Интернет

Обновление windows 7 от вируса шифровальщика. Про обновление Windows от вируса-шифровальщика WannaCry.

06.03.2019

Как показал анализ,

  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan.Win64.EquationDrug.gen
  • Мониторинг системы должен быть включен)
  • Защита от сетевых атак должен быть включен).

отчете «Лаборатории Касперского» .

Как вылечить зараженную сеть, если установлено решение «Лаборатории Касперского»

  1. Убедитесь, что компонент Мониторинг cистемы и все его модули включены:
  1. Мониторинг системы , смотрите инструкцию в статье .
  1. Защита от сетевых атак .
  2. Убедитесь, что включен компонент Файловый антивирус .
  3. Запустите задачу Проверка важных областей
  4. Подключите хост к сети.
  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Постоянная защита файлов .
  4. статьи
  5. Запустите задачу Проверка важных областей , чтобы обнаружить возможное заражение как можно раньше.
  6. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  7. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  8. Подключите хост к сети.
  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Постоянная защита файлов .
  4. Запустите задачу Проверка важных областей , чтобы обнаружить возможное заражение как можно раньше.
  5. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  6. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  7. Подключите хост к сети.
  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Файловый антивирус .
  4. Убедитесь, что включен компонент Анти-Хакер .
  5. Запустите задачу Полная проверка , чтобы обнаружить возможное заражение как можно раньше.
  6. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  7. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  8. Подключите хост к сети.

Как вылечить зараженную сеть, если установлено стороннее защитное решение

Воспользуйтесь бесплатными программами «Лаборатории Касперского» для проверки и лечения зараженных компьютеров.

Локальное выполнение:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Запустите задачу сканирования в Kaspersky Virus Removal Tool. Если вы не знаете, как запустить сканирование, смотрите инструкцию в статье .
  4. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  5. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  6. Подключите хост к сети.

Удаленное выполнение:

  1. Установите официальный патч от Microsoft:
  2. Разместите исполняемый файл-утилиту Kaspersky Virus Removal Tool в общедоступной папке.
  3. Выполните запуск утилиты на удаленном хосте (через удаленную командную строку, групповую политику или Kaspersky Security Center с помощью BAT-файла) командой:

\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

  1. share - имя общедоступной папки.
  2. После выполнения данной команды на удаленном хосте будет выполнена проверка БЕЗ лечения и создан лог работы в каталоге \\share\logs\
  1. Для выполнения лечения добавьте к команде параметры -adinsilent -processlevel 1

\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

  1. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Загрузите хост с загрузочного диска Kaspersky Rescue Disk. Если вы не знаете, как создать загрузочный диск Kaspersky Rescue Disk, смотрите инструкцию в статье .
  1. Запустите задачу сканирования. Если вы не знаете, как запустить сканирование, смотрите инструкцию в статье .
  2. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  3. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  4. Подключите хост к сети.

Как избежать заражения сети

Kaspersky Endpoint Security 8/10:

  1. Установите официальный патч от Microsoft:
  2. Убедитесь, что компонент Мониторинг системы и все его модули включены:
  1. Если вы не знаете, как включить Мониторинг системы , смотрите инструкцию в статье .
  1. Убедитесь, что включен компонент Защита от сетевых атак .
  2. Убедитесь, что включен компонент Файловый антивирус .
  3. статье .

Kaspersky Security 10 для Windows Server:

  1. Установите официальный патч от Microsoft:
  2. Убедитесь, что включен компонент Постоянная защита файлов .
  3. Настройте продукт согласно рекомендациям из статьи - данные рекомендации позволят защитить сервер от удаленного шифрования с хостов, у которых есть доступ к сетевым ресурсам сервера.
  4. Обновите антивирусные базы.

Антивирус 8.0 для Windows Servers EE:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Постоянная защита файлов .
  4. Обновите антивирусные базы. Если вы не знаете, как обновить базы, смотрите инструкцию в статье .

Антивирус Касперского 6.0 R2 для Windows Workstations:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Файловый антивирус .
  4. Убедитесь, что включен компонент Анти-Хакер .
  5. Обновите антивирусные базы.

Как распространить обновления от Microsoft с помощью Kaspersky Security Center

Для распространения обновлений от Microsoft с помощью Kaspersky Security Center воспользуйтесь одним из методов:

Основной метод

  1. Загрузите необходимые обновления с ресурсов Microsoft:
  2. Создайте на локальном диске временный каталог и поместите туда загруженные файлы (MSU).
  3. Во временном каталоге создайте BAT-файл и пропишите в нем команду вида:

wusa.exe "%cd%\updatename.msu" /quiet /warnrestart

    updatename - имя файла обновления.

    Пример команды:

wusa.exe "%cd%\kb4012212-x64.msu" /quiet /warnrestart

  1. Данная команда предписывает провести установку обновления, не показывая процесс пользователю, но потом выводит запрос на перезагрузку и дает около минуты на сохранение открытых файлов (отказаться от перезагрузки нельзя).
    Если прописать forcerestart вместо warnrestart - то ПК будет незамедлительно перезагружен, а открытые приложения - закрыты с потерей данных.

    2. В итоге во временном каталоге должен быть BAT-файл и необходимые файлы MSU.

Eсли команду запустить на ПК, где обновление уже установлено или оно не подходит - последствий не будет.

  1. В Kaspersky Security Center перейдите в раздел Удаленная установка\Инсталляционные пакеты и выберите опцию Создать инсталляционный пакет для программы, указанной пользователем .
  1. Создайте инсталляционный пакет, который будет вызывать созданный BAT-файл, при этом обязательно установите флажок копировать всю папку в инсталляционный пакет - чтобы MSU-файлы были включены в пакет.

В BAT-файле вы можете указать установку нескольких обновлений и поместить их все во временный каталог, но размер установочного пакета увеличится.

  1. Созданный пакет установите на ПК. Это можно сделать из выборки ПК по типу ОС (в контекстном меню любой группы ПК выберите Установить программу ), можно создать задачу для группы ПК (в Управляемые ПК выберите корень списка или определенную группу, перейдите на вкладку Задачи и создайте задачу по установке), либо другим привычным вам способом.
    Пакет также можно установить локально.

Альтернативный метод

Условия работы:

  1. Наличие расширенной лицензии на продукт.
  2. Использование задачи Поиска уязвимостей и обновлений для ПО Microsoft . Подробнее о задаче смотрите в статье .

Выполнение:

  1. Перейдите в раздел Дополнительно Управление программами Обновление .
  2. В строке поиска найдите необходимое обновление Microsoft.
  3. В контекстном меню обновления выберите Установить обновление .
  4. Выполните установку на необходимые хосты.

Как безопасно включить хосты, если обновления от Microsoft не установлены

Для безопасного включения компьютеров:

  1. Отключите компьютер от сети организации (отключите сетевой кабель).
  2. В настройках сервисов отключите службу Сервер : в выпадающем списке Тип запуска выберите Отключена .

  1. Подключите сетевой шнур и обновите ОС со всеми перезагрузками.

Убедитесь, что система больше не предлагает установить обновления.

  1. Включите службу Сервер .
  2. Убедитесь, что в Kaspersky Endpoint Security включены компоненты:
    • Файловый антивирус .
    • Мониторинг системы .
    • Защита от сетевых атак .

Была ли информация полезна?

Общие статьи: Общие статьи

Мы проанализировали информацию о заражениях программой-шифровальщиком, получившей название «WannaCry», с которыми 12 мая 2017 года столкнулись компании по всему миру.

Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010 . Затем на зараженную систему устанавливался руткит, с помощью которого злоумышленники запускали программу-шифровальщик.

Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen, а программы-шифровальщики, которые использовались в этой атаке, как:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • PDM:Trojan.Win32.Generic (для детектирования компонент Мониторинг системы должен быть включен)
  • Intrusion.Win.DoublePulsar.a (для детектирования компонент Защита от сетевых атак должен быть включен).
  1. Установите официальный патч от Microsoft, который закрывает используемую в атаке уязвимость:
  2. Убедитесь, что включены защитные решения на всех узлах сети.
  3. Обновите базы всех используемых продуктов «Лаборатории Касперского».

Наши эксперты анализируют образцы вредоносного ПО для установления возможности расшифровки данных.

Более подробную информацию об атаках «WannaCry» вы можете найти в

Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.

Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010 , чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру , Газета.ру , РБК .

Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать и .

Эта уязвимость относится к классу Remote code execution , что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ - локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.

Меры безопасности

Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

  1. Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете , а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости - 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать .
  2. Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана , она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
  3. В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation. Специально для компаний, не имеющих данной подписки, мы предлагаем быстро оформить её в триальный период 30 дней. Для того чтобы запросить ключ активирующий полнофункциональную подписку для вашего шлюза Check Point - напишите на почту [email protected] Подробнее про системы эмуляции файлов вы можете прочитать , и .
Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:

Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry .

Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.

Риск действительно большой!

UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.

Вебинар проводит компания TS Solution и Сергей Невструев, Check Point Threat Prevention Sales Manager Eastern Europe.
Мы затронем следующие вопросы:

  • Атака #WannaCry
  • Масштаб и текущее состояние
  • Особенности
  • Факторы массовости
Рекомендации по безопасности

Как быть на шаг впереди и спать спокойно

  • IPS + AM
  • SandBlast: Threat Emulation и Threat Extraction
  • SandBlast Agent: Anti-Ransomware
  • SandBlast Agent: Forensics
  • SandBlast Agent: Anti-Bot
Зарегистрировать можно, ответив на это письмо, либо пройдя по ссылке на регистрацию .

Компьютерный вирус под оригинальным названием Wanna Crypt (хочу зашифровать) и подходящим сокращенным именем WannaCry (хочу плакать) заблокировал десятки тысяч компьютеров по всему миру 12 мая 2017 года. Уже на следующий день эпидемия была остановлена. Однако разработчики вируса внесли изменения в код, и миллионы компьютеров с операционной системой Windows снова оказались под ударом.

Вирус шифрует файлы и требует выкуп в размере $300. Жертвы уже перечислили десятки тысяч долларов, но сведений о расшифровке пока нет. В любом случае, лучше предотвратить заражение и возможные последствия, чем пытаться спасти информацию после атаки.

1. Установите обновления Windows

Скачайте по адресу https://technet.microsoft.com/library/security/MS17-010 и установите «заплатку» для защиты от WannaCry. В компании Microsoft считают это настолько важным, что выпустили версию даже для Windows XP (поддержка которой была прекращена в 2014 году).

Кроме того, уязвимость, на которой основаны атаки WannaCry, была закрыта в регулярном обновлении Windows еще в марте. Обновите Windows.

2. Сделайте резервные копии важных файлов

Сохраните свои рабочие и личные файлы. Можно скопировать их на внешний жесткий диск или флешку, закачать в «облако», выложить на FTP-сервер, отправить почтой самому себе, коллеге или другу. Только не запишите поверх недавно сохраненных «чистых» файлов их зашифрованные версии. Используйте другие носители. Пусть лучше будет две копии, чем ни одной.

3. Закройте порты 139 и 445

Звучит как фраза из фильма про хакеров, но это не так сложно. И очень полезно, потому что обезопасит ваш компьютер от WannaCry. Нужно сделать следующее:

  • Открыть Брандмауэр Windows (Firewall) – например, через «Сетевые подключения»;
  • Выбрать пункт «Дополнительные параметры» (Advanced Settings);
  • Найти «Правила для входящих подключений» (Inbound rules) – посередине экрана, чуть пролистав вниз;
  • Дальше, начиная с главного меню: «Действие / Создать правило... / Для порта / Определенные локальные порты – 139 / Блокировать подключение» (Action / New rule... / Port / Specified local ports – 139 / Block the connection);
  • аналогично для порта 445.

4. Найдите сетевого администратора или «погуглите» сами

Главное уже сделано, вы в относительной безопасности. Нужно еще заблокировать SMB v1, инспектировать настройки VPN, проверить систему на вирусы. В принципе все это реально сделать самостоятельно. Но будет проще и надежнее найти специалистов.

5. Если не можете выполнить хотя бы пп.1-2 – выключите компьютер

Если по каким-то причинам вы не смогли установить «заплатку» от Microsoft, обновить Windows и сохранить важные файлы на внешних носителях – лучше выключить компьютер. Просто обесточить, чтобы у вируса не было шансов разрушить ваши цифровые активы. В крайнем случае, хотя бы отключите доступ к Интернету.

Дождитесь прихода специалистов, выпуска дешифратора, специальных версий антивирусов «в один клик». Это не займет много времени, а сэкономит годы труда, затраченные на создание всех тех файлов, которые сейчас под угрозой.