wannacry.html