13 мая 2017

Как защититься от вируса WCry (Wana decrypt0r)

В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0", который некоторые СМИ называют WCry
Атака наблюдается в разных сетях совершенно никак не связанных между собой, в том числе принадлежащим гос. структурам, банкам и, видимо, компаниях и частным лицам.

Возможно, для атаки используется уязвимость протокола SMBv1, что ничего не говорит для обычного пользователя, но далее рассмотрим как защититься более понятно.
SMBv1 — сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия. Первая версия протокола, также известная как Common Internet File System (CIFS) (Единая Файловая Система Интернета), была разработана компаниями IBM, Microsoft, Intel и 3Com в 1980-х годах; вторая (SMB 2.0) была создана Microsoft и появилась в Windows Vista. В настоящее время SMB связан главным образом с операционными системами Microsoft Windows, где используется для реализации «Сети Microsoft Windows» (англ. Microsoft Windows Network) и «Совместного использования файлов и принтеров» (англ. File and Printer Sharing).


Шаг 1. Обновить установить защитные патчи

Патчи для исправления этой уязвимости можно скачать на официальном сайте Microsoft:
Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

  1. Перейдите по ссылке и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
  2. Откройте cmd.exe (командную строку)
  3. Введите:
    wmic qfe list | findstr 4012212
  4. Нажмите Enter
  5. Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно (пропустить этот и следующий шаг):
    http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
  6. Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
  7. Если ни один патч не нахрдится, рекомендуется незамедлительно установить обновление по ссылке.

Шаг 2. Отключение поддержки протокола

Так как первая версия протокола является устаревшей, то можно безболезненно отключить ее поддержку (не обязательно)

  1. Открываем меню "Выполнить" с помощью сочетания клавиш Win+R
  2. Вводим команду "cmd", нажимаем ОК
  3. В открывшейся командной строке вводим команду
    dism /online /norestart /disable-feature /featurename:SMB1Protocol

Шаг 3. Закройте все порты на роутере

Если ваш компьютер подключен к сети интернет через роутер, то этот пункт желателен для предотвращения и дальнейших атак. 

ВНИМАНИЕ: после выполнения этого пункта перестанут работать файлообменные сети провайдера, системы умного дома и прочие сервисы, требующие доступа в вашу сеть извне.
  1. Перейдите в браузере по адресу http://192.168.1.0
  2. Войдите в консоль управления роутером
  3. Перейдите в закладку Firewall, закройте все возможные порты на интерфейсе, подключенном к интернету (Поставить на все порты и протоколы правило Deny)

Инструкция для TP-Link



  1. Перейдите во вкладку Security -> Firewall
  2. Активируйте Firewall (Брандмауэр) и функцию IP Address Filtering (Фильтрация по IP адресам), выберите Allow the packets not specified by any filtering rules to pass through the router (Разрешить пакеты, не указанные в правилах фильтрации).
  3. Нажмите Save (Сохранить), чтобы сохранить настройки.
  4. Нажмите IP Address Filtering (Фильтрация по IP адресам) в левой части страницы.
  5. Нажмите Add New (Добавить), чтобы создать и настроить правило фильтрации.
  6. Настройте примерно следующим образом:

    В LAN Address введите адреса соответствующие вашим настройкам LAN (Закладка Network)
    В WAN Address введите адрес соответствующий вашим настройкам WAN (Закладка Network), если выдается динамически, указать диапазон (последние число от 1 до 254)
    Остальное оставить как на изображении
  7. Нажмите Save (Сохранить), чтобы сохранить настройки.  

Проверка портов

Если ваш провайдер предоставляет статический IP, желательно проверить свой IP-адрес на наличие открытых портов с помощью утилиты NMap с компьютера, не находящегося в вашей сети (от соседа, с работы, из ближайшей кафешки)
Для этого скачайте и установите утилиту. Далее в командной строке введите команду:
nmap -Pn <Ваш IP>

Например:
nmap -Pn 188.242.155.50

Вывод должен содержать информацию о том, что отрытых портов не обнаружено.