ITnerd

В прошлую пятницу по всему миру началась эпидемия вируса-щифровальщика WannaCrypt (он же WannaCry, Wana decrypt0r 2.0 и т.д.). В отличие от “классических” методом заражения (файл в почте, инифицированный сайт) этот зловред попадал на компьютеры пользователей используя дыру в безопасности протокола SMB v.1. В этой статье я расскажу, как обезопасить себя от этой заразы.

Для начала стоит отметить, что эпидемия трояна была очень масштабной. Пострадали больницы во Британии, завод Рено во Франции, а так же базы МВД в России. Поэтому не стоит недооценивать опасность. После попадания в систему он шифрует файлы распространенных форматов (документов, архивов, файлов сертификатов, фото и т.п), после чего требует выкуп в биткоинах равным 300$ за ключ для дешифровки файлов. На оплату дается трое суток.

Окно вируса WannaCry

Теперь перейдем к самому главному – защите!

Во-первых: нужно установить обновление Windows MS17-010.

Ссылка для современных систем – patch
Для устаревших систем (Windows XP, Server 2008) – patch.

На странице нужно выбрать версию своей операционной системы и, в случае с устаревшими системами, язык. Например, для 64 битной Windows 7, переходим по ссылке:

И в появившимся окне выбираем:

А для Windows XP 32 битной, в конце странице с обновлениями нужно дойти до строчки Download localized language security updates, там выбрать версию, а на открывшейся странице выбрать язык системы.

Если не хочется заморачиваться установкой обновлений вручную, что просто включите автообновление.

Кроме того, если вы не используете SMB протокол, то можете просто оключить его функционал. В Windows 8 для этого нужно зайти в Установка/удаление приложений и выбрать слева пункт Включение или отключение компонентов Windows. Там найти пункт Поддержка общего доступа к файлам SMB 1.0/CIFS, отключить его и перезагрузится.

В Windows 7 подобное можно сделать запустив командную строку от имени администратора и прописав следующую строку:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Кроме того, если у вас включен Windows файрвол, то можно с его помощью закрыть порты 139 и 445. Именно через них вирус попадает в систему. Сделать это можно так же запустив командную строку от имени администратора и прописав строку:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Ну и конечно полезно иметь антивирус с обновленными базами вирусов.

Теги: SMB, WannaCry, WannaCrypt, Windows, вирус, защита, обновление, троян