Возврат к списку

Вирус Wanna Cry атаковал пользователей более 150 стран

16.05.2017     
Вирус WannaCrypt, также известный как Wanna Cry, стал поражать компьютеры на базе операционной системы Windows 12 мая 2017 года. За несколько дней он успел распространиться более чем в 150 странах.

WannaCry является червем-шифровальщиком, имеющим функцию саморазмножения. Попадая в систему, WannaCry шифрует файлы на компьютере, а затем предлагает пользователю заплатить за ключ дешифрования биткоинами в сумме эквивалентной для разных программ от 300 до 600 долларов. Сообщение с предложением выкупа выводится на разных языках (включая русский), и является не характерным для шифровальщиков исполняемым файлом.

Поскольку вирус проникает через уязвимость в системе Windows, риску заражения подвержен любой компьютер, в котором она не устранена. Поиск таких компьютеров осуществляется посредством сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). 

Ранние версии вируса WannaCrypt появились еще в феврале 2017 года. Чтобы обезопасить пользователей, Microsoft 14 марта выпустила экстренное обновление, нейтрализующее уязвимость, и рекомендовала обновить версию операционной системы. Также компанией были выпущены патчи для Windows XP, Windows 8 и Windows Server 2003, уже не получающих автоматические обновления. Однако и установка патчей не дает полной гарантии от заражения этим вирусом, она лишь предотвращает дистанционное заражение и распространение червя.

Первыми были атакованы британские больницы и испанские фирмы, занимающиеся поставкой электричества. Затем вирус распространился в другие страны. В России атаке подверглись серверы МВД и МЧС, РЖД, а также «Сбербанка» и «Мегафона». Однако по их сообщениям, действие вируса удалось нейтрализовать.
 
Также стало известно, что программист из Таиланда Чанвит Кеокаси создал программу-блокировщик вируса. Программа размещена в открытом доступе и ее уже успели скачать несколько десятков тысяч пользователей по всему миру.


Комментарии
Сортировка: Древо
1. spenser123 16.05.17 14:33 Сейчас в теме
перейдя по ссылкам на источники во всех новостях так нигде и не указана ссылка или способ найти эту самую волшебную программу скаченную 10-ками тысяч... )
OVladius; TreeDogNight; v3rter; Serega-artem; +4 Ответить
2. rozer 221 16.05.17 14:48 Сейчас в теме
(1) просто скачал один - остальные "легли" у кого уязвимость в SMB в винде не закрыта )
3. madonov 159 16.05.17 16:37 Сейчас в теме
Охохо, какая горячая новость! Была... дня 4 назад =)) .
Авось и о запрете 1С на Украине сообщат к понедельнику =)) .
Uncore; exitel; TreeDogNight; JohnConnor; m.s.moiseev; Serega-artem; klinval; +7 Ответить
7. support 4405 16.05.17 18:17 Сейчас в теме
10. klinval 261 17.05.17 09:22 Сейчас в теме
(7) А зачем вообще вы создали отдельный раздел "Новости" если можно было просто "обсудить на форуме"?
Как я понимаю сделали Journal (да и ещё на главной это висит всегда), чтобы при поиске любых новостей про 1С натыкались на ИС, и соответственно у ИС росла популярность. За долгие годы новость про 1С в топе новостийных сайтов, и вполне логично, что ИС сделает какой-нибудь эксклюзив, типа узнать мнение у Нуралиева, опросить своих коллег на Украине, собрать какую-нибудь статистику и другие вещи до чего другим журналистам без связей и не в теме будет тяжело. И авось вместо того, чтобы процитировать других, будут цитировать ИС...

Но нет, уже поздно, эту же тему уже обсудили на форуме))
11. support 4405 17.05.17 09:30 Сейчас в теме
(10) мы не публикуем политические новости, чтобы не было повода для конфликта в комментариях. Мы уважаем всех программистов 1С, вне зависимости от национальности и страны проживания.
4. Amur_MVS 100 16.05.17 16:56 Сейчас в теме
Как не подцепить этот вирус?
8. bubus 16.05.17 20:38 Сейчас в теме
(4)Быть как Ленин - в конкретном офлайне
5. nikita0832 108 16.05.17 17:59 Сейчас в теме
По мне так это позорище со стороны разработчиков антивирусов (или масштабная рекламная акция?!). Просто зачем нужны антивирусы если от реально вредных вирусов они не защищают, так ещё и сами ведут себя хуже многих вирусов: потребляют ресурсы, время от времени хавают файлы(хорошо хоть с возвратом), показывают всплывающие окна и клянчат деньги...
6. v3rter 16.05.17 18:05 Сейчас в теме
Нет никакой "волшебной программы". Общая проблема в том, что Wanna Cry наподобие Kido атакует извне ваши пиратские необновленные "виндошюзы" и случайно выбранные компы в локальной подсети, если кто-то его поймал из почты/ сайта или принес на ноуте с собой.

Как не подцепить? Закрыть порты 139, 445 на Ваших роутерах и "виндошлюзах", скачать с https://forum.kasperskyclub.ru/index.php?showtopic=55543 в первом посте под спойлером-кнопкой прямые ссылки на нужные обновления Windows. И установить нормальный коммерческий антивирус последней версии на все компы. (На счет держит ли бесплатный Kaspersky Free http://www.kaspersky.ru/free-antivirus эту атаку - не знаю).

НО! Если у Вас не последний сервис-пак, Вы их не поставите. Максимум, что можно сделать с такими пиратками системами - поставить коммерческий антивирус, отключить протокол SMB1: на серверах
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"SMB1"=dword:00000000
и клиентах
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
net stop mrxsmb10
но тогда про использование XP и некоторые разновидности NAS можно будет забыть - к таким сетевым папкам подключение будет вылетать с ошибкой.

Считайте эту атаку вежливым намёком на закат эпохи XP/Win7.

П.С. Включить SMB1 на клиенте, если что-то пойдёт не так:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb10 start= auto
net start mrxsmb10


Статья по теме: https://habrahabr.ru/company/cisco/blog/328598/
necropunk; TreeDogNight; spectre1978; +3 Ответить
9. DoctorRoza 17.05.17 09:00 Сейчас в теме
(6)
Нет никакой "волшебной программы".

Ну почему, Ubuntu, например! :)
12. user727130 17.05.17 11:25 Сейчас в теме
(6)
Нет никакой "волшебной программы". Общая проблема в том, что Wanna Cry наподобие Kido атакует извне ваши пиратские необновленные "виндошюзы" и случайно выбранные компы в локальной подсети

Про "Пиратские Windows" поподробнее. Не путать со сборками... А остальные сугубо "перпендикулярно" - . ничем не отличаются от подлинных - только документы и наклейка отсутствуют.
(6)
Как не подцепить? Закрыть порты 139, 445 на Ваших роутерах и "виндошлюзах",.... И установить нормальный коммерческий антивирус последней версии на все компы

А вот тут полностью согласен с первым. А вот со вторым... И с коммерческим касперским на днях поймали шифровальщик...
13. v3rter 17.05.17 12:56 Сейчас в теме
(12) Имеются в виду ситуации, когда установка последнего сервис-пака может привести к "ваша копия Windows ...", ошибке 0x0000005 или полной неработоспособности системы, из-за чего некоторые "одминчеги" не желают тратить время и оставляют всё как есть.

С XP вопрос сложнее - на выжившем "антиквариате" установка SP3 бьёт по производительности, а его апгрейд чаще всего нерентабелен из-за работающих старых программ и старого торгового оборудования. Разве что материнки не старее SATA + DDR2 можно освежить и вернуть в ряды простых офисных компов обычным SSD начального уровня + 4Гб оперативы. (патч от вируса для XP выпустили, если что)

Антивирусы пропускают все. Личный рейтинг по количеству инцидентов выглядит так: DrWeb, Nod32, Kaspersky.
По количеству проблем совместимости "пьедестал" такой же )
user727130; +1 Ответить
Оставьте свое сообщение

См. также