Патч MS17-010 для исправления уязвимости Windows, используемой WannaCry и Petya

Обновление для системы безопасности MS17-010 устраняет уязвимость сервера SMB, используемую в атаке шифровальщика WannaCry и Petya.

Установка MS17-010 не требуется

Установка патча не требуется, если у вас включено автоматическое обновление Windows, и установлены последние обновления после 14 марта 2017 года для следующих операционных систем:

Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016

Проверьте последние обновления системы в Центре обновления Windows:

• Для Windows Vista, 7, 8.1 в меню Пуск откройте Панель управления > Центр обновления Windows и нажмите «Поиск обновлений».
• Для Windows 10 перейдите в меню Параметры > Обновление и безопасность и нажмите «Проверка наличия обновлений».

Последние обновления для Windows 10 версии 1703 (Creators Update): KB4016871 (15063.296), для Windows 10 версии 1607 (Anniversary Update): KB4019472 (14393.1198)

Установка MS17-010 требуется

Поддерживаемые Microsoft системы

Установка патча требуется, если у вас отключено автоматическое обновление Windows, и вы не устанавливали обновления до 14 марта 2017 года для следующих операционных систем:

Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016

Неподдерживаемые Microsoft системы

Требуется установка обновления KB4012598, если у вас следующие операционные системы:

Windows 8, Windows XP SP3, Windows XP SP2 64-bit, Windows Server 2008 for Itanium-based Systems, Windows Vista, Windows Server 2008, Windows XP Embedded, Windows Server 2003, Windows Server 2003 Datacenter Edition.

Microsoft объяснила, как Windows 10 противостояла атакам WannaCry

Операционная система Windows 10 оказалась защищена от атак шифровальщиком WannaCry благодаря патчу безопасности, выпущенному в марте 2017 года. В результате эпидемия WannaCry затронула преимущественно необновленные системы Windows 7 и Windows Server 2008.

В своем отчете о результатах исследования компания из Ремонда объясняет, какие защитные механизмы Windows 10 позволили противостоять атакам шифровальщика WannaCry. Microsoft подчеркивает, что встроенные системы предотвращения вредоносных последствий позволили обеспечить дополнительную защиту в отличие от Windows 7 и Windows 8.1, которые лишены подобной функциональности.

Редмонд поясняет, что благодаря встроенным в Windows 10 технологиям виртуализации, пользователи оставались защищенными еще до выхода патча. Механизмы защиты ядра Control Flow Guard предотвращали загрузку вредоносного кода в ядро Windows.

Кроме того, Windows 10 может остановить инъекции shell-кода с неисполняемыми и рандомизированными областями памяти ядра (NS Paged Pool и KASLR).

В случае возникновения нарушения безопасности, Device Guard и Защитник Windows работают совместно, чтобы блокировать и перехватывать вредоносное ПО на начальных этапах атаки, позволяя только авторизованным приложениям запускать и анализировать подозрительные файлы. Технология Windows Defender Advanced Threat Protection защищает сетевую инфраструктуру и предоставляет администраторам отчеты и информацию о попытках атаки для каждого компьютера в сети.

Регулярно обновляйте систему

Microsoft также дает понять, насколько важно устанавливать последние обновления безопасности в системах Windows, указывая на то, что в большинстве взломанных систем была запущена необновленная версия Windows 7.

Microsoft поясняет: “Хотя обновления безопасности автоматически применяются на большинстве компьютеров, некоторые пользователи и предприятия могут задерживать развертывание патчей. На старых версиях Windows, таких как Windows 7 и Windows Server 2008, на которых не был установлен патч MS17-010, но была включена облачная защита (Microsoft Security Essentials или Защитник Windows) WannaCrypt не удалось выполнить”

“Тем не менее, старые версии Windows лишены расширенных технологий защиты от эксплойтов и защитных функций платформы (например, Device Guard, мгновенной облачной защиты и т. д.), которые доступны в Windows 10 и помогают эффективно бороться с угрозами”.

Совсем недавно исследователям удалось портировать WannaCry на Windows 10. Проект был создан только для исследовательских целей и не подвергал пользователей Windows риску.

WannaCry модифицирован и способен атаковать Windows 10

Во время массовой эпидемии WannaCry в прошлом месяце, поддерживаемые версии Windows и в частности Windows 10 были защищены от атак шифровальщика. Еще в марте Редмонд выпустил патч, который закрывал эксплуатируемую зловредом уязвимость.

На этот раз команда исследователей из RiskSense успешно справилась с задачей по портированию эксплойта WannaCry для заражения Windows 10. Важно отметить, что подробные спецификации не были обнародованы, и пользователи обновленной ОС Windows 10 остаются защищенными.

Вымогатель WannaCry использовал уязвимость EternalBlue, которая была украдена у АНБ хакерской группировкой Shadow Brokers прошлым летом во время кибератаки.

Чтобы портировать EternalBlue для взлома Windows 10, исследователи RiskSense создали модуль Metasploit, который способен обходить функции безопасности Microsoft, включая предотвращение выполнения данных (DEP) и рандомизацию размещения адресного пространства (ASLR).

Также были реализованы дополнительные модификации вредоносного объекта, в частности был удален эксплойт DoublePulsar который по словам исследователей не требуется для проведения атаки. Эксплойт разрабатывался для установки асинхронного вызова процедур (APC), которая позволяет исполнять код без бэкдора.

Пользователи Windows 10 защищены

Эксперты RiskSense поясняют, что идея этого проекта заключалась в том, чтобы помочь предотвратить аналогичные атаки в будущем, а не предоставить хакерам информацию о том, как скомпрометировать Windows 10. В любом случае эти данные секретны, поэтому провести реальные атаки на компьютеры Windows 10 вряд ли удастся.

“Мы опустили некоторые подробности цепочки эксплойтов, которые были бы интересны исключительно злоумышленника, а не разработчикам антивирусных решений. Исследование предназначено прежде всего для индустрии информационной безопасности с целью разработки новых методов предотвращения текущих и будущих атак. Результаты данной работы позволяют вендорам лучше понять принцип действия цепи эксплойтов и создавать более эффективные меры защиты против эксплойтов, а не полезной вредоносной нагрузки”.

Новый эксплойт был создан для работы с Windows 10 x64 версии 1511 (Ноябрьское обновление), который по-прежнему поддерживается Microsoft в ветке Current Branch for Business.

Пользователям Windows рекомендуется регулярно обновлять свои системы и убедиться, что обновление MS17-010, выпущенное Microsoft в марте, установлено на компьютере.

Как защититься от вируса WannaCry

Вирус-шифровальщик WannaCry, или Wana Decryptor, поразил десятки тысяч компьютеров по всему миру. Пока те, кто попал под атаку, ждут решения проблемы, еще не пострадавшим пользователям стоит использовать все возможные рубежи защиты. Один из способов избавить себя от вирусного заражения и защититься от распространения от WannaCry — это закрытие портов 135 и 445, через которые в компьютер проникает не только WannaCry, но и большинство троянов, бэкдоров и других вредоносных программ. Средств для прикрытия этих лазеек существует несколько.

Иллюстрация работы вируса WannaCry

Способ 1. Защита от WannaCry — использование Firewall

Firewall, также известный как брандмауэр, в классическом понимании — это стена, разделяющая секции построек для защиты их от пожара. Компьютерный брандмауэр работает похожим образом — он защищает компьютер, соединенный с интернетом, от лишней информации, фильтруя поступающие пакеты. Большинство firewall-программ можно тонко настроить, в т.ч. и закрыть определенные порты.

Включение и отключение брандмауэра в Windows 7

Видов брандмауэров существует множество. Самый простой firewall — это стандартный инструмент Windows, который обеспечивает базовую защиту и без которого ПК не продержался бы в «чистом» состоянии и 2 минуты. Сторонние брандмауэры — например, встроенные в антивирусные программы — работают гораздо эффективнее.

Преимущество брандмауэров в том, что они блокируют все подключения, которые не соответствуют указанному набору правил, т.е. работают по принципу «запрещено все, что не разрешено». Из-за этого при использовании firewall для защиты от вируса WannaCry скорее придется открывать нужные порты, чем закрывать ненужные. Убедиться в том, что брандмауэр Windows 10 работает, можно, открыв настройки программы через поиск и зайдя в дополнительные параметры. Если порты по умолчанию открыты, закрыть 135 и 445 можно, создав соответствующие правила через настройки брандмауэра в разделе входящих подключений.

Однако в некоторых случаях брандмауэром пользоваться невозможно. Без него обеспечить защиту от зловреда WannaCry будет сложнее, но закрыть самые очевидные дырки получится без особых затруднений.

Карта, как распространяется WannaCry

Действенный способ защиты от Wana Descrypt0r проиллюстрирован на видео!

Способ 2. Блокируем распространение вируса с Windows Worms Doors Cleaner

Windows Worms Doors Cleaner — эта простая программа весит всего 50 КБ и позволяет закрыть порты 135, 445 и некоторые другие в один клик от вируса WannaCry.

Главное окно программы содержит перечень портов (135–139, 445, 5000) и краткую информацию о них — для каких служб используются, открыты они или закрыты. Рядом с каждым портом имеется ссылка на официальные положения службы безопасности Microsoft.

1. Чтобы закрыть порты с помощью Windows Worms Doors Cleaner от WannaCry, нужно нажать на кнопку Disable.
2. После этого красные кресты заменятся зелеными галочками, и появятся надписи, говорящие о том, что порты успешно заблокированы.
3. После этого программу нужно закрыть, а компьютер — перезагрузить.

Способ 3. Закрытие портов через отключение системных служб

Логично, что порты нужны не только вирусам, таким как WannaCry — в нормальных условиях ими пользуются системные службы, которые большинству пользователей не нужны и легко отключаются. После этого портам незачем будет открываться, и вредоносные программы не смогут проникнуть в компьютер.

Закрытие порта 135

Порт 135 используется службой DCOM (Distributed COM), которая нужна для связи объектов на разных машинах в локальной сети. Технология практически не используется в современных системах, поэтому службу можно безопасно отключить. Сделать это можно двумя способами — с помощью специальной утилиты или через реестр.

При помощи утилиты служба отключается так:

1. Запускается программа Dcomcnfg.exe. Сделать это можно через окно «Выполнить» открываемое сочетанием Win+R или через меню «Пуск».

2. Открывается вкладка «Свойства по умолчанию».

3. Снимается галочка в пункте «Разрешить использование DCOM».

4. Программа закрывается с сохранением изменений.

5. Компьютер перезагружается.

В системах Windows Server 2003 и старше нужно выполнить ряд дополнительных операций, но, поскольку вирус WannaCry опасен только для современных версий ОС, затрагивать этот момент нет смысла.

Через реестр порт от вирусной программы WannaCry закрывается следующим образом:

1. 1. Запускается редактор реестра (regedit в окне «Выполнить»).
2. 2. Ищется ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.
3. 3. Параметр EnableDCOM меняется с Y на N.
4. 4. Компьютер перезагружается.

Редактировать реестр можно только из-под учетной записи администратора.

Закрытие порта 445

Порт 445 используется службой NetBT — сетевым протоколом, который позволяет старым программам, полагающимся на NetBIOS API, работать в современных сетях TCP/IP. Если такого древнего ПО на компьютере нет, порт можно смело блокировать — это закроет парадный вход для распространения вируса WannaCry. Сделать это можно через настройки сетевого подключения или редактор реестра.

1. 1. Открываются свойства используемого подключения.
2. 2. Открываются свойства TCP/IPv4.
3. 3. Нажимается кнопка «Дополнительно…»
4. 4. На вкладке WINS ставится флажок у пункта «Отключить NetBIOS через TCP/IP».

Сделать это нужно для всех сетевых подключений. Дополнительно стоит отключить службу доступа к файлам и принтерам, если она не используются — известны случаи, когда WannaCry поражал компьютер через нее.

1. 1. Открывается редактор реестра.
2. 2. Ищутся параметры NetBT в разделе ControlSet001 системных записей.
3. 3. Удаляется параметр TransportBindName.

То же самое следует сделать в следующих разделах:

После завершения редактирования компьютер перезагружается. Следует учитывать, что при отключении NetBT перестанет работать служба DHCP.

Заключение

Таким образом, чтобы защититься от распространения вируса WannaCry, нужно убедиться, что уязвимые порты 135 и 445 закрыты (для этого можно использовать различные сервисы) или включить брандмауэр. Кроме того, необходимо установить все обновления системы Windows. Чтобы избежать атак в будущем, рекомендуется всегда пользоваться свежей версией антивирусного ПО.

Как обновить Windows, чтобы защититься от WannaCry

Где скачать патч MS17-010, закрывающий дыру в безопасности Windows, как его установить и что делать дальше.

Про атаку шифровальщика WannaCry слышали уже, кажется, все. Мы написали об этом уже два поста — с общим рассказом о том, что же произошло, и с советами для бизнеса. И выяснили, что далеко не все понимают, что, где и как надо обновить, чтобы закрыть в Windows уязвимость, через которую WannaCry проникал на компьютеры. Рассказываем, что надо сделать и где брать патчи.

1. Узнайте версию Windows на своем компьютере

Во-первых, важно, что шифровальщик WannaCry существует только для Windows. Если на вашем устройстве в качестве операционной системы используется macOS, iOS, Android, Linux или что угодно другое, то для него этот зловред угрозы не представляет.

А вот для устройств на Windows — представляет. Но для разных версий Windows нужны разные патчи. Так что перед тем, как что-то ставить, нужно разобраться, какая у вас версия Windows.

Делается это так:

• Нажмите на клавиатуре клавиши [Win] и [R] одновременно.
• В появившемся окне введите winver и нажмите OK. В появившемся окне будет указана версия Windows.
• Если вы не знаете, 32-разрядная у вас версия системы или 64-разрядная, вы можете просто скачать оба обновления, и для 32-битной Windows, и 64-битной — один из них обязательно установится.

2. Установите патч MS17-010, который закрывает уязвимость Windows

Определили версию системы? Вот ссылки на патчи для всех версий Windows, для которых они вообще есть:

При нажатии на нужную ссылку скачается исполняемый файл с расширением MSU с необходимым обновлением. Нажмите на него и далее следуйте подсказкам мастера установки. После окончания установки на всякий случай перезагрузите систему. Готово — уязвимость закрыта, просто так на ваш компьютер WannaCry уже не проберется.

3. Проверьте компьютер на вирусы

Возможно, WannaCry успел пролезть на ваш компьютер до того, как вы закрыли уязвимость. Так что на всякий случай стоит проверить компьютер на вирусы.

Если у вас нет антивируса, то скачайте бесплатную 30-дневную версию Kaspersky Internet Security. Если же у вас уже установлено защитное решение «Лаборатории Касперского», сделайте вот что.

• Убедитесь, что у вас включен модуль Мониторинг активности. Для этого зайдите в настройки, выберите раздел Защита и убедитесь, что напротив пункта Мониторинг активности написано Вкл.
• Запустите быструю проверку компьютера на вирусы. Для этого в интерфейсе антивирусного решения выберите раздел Проверка, в нем — пункт Быстрая проверка, а затем нажмите Запустить проверку.
• Если антивирус обнаружит зловреда с вердиктом Trojan.Win64.EquationDrug.gen — его надо удалить, а затем перезагрузить компьютер.

Все, вы защищены от WannaCry. Теперь позаботьтесь о родных и друзьях, которые не умеют защищать свои устройства сами.