База знаний
База знаний: Инфобез
Троян-шифровальщик "Wanna cry"
Опубликовано Stanislav Linnik on 17 May 2017 11:19 AM

Для того чтобы обезопасить свою инфраструктуру необходимо:
1) Заблокировать доступ из вне к 445 и 139 порту;

2) Установить обновления ms17-010 ( Для Windows Server 2003 SP2 x64 , Windows Server 2003 SP2 x86 , Windows XP SP2 x64 , Windows XP SP3 x86 , Windows XP Embedded SP3 x86 , Windows 8 x86 , Windows 8 x64, то есть для систем, которые уже не обновляются, были выпущены обновления.

3) Так же в UTM необходимо проверить, что стоит блокировка на "Черный список бот-сетей" и стоит фильтрация контента по категории URL "Threats". Данные категории уже автоматически у вас обновились. 

Скачать можно тут: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Если в локальной сети отсутствуют устаревшие системы, которые используют smb v1, то лучше всего будет отключить устаревшую версию SMB:
1) проверить включен ли протокол SMB v1 на стороне сервера: Get-SmbServerConfiguration

2) Отключить :

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

Также можно полностью удалить драйвер SMBv1, но потребуется перезагрузка системы:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove

Для Windows 7, Windows Server 2008 R2, Windows Vista, Windows Server 2008 
Используем PowerShell (>= 2.0) или Registry Editor.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Или в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters создаем параметр DWORD с именем "SMB1" и параметром "0"

Или на стороне клиента используем программу sc.exe:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

sc.exe config mrxsmb10 start= disabled

Для Windows 8.1, Windows 10 используем командлет:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

 

Выполнив данные пункты, вы сможете свести на минимум возможность заражения этим трояном-шифровальщиком.

Обнаружен способ дешифровки шифрованных файлов на Windows XP!

Данный способ не 100%, одно из условий - это не перезагруженный ПК после заражения.

1) Необходимо скачать файл search_primes.exe - https://github.com/aguinet/wannakey/tree/master/bin

2) В Диспетчере задач узнать PID процесса с названием "wcry.exe"

3) Запустить cmd, перейти в папку с программой search_primes.exe и в консоли ввести так:

> search_primes.exe PID_процесса_wcry.exe /путь/до/файла/00000000.pky

Ключ дешифровки создастся в этой же папке, в которой находится search_primes.exe

(0 голос(а))
Эта статья помогла
Эта статья не помогла

Комментарии (0)