Mungkin dari media, semua orang sudah sadar bahwa pada 12 Mei, infeksi besar-besaran virus ransomware Windows direkam di seluruh dunia. Wana decrypt0r 2.0 (Ingin, WCry). Serangan menggunakan kerentanan yang cukup baru dalam protokol untuk akses ke file dan printer yang dibagikan - SMBv1. Setelah komputer terinfeksi, virus mengenkripsi beberapa file (dokumen, surat, file database) pada hard drive pengguna, mengubah ekstensi mereka menjadi WCRY. Virus ransomware memerlukan transfer $ 300 untuk mendekripsi file. Pertama-tama, semua OS Windows yang tidak memiliki pembaruan pengoreksian kerentanan dengan protokol SMB 1.0 yang diaktifkan, terhubung langsung ke Internet dan port 445 yang dapat diakses dari luar beresiko. Cara-cara lain dari penetrasi enkripsi ke dalam sistem (situs yang terinfeksi, milis) dicatat. Setelah virus memasuki batas jaringan lokal, virus dapat menyebar secara mandiri dengan memindai host yang rentan di jaringan.
Konten:
- Pembaruan Keamanan Windows untuk Melindungi Terhadap WannaCry
- Menonaktifkan SMB v 1.0
- Status Serangan WCry
Pembaruan Keamanan Windows untuk Melindungi Terhadap WannaCry
Virus mengeksploitasi kerentanan SMB 1.0 yang diperbaiki dalam pembaruan keamanan MS17-010, dikeluarkan 14 Maret 2017. Jika komputer Anda diperbarui secara teratur melalui Pembaruan Windows atau WSUS, cukup untuk memeriksa ketersediaan pembaruan ini di komputer seperti yang dijelaskan di bawah ini..
Vista, Windows Server 2008 | daftar qfe wmic | findstr 4012598 |
Windows 7, Windows Server 2008 R2 | daftar qfe wmic | findstr 4012212 atau daftar qfe wmic | findstr 4012215 |
Windows 8.1 | daftar qfe wmic | findstr 4012213 ataudaftar qfe wmic | findstr 4012216 |
Windows Server 2012 | daftar qfe wmic | findstr 4012214 ataudaftar qfe wmic | findstr 4012217 |
Windows Server 2012 R2 | daftar qfe wmic | findstr 4012213 ataudaftar qfe wmic | findstr 4012216 |
Windows 10 | daftar qfe wmic | findstr 4012606 |
Windows 10 1511 | daftar qfe wmic | findstr 4013198 |
Windows 10 1607 | daftar qfe wmic | findstr 4013429 |
Windows Server 2016 | daftar qfe wmic | findstr 4013429 |
Jika perintah mengembalikan respons yang serupa, maka tambalan yang mencakup kerentanan sudah diinstal.
ttp: //support.microsoft.com/? kbid = 4012213 Pembaruan Keamanan MSK-DC2 KB4012213 CORP \ admin 5/13/2017
Jika perintah tidak mengembalikan apa pun, Anda harus mengunduh dan menginstal pembaruan yang sesuai. Jika April atau Mei pembaruan keamanan Windows diinstal (sebagai bagian dari model pembaruan Windows kumulatif baru), komputer Anda juga dilindungi.
Perlu dicatat bahwa, terlepas dari kenyataan bahwa Windows XP, Windows Server 2003, Windows 8 sudah dihapus dari dukungan, Microsoft dengan cepat merilis pembaruan hari itu..
Kiat. Tautan langsung ke tambalan untuk memperbaiki kerentanan untuk sistem yang dihentikan:
Windows XP SP3 x86 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP3 x86 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Windows XP SP2 x64 RUS - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows XP SP2 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 x86 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x86 ENU - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
Windows Server 2003 x64 RUS - http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2003 x64 ENU - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 8 x86 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64 - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Menonaktifkan SMB v 1.0
Cara sederhana dan efektif untuk melindungi dari kerentanan adalah dengan menonaktifkan sepenuhnya protokol SMB 1.0 pada klien dan server. Jika tidak ada komputer yang menjalankan Windows XP atau Windows Server 2003 di jaringan Anda, ini dapat dilakukan dengan menggunakan perintah
dism / online / norestart / disable-feature / featureename: SMB1Protocol
atau seperti yang direkomendasikan dalam artikel Menonaktifkan SMB 1.0 di Windows 10 / Server 2016
Status Serangan WCry
Menurut informasi terbaru, penyebaran virus ransomware WannaCrypt dihentikan dengan mendaftarkan domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Ternyata, dalam kode virus memiliki akses ke domain ini, jika jawabannya tidak, virus mulai mengenkripsi dokumen. Rupanya, dengan cara ini, para pengembang meninggalkan peluang bagi diri mereka sendiri untuk dengan cepat menghentikan penyebaran virus. Apa yang digunakan salah satu penggemar?.
Secara alami, tidak ada yang mencegah penulis virus untuk menulis versi baru kreasi mereka di bawah eksploitasi ETERNALBLUE, dan ia akan melanjutkan pekerjaan kotornya. Dengan demikian, untuk mencegah tebusan: serangan Win32.WannaCrypt, Anda perlu menginstal pembaruan yang diperlukan (dan menginstalnya secara teratur), memperbarui antivirus, menonaktifkan SMB 1.0 (jika ada), dan jangan membuka port 445 ke Internet tanpa perlu.
Dan saya juga akan memberikan tautan ke artikel bermanfaat yang membantu meminimalkan bahaya dan kemungkinan serangan penyandian pada sistem Windows:
- Perlindungan enkripsi dengan FSRM
- Blokir virus dengan Kebijakan Pembatasan Perangkat Lunak
- Pemulihan file dari salinan bayangan setelah infeksi dengan enkripsi