Melindungi Windows dari virus ransomware Wana Decrypt0r

Mungkin dari media, semua orang sudah sadar bahwa pada 12 Mei, infeksi besar-besaran virus ransomware Windows direkam di seluruh dunia.  Wana decrypt0r 2.0 (Ingin, WCry). Serangan menggunakan kerentanan yang cukup baru dalam protokol untuk akses ke file dan printer yang dibagikan - SMBv1. Setelah komputer terinfeksi, virus mengenkripsi beberapa file (dokumen, surat, file database) pada hard drive pengguna, mengubah ekstensi mereka menjadi WCRY. Virus ransomware memerlukan transfer $ 300 untuk mendekripsi file. Pertama-tama, semua OS Windows yang tidak memiliki pembaruan pengoreksian kerentanan dengan protokol SMB 1.0 yang diaktifkan, terhubung langsung ke Internet dan port 445 yang dapat diakses dari luar beresiko. Cara-cara lain dari penetrasi enkripsi ke dalam sistem (situs yang terinfeksi, milis) dicatat. Setelah virus memasuki batas jaringan lokal, virus dapat menyebar secara mandiri dengan memindai host yang rentan di jaringan.

Konten:

• Pembaruan Keamanan Windows untuk Melindungi Terhadap WannaCry
• Menonaktifkan SMB v 1.0
• Status Serangan WCry

Pembaruan Keamanan Windows untuk Melindungi Terhadap WannaCry

Virus mengeksploitasi kerentanan SMB 1.0 yang diperbaiki dalam pembaruan keamanan MS17-010, dikeluarkan 14 Maret 2017. Jika komputer Anda diperbarui secara teratur melalui Pembaruan Windows atau WSUS, cukup untuk memeriksa ketersediaan pembaruan ini di komputer seperti yang dijelaskan di bawah ini..

Jika perintah mengembalikan respons yang serupa, maka tambalan yang mencakup kerentanan sudah diinstal.

ttp: //support.microsoft.com/? kbid = 4012213 Pembaruan Keamanan MSK-DC2 KB4012213 CORP \ admin 5/13/2017

Jika perintah tidak mengembalikan apa pun, Anda harus mengunduh dan menginstal pembaruan yang sesuai. Jika April atau Mei pembaruan keamanan Windows diinstal (sebagai bagian dari model pembaruan Windows kumulatif baru), komputer Anda juga dilindungi.

Perlu dicatat bahwa, terlepas dari kenyataan bahwa Windows XP, Windows Server 2003, Windows 8 sudah dihapus dari dukungan, Microsoft dengan cepat merilis pembaruan hari itu..

Kiat. Tautan langsung ke tambalan untuk memperbaiki kerentanan untuk sistem yang dihentikan:

Windows XP SP3 x86 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

Windows XP SP3 x86 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

Windows XP SP2 x64 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows XP SP2 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows Server 2003 x86 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 x86 ENU - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe

Windows Server 2003 x64 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Windows Server 2003 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows 8 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

Windows 8 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

Menonaktifkan SMB v 1.0

Cara sederhana dan efektif untuk melindungi dari kerentanan adalah dengan menonaktifkan sepenuhnya protokol SMB 1.0 pada klien dan server. Jika tidak ada komputer yang menjalankan Windows XP atau Windows Server 2003 di jaringan Anda, ini dapat dilakukan dengan menggunakan perintah

dism / online / norestart / disable-feature / featureename: SMB1Protocol

atau seperti yang direkomendasikan dalam artikel Menonaktifkan SMB 1.0 di Windows 10 / Server 2016

Status Serangan WCry

Menurut informasi terbaru, penyebaran virus ransomware WannaCrypt dihentikan dengan mendaftarkan domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Ternyata, dalam kode virus memiliki akses ke domain ini, jika jawabannya tidak, virus mulai mengenkripsi dokumen. Rupanya, dengan cara ini, para pengembang meninggalkan peluang bagi diri mereka sendiri untuk dengan cepat menghentikan penyebaran virus. Apa yang digunakan salah satu penggemar?.

Secara alami, tidak ada yang mencegah penulis virus untuk menulis versi baru kreasi mereka di bawah eksploitasi ETERNALBLUE, dan ia akan melanjutkan pekerjaan kotornya. Dengan demikian, untuk mencegah tebusan: serangan Win32.WannaCrypt, Anda perlu menginstal pembaruan yang diperlukan (dan menginstalnya secara teratur), memperbarui antivirus, menonaktifkan SMB 1.0 (jika ada), dan jangan membuka port 445 ke Internet tanpa perlu.

Dan saya juga akan memberikan tautan ke artikel bermanfaat yang membantu meminimalkan bahaya dan kemungkinan serangan penyandian pada sistem Windows:

• Perlindungan enkripsi dengan FSRM
• Blokir virus dengan Kebijakan Pembatasan Perangkat Lunak
• Pemulihan file dari salinan bayangan setelah infeksi dengan enkripsi