Author Topic: WannaCry и всё о крупнейшей всемирной вирусной кибератаке всего Интернета  (Read 20036 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Хотел бы в отдельную тему вывести средства борьбы и как действует вирус для технических специалистов
Ссылки на форумы и статьи как бороться, как предотвратить заражение

https://cont.ws/@kemerunec/613768
https://tjournal.ru/44261-chto-izvestno-o-masshtabnoi-hakerskoi-atake
https://tjournal.ru/44266-kak-obezopasit-sebya-ot-virusa-zarazivshego-komputeri-po-vsemu-miru
https://tjournal.ru/44260-pryamaya-translyaciya-masshtabnaya-kiberataka





--- --- ---

Мир, похоже, стал свидетелями если не самой крупной, то одной из наиболее крупных кибератак в масштабах всего интернета. Вирус-вымогатель заражает компьютеры по всему миру, и это похоже на настоящую эпидемию с огромной скоростью распространения.

При этом заражаются компьютеры и сети различных государственных учреждений и служб, отчего их работа оказывается парализована. Первыми были атакованы компьютеры госпиталей Великобритании, затем сообщения о вирусе начали поступать из Испании и Португалии, где пострадали сети телефонных компаний. На данный момент сообщения о заражении поступали из Великобритании, США, Китая, России, Испании, Италии, Вьетнама, Тайваня. При этом, по сообщениям «Лаборатории Касперского», наибольшее число атак зафиксированно именно в России.

Дополнительным фактором для подозрений служит то, что именно в России наблюдается наибольшее число атак на государственные учреждения, в том числе на силовые ведомства. Помимо сети "Йота" и "Мегафон", работа которых были дестабилизированы вирусом, сообщалось, что под атаку попали сети МВД, МЧС, РЖД, крупного банка и Следственного комитета. Однако в Следкоме впоследствии сообщения о взломе опровергли.

Все это позволяет многим наблюдателям говорить о том, что именно Россия является основной целью хакеров. А атаки на прочие страны, как и вымогаемые злоумышленниками деньги - всего лишь отвлекающий маневр.

Суть работы вируса проста: вредоносная программа блокирует компьютеры, шифрует их файлы и требует за разблокировку оплату в биткойнах. Изначально речь шла о «вознаграждении» в размере $300 на биткойн-кошелек. Однако тот же «Касперский» сообщил о сумме в два раза большей: «За расшифровку данных злоумышленники требуют заплатить выкуп в размере $600 в криптовалюте Bitcoin», - цитирует РИА «Новости» представителя компании.

При этом сообщается, что на указанные хакерами кошельки уже начали поступать средства от пострадавших пользователей. По некоторым данным, триста долларов - первая запрашиваемая сумма, впоследствии она возрастает. За переведенную оплату хакеры обещают предоставить ключ-дешифратор, который якобы разблокирует данные на компьютере. Это не первый вирус такого рода, подобные программы известны уже давно.

"Вредонос не только криптует файлы, но и сам осуществляет сканирование интернета на предмет уязвимых хостов",- рассказывают эксперты.

"Судя по специализации большей части жертв, которые в первую очередь подверглись атаке (медучреждения), злоумышленники постарались добраться до организаций, для которых оперативный доступ к информации и корректная работа IT-инфраструктуры являются в буквальном смысле вопросом жизни и смерти. Соответственно, они будут готовы быстро заплатить вымогателям деньги, чтобы вернуть работоспособность своей инфраструктуры. Циничность и масштабы деятельности компьютерных злоумышленников растут. Мы имеем дело с хорошо скоординированной атакой международного уровня», - соообщил представитель Avast.

"WannaCry ломается при отсутствии файлов. А еще программа поддерживает 28 языков. Напоминаем, атаки зафиксированы в 74 странах",- пишут специалисты в твиттере.

Однако многие подозревают, что эти хакеры лишь маскируются под мошенников, истинная же цель - совсем иная. А именно - кибератаки на Россию.

Шквал атак именно на российские компьютеры и сети и именно сейчас многие склонны связывать с грядущими президентскими выборами. «Пишут в личку такую версию: другие страны атакованы для отвода глаз. Хакеры выкачивают инфу для сливов под выборы в РФ», - сообщает телеграмм-канал «Кстати!». А в телеграме «Незыгарь» подводят под нее существенную агрументацию: «Хакерская атака на общероссийскую информационную базу ФИСМ 12 мая в течение 40-45 минут оставалась незамеченной в регионах. По предварительным данным, все это время продолжалось скачивание базы данных системы.

Хакеры могли получить доступ не только регистрационным данным граждан и автотранспорта, но и к базе судебных приставов, которая подгружена в ФИСМ. Ранее базы были объединены для блокировки регистрационных действий со спорным движимым имуществом».

Отдельное беспокойство вызывают атаки на сервера силовых ведомств: хотя Следком избежал заражения, однако МВД пострадало на самом деле. Впрочем, официальный представитель МВД сообщила, что основные закрытые системы и базы полиции не пострадали - из-за того, что они работают на "Эльбрусах". "У злоумышленников точно нет версии вируса, скомпилированной под архитектуру „Эльбруса" - она довольна сложная (хотя ARM в наших с вами мобильных устройствах и x86/x64 в компьютерах тоже сложны), ведь она заточена под параллельные вычисления и защищённое исполнение процессов",- обсуждают и подтверждают на Tjournal ответ МВД.

«Удивительно конечно, насколько быстро и незаметно подкрался киберпанк. И страшновато, что мы плетемся в хвосте этого процесса глобальной дивномиризации - обратите внимание, какой легкой мишенью оказались отечественные госструктуры. Вот где актуальная повестка-то, и этого пока ни Навальный, ни власть не считывают - оба оказались для стремительно меняющейся реальности допотопными динозаврами, сколько бы Навальный ни монтировал «смишных» роликов с дронами. Этику искусственного интеллекта надо изучать, УК для роботов, философию интернета вещей. Или хотя бы кибербезопасность на уровне «не надо открывать письма с незнакомых адресов, которые предлагают забрать выигрыш миллиона евро"», - пишут в Телеграме, и в этих словах немало правды.

Также Politico ответственно заявляет - злоумышленники, требующие выкуп "использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers, которые утверждали, что получили доступ к якобы разработанным АНБ программам".

Полученный ими софт, как выяснилось, нацелен на взлом компьютеров, работающих под управлением операционной системы (ОС) Windows производства Microsoft. "С помощью них любой пользователь, обладающий достаточными техническими знаниями, может нанести ущерб миллионам пользователей этой ОС, утверждают хакеры. Программы также позволяют взламывать межсетевые экраны и похищать электронные данные",- пишут СМИ.

Кстати, Financial Times уже заявила, что WannaCry представляет собой модифицированную вредоносную программу Агентства национальной безопасности США Eternal Blue. Программа распространяет вирус через протоколы обмена файлами, которые установлены на компьютерах многих организаций по всему миру.

"В свете сегодняшней атаки конгрессу нужно узнать, знает ли АНБ о других уязвимостях операционных систем, [используемых больницами, аэропортами, силовиками, энергетикаи и банкирами]. Если бы АНБ не скрывало бреши, которые использовались для атак на те же госпитали, действия хакеров можно было бы предотвратить",- уже заявил экс-агент ЦРУ и АНБ Эдвард Сноуден.

И здесь можно вспомнить, что угрозы кибератак на Россию поступали из США в том самом 2016-м, еще при Обаме. Об атаках американских военных хакеров, проникших в энергосистему России, телекоммуникационные сети и "системы командования Кремля", сделав их уязвимыми для атак секретного американского кибероружия сообщили тогда NBC News. Добавив, что они готовы "нанести удар, если потребуется".

Добавим, что портал Tjournal опбуликовл подробную инструкцию о том, как защититься от вируса WannaCry, а также как удалить WannaCry и расшифровать свои файлы в случае их поражения.

Распространение вируса-вымогателя WCry (Wanna Cry), который накануне заразил более 70 тысяч компьютеров по всему миру, удалось остановить, передает «Медуза» со ссылкой на твиттер MalwareTechBlog, который ведет специалист по безопасности.

Пользователь обратил внимание, что WCry по неясной причине обращается к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Автор блога MalwareTechBlog зарегистрировал домен с таким именем, чтобы проследить за активностью вируса.

После этого распространение вредоносной программы прекратилось, а в ее коде говорилось, что если обращение к этому домену успешно, то распространение следует прекратить, если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

По словам программиста, он не знал, что при создании домена распространение вируса прекратится. «Так что теперь я могу добавить "случайную остановку международной кибератаки" в мое резюме», — написал он.

Вирус-вымогатель WCry (Wanna Cry) распространился 12 мая. По данным компании Avast, в 99 странах было зафиксировано 75 тысяч кибератак с использованием вируса WanaCrypt0r 2.0. Наибольшее число зараженных компьютеров было в России, на Украине и в Тайване.

При этом в «Лаборатории Касперского» зафиксировали около 45 тысяч атак программы-шифровальщика WannaCry в 74 странах.

В России вирус атаковал сети «Мегафона», «Билайна», «Связного», РЖД, Минздрава, Сбербанка, МВД и Следственного комитета. В Великобритании жертвой Wanna Cry стала Национальная служба здравоохранения, а в Германии — сервисы компании Deutsche Bahn, которая является основным железнодорожным оператором страны.

Хакеры использовали известную сетевую уязвимость Microsoft Security Bulletin MS17-010. На зараженную систему устанавливался набор скриптов, который запускал программу-шифровальщик.

При этом в самой компании Microsoft рассказали, что специалисты «добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom: Win32.WannaCrypt».

Читайте больше на http://www.politonline.ru/interpretation/22890331.html
« Last Edit: May 13, 2017, 07:09:38 PM by cybermanchik »

REDACTED

  • Guest
https://tjournal.ru/44266-kak-obezopasit-sebya-ot-virusa-zarazivshego-komputeri-po-vsemu-miru?from=relap
--- --- ---
Как обезопасить себя от вируса, заразившего компьютеры по всему миру

Первые действия обычного пользователя (активные ссылки на сайте по ссылке выше, а в тексте просто как текст без ссылок)
---

Почти единовременные сообщения о масштабных сбоях во многих странах могли вызвать панику и ощущение незащищённости среди обычных пользователей сети.

Жертвами программы-шифровальщика в основном стали сервера крупных организаций, у которых злоумышленники намеревались украсть деньги. От воздействия не были застрахованы обычные пользователи, правда, защититься от вируса просто.
Распространение вируса

Вирус представляет собой новую версию WannaCry (WNCRY) и называется Wana Decrypt0r 2.0. Есть несколько способов заразить им компьютер. Вредоносное программное обеспечение может прийти по электронной почте или пользователь рискует случайно скачать его сам — например, загрузив что-то пиратское с торрентов, открыв окно с поддельным обновлением и скачав ложные файлы установки.

Но основным вариантом становятся отправленные на электронную почту письма. Жертва получает инфекцию, кликнув по вредоносному вложению. Чаще всего речь идёт о файлах с расширениями js и exe, а также документах с вредоносными макросами (например, файлах Microsoft Word).
Что делает вирус

Проникнув в систему, троян сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY: так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и системным файлам.

Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус блокирует приложение постфактум, файлы уже зашифрованы, и хотя программа недоступна, информация о блокировке размещена на экране рабочего стола — вместо обоев.

Каждая жертва программы-вымогателя видит предложение бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Потерпевшему предлагается приобрести биткоины и отправить указанную сумму на кошелёк. Однако никто не гарантирует, что после уплаты выкупа устройство перестанет быть парализованным.
Обновление

Угроза заражения WNCRY не затронет пользователей macOS, в то время как обладателям компьютеров на операционной системе Windows следует побеспокоиться. Речь идёт о Windows Vista, 7, 8, 8.1 и 10, а также Windows Server 2008/2012/2016.

В марте 2017 года Microsoft отчиталась о закрытии уязвимости, через которую 12 мая были заражены компьютеры. Скорее всего, программа в случайном порядке распространилась только на тех, кто вовремя не обновился. С сайта Microsoft можно скачать патч MS17-010, который закроет уязвимость.

После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов вроде Kaspersky или Symantec также стоит загрузить последнюю версию.

В антивирусе необходимо включить компонент «Мониторинг системы». Затем нужно проверить систему: в случае обнаружения вредоносных атак (MEM:Trojan.Win64.EquationDrug.gen) — вновь перезагрузить систему и убедиться, что патч MS17-010 установлен.
Удаление

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wncry.

1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

Последний шаг для обычного пользователя — восстановление зашифрованных файлов, которое следует выполнять только после удаления Wncry. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Эти способы не гарантируют полного восстановления файлов.
« Last Edit: May 15, 2017, 02:27:19 PM by cybermanchik »

REDACTED

  • Guest
Прямая трансляция: Масштабная кибератака

https://tjournal.ru/44260-pryamaya-translyaciya-masshtabnaya-kiberataka
--- --- ---
Никита Лихачёв в 20:35, 12 мая

Что за вирус

Речь идёт о вирусе-шифровальщике Wana Decrypt0r. Это новая версия вируса WannaCry, которая шифрует файлы на компьютере так, чтобы пользователь не смог получить к ним доступ. Вернуть доступ злоумышленники обещают при уплате выкупа: его требуют отправить на биткоин-кошелёк. Коротко — весь компьютер парализован, и либо ты ищешь специалистов, которые справятся с угрозой и удалят её с компьютеров, либо (если доступ нужен срочно) придётся платить выкуп.

Никита Лихачёв в 20:41, 12 мая

Как проявляет себя вирус

На компьютере появляется предупреждение, примерно такое же, как на фотографии в шапке этой трансляции. Оно даже имеет переводы на несколько десятков языков, то есть злоумышленники реально стараются убедить пользователя в том, что ему нужно как можно быстрее перевести деньги.

Судя по многочисленным скриншотам, появившимся в сети, WanaCrypt0r сначала требует 300 долларов (в биткоинах) за разблокировку. Стоимость выкупа вырастет через трое суток. Через неделю злоумышленники угрожают удалить все файлы на компьютере.

Никита Лихачёв в 20:45, 12 мая

Кого затронула атака

Самая крупная организация, подверженная атаке — Национальная служба здравоохранения Англии, NHS. В России источники СМИ говорят об атаках на МВД, СК, «Связной», но пока официально подтвердили это только в «МегаФоне».

Никита Лихачёв в 20:49, 12 мая

Официально в МВД говорят о проведении «плановых работ на внутреннем контуре», сообщили «Газете.ру», хотя источник издания говорит о хакерской атаке. Life.ru тоже напирает, правда, ссылаясь при этом на Varlamov.ru, что атака была и МВД не защитил антивирус от «Лаборатории Касперского» (которая сейчас помогает справиться с атакой «МегаФону»).

Никита Лихачёв в 20:52, 12 мая

Только что передал RNS: в Group-IB заявили, что МВД действительно атаковал вирус-шифровальщик. По его словам, утечкой это заражение не грозит, но на ликвидацию последствий может уйти несколько дней. «Но если данные не были зарезервированы, то есть вероятность, что придётся реально платить выкуп», — заявил Илья Сачков, основатель Group-IB.

Никита Лихачёв в 21:17

В официальном заявлении NHS говорится, что атака затронула как минимум 16 отделений организации (New York Times уточняет: позднее их число выросло до 25).

Никита Лихачёв в 21:22

Один из пользователей GeekTimes рассказал, что сегодня (12 мая) устанавливал на компьютеры в своей компании Windows Server 2008R2 с чистых образов, и как только он настраивал на машине статический IP-адрес, она сразу же оказывалась заражена.

«Единственное что было установлено в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
ISO-образ был также получен из официального источника — репозитория Fedora, хеш-суммы также совпадают. В логах Windows я не нашёл ничего необычного. На данный момент до конца не известно, как именно произошло заражение и какие конкретно версии Windows уязвимы».

Евгений Кузьмин в 22:24

Пишут, что хакерская атака затронула и систему городских электричек во Франкфурте. На табло оповещений о прибывающих поездах появилось то же окно с сообщением о взломе.



Евгений Кузьмин в 22:43

В МВД официально подтвердили, что их серверы подверглись хакерской атаке. Из-за неё пришлось заблокировать более тысячи заражённых компьютеров. Ранее в пресс-службе ведомства говорили, что ведутся «плановые работы на внутреннем контуре».

По словам представителей МВД, вирус уже локализован, и ведутся работы «по его уничтожению».


Никита Лихачёв в 23:31

Читатель этой трансляции по имени Викентий меня поправляет — разница в том, что в МВД сервера работают на «Эльбрусах», есть. Процитирую его:

«Про то, что „Эльбрус — не Эльбрус — разницы нет“. Как раз есть! У злоумышленников точно нет версии вируса, скомпилированной под архитектуру „Эльбруса“ — она довольна сложная (хотя ARM в наших с вами мобильных устройствах и x86/x64 в компьютерах тоже сложны), ведь она заточена под параллельные вычисления и защищённое исполнение процессов.

Да, „Эльбрусы“ умеют загружать Windows и исполнять .exe, но только в режиме защищённой эмуляции с транслированием машинных команд к процессору. Но дело даже не в этом — на серверных „Эльбрусах“ сейчас стоят не Windows, а системы, собранные именно под эльбрусовскую архитектуру (потому что Win теряет в производительности очень при трансляции машинных кодов). Вот такая вот security through obscurity :)»

Никита Лихачёв в 23:40

Снова новости от RNS: Сбербанк тоже оказался атакован вирусом, но там попытку проникновения успешно отбили.

«Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновений вирусов в систему не произошло».

Никита Лихачёв в 23:47

И Yota тоже

Мне пишет сотрудник из Yota (попросил остаться анонимным), который тоже столкнулся с вирусом вымогателем. По его словам, после посещения корпоративного портала MegaNet у него тоже появилось уже всем знакомое красное окно, правда, файлы остались незаблокированными и по-прежнему доступны.

Теперь доступ к порталу для сотрудников временно закрыт (просят не пользоваться до разрешения ситуации), а из «Скартела» (владеет Yota, принадлежит «МегаФону») пришло такое письмо. Судя по всему, пока вся офисная работа парализована — пусть и ночь пятницы уже.



Никита Лихачёв в 0:22

Если действительно в шифровальщик WannyCry зашиты всего три биткоин-кошелька (1, 2, 3), то пока что на них перечислили не так много средств: в общей сложности 4 биткоина, или примерно 6400 долларов. Присылали суммами по 200-500 долларов, первая транзакция — 12 мая в 11 часов утра



Никита Лихачёв в 1:11

Пишет нам источник, близкий к «Руфсинанс банку» — входит в «Росбанк» и принадлежит европейской группе Societe Generale. Там тоже несколько пользователей столкнулось с блокировкой рабочих компьютеров (есть пруфы, в том числе фотографии).

Проблема, слава богу, не массовая. Но странные меры реакции: специалистам указали стирать сотрудникам все жёсткие диски подчистую и не пытаться восстановить информацию. Надеюсь, у них были бэкапы.

Никита Лихачёв в 1:20

Ещё один сотрудник из Yota поясняет мне, что на самом деле в компании ничего из систем не пострадало, тоже пара человек поймала вирус на рабочих компьютерах из систем «МегаФона». Видимо, действительно вирус разошёлся через корпоративный портал MegaNet, поэтому попросили в него и не заходить.

Никита Лихачёв в 1:34

По заражению вирусом РЖД пока неясно. Один источник пишет, что проблема в отсутствии физического разделения внутренней сети РЖД (интранета) и интернета. Другой сообщает, что в компании уже создали некий оперативный штаб по решению сложившейся проблемы. Масштаб неясен, официальных сообщений до сих пор нет.

Никита Лихачёв в 11:53

РЖД тоже

Итак, снова новости по вирусу. RNS всё-таки удалось подтвердить в РЖД факт вирусной атаки.

«Вирус в настоящее время локализован, проводятся технические работы по его уничтожению и обновлению антивирусной защиты. Благодаря оперативным административно-управленческим решениям сбоев в технологическом процессе не было. Перевозки пассажиров и грузов осуществляются в рабочем режиме».

Как пояснял мне один из источников, «оперативные административно-управленческие решения» в том числе заключались в экстренном вырубании от сети компьютеров секретарей (причём чуть ли не сантехниками).

Никита Лихачёв в 11:55

Сбербанк вчера заявлял, что успешно отбил атаку. Но видимо не везде.



Никита Лихачёв в 13:51

Из-за атаки на МВД в некоторых регионах России перестала работать система ГИБДД по выдаче водительских прав, сообщает источник ТАСС. Где именно, не уточняется.

Если вам не выдают права из-за вируса или что-то ещё где-то не работает, пишите на nikita@tjournal.ru или в Telegram на @niketas.

Никита Лихачёв в 14:15

ФСБ разослала предупреждения о вирусе WanaDecrypt0r через свою новую систему оповещений о киберугрозах ГосСОПКА, сообщает RNS. В самом ведомстве заражений не зафиксировано.

Никита Лихачёв в 15:07

Renault и Nissan тоже

Два крупных автопроизводителя пострадали от вируса. В Renault — первой крупной французской компании из списка — на нескольких заводах остановили производство, чтобы предотвратить распространение WanaDrecrypt0r, сообщает Reuters. Например, приостановлен завод в Сандувиле, полный список не раскрывают, как и количество заражённых компьютеров.

В Nissan такая же проблема: вчера на некоторое время остановилась работа завода в Сандерленде (Великобритания), сообщает газета The Newcastle Evening Chronicle. Работников завода сегодня отправили домой, старшие сотрудники до сих пор разбираются с проблемой.

Никита Лихачёв в 15:36

Пишут, что лайфхак с регистрацией «бессмысленного» домена помог остановить лишь первую волну WanaDecrypt0r — тот штамм вируса лишь блокировал файлы на компьютере. Новые версии вируса этот домен игнорируют.

Кроме того, они умеют заражать все уязвимые компьютеры по локальной сети, пишет Кеннет Уайт из Open Crypto Audit Project.

Никита Лихачёв в 15:39

Говорят, так выглядела ситуация в РЖД. Фото скинул источник, судя по беджику на столе — настоящее.


« Last Edit: May 14, 2017, 12:05:48 AM by cybermanchik »

REDACTED

  • Guest
Обновления для Windows от Microsoft

Цитата с сайта https://club.esetnod32.ru/news/novosti_eset/epidemiya-shifratora-wanna-cry-chto-sdelat-dlya-izbezhaniya-zarazheniya-poshagovoe-rukovodstvo/
Quote
Шифратор эксплуатирует уязвимость Microsoft от марта 2017 года. Для минимизации угрозы необходимо срочно обновить свою версию Windows:

Прямая ссылка на обновление: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Перевод информации от Microsoft по ссылке https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ через Google переводчик автоматически на русский язык (ссылки в тексте смотрите по оригинальной ссылке, в цитате ниже они удалены)

Quote
Руководство для клиентов по атакам WannaCrypt

Аватар пользователя msrc-team Команда MSRC 12 мая 2017 г. 0

Решение Microsoft для защиты дополнительных продуктов

Сегодня многие наши клиенты по всему миру и критические системы, от которых они зависят, стали жертвами вредоносного программного обеспечения WannaCrypt. Видеть бизнес и отдельных лиц, пострадавших от кибератаков, таких как те, о которых сообщалось сегодня, было болезненно. В течение дня Microsoft работала над тем, чтобы мы понимали атаку и предпринимали все возможные действия для защиты наших клиентов. В этом блоге изложены шаги, которые каждый человек и бизнес должны предпринять, чтобы оставаться защищенным. Кроме того, мы предпринимаем весьма необычный шаг для обеспечения безопасности для всех клиентов, чтобы защитить платформы Windows, которые находятся только в пользовательской поддержке, включая Windows XP, Windows 8 и Windows Server 2003. Клиенты, работающие под Windows 10, не были атакованы атакой Cегодня.

Подробности приведены ниже.

    В марте мы выпустили обновление для системы безопасности, в котором рассматривается уязвимость, которую эти атаки эксплуатируют. Те, у кого установлен Центр обновления Windows, защищены от атак на эту уязвимость. Для организаций, которые еще не применяли обновление для системы безопасности, рекомендуется немедленно развернуть бюллетень по безопасности Microsoft MS17-010 .
    Для клиентов, использующих Защитник Windows, сегодня мы выпустили обновление, которое обнаруживает эту угрозу как Ransom: Win32 / WannaCrypt . В качестве дополнительной меры «углубленной защиты» регулярно обновляйте антивирусное программное обеспечение, установленное на ваших компьютерах. Клиенты, использующие программное обеспечение для защиты от вредоносных программ от любого числа компаний в области безопасности, могут подтвердить своим провайдером, что они защищены.
    Этот тип атаки может развиваться со временем, поэтому любые дополнительные стратегии глубинной защиты будут обеспечивать дополнительные меры защиты. (Например, для дальнейшей защиты от атак SMBv1 заказчикам следует рассмотреть возможность блокировки устаревших протоколов в своих сетях).

Мы также знаем, что некоторые из наших клиентов работают с версиями Windows, которые больше не получают поддержку основного потока. Это означает, что эти клиенты не получат вышеупомянутое обновление для системы безопасности, выпущенное в марте. Учитывая потенциальное влияние на клиентов и их бизнес, мы приняли решение сделать обновление безопасности для платформ только в пользовательской поддержке, Windows XP, Windows 8 и Windows Server 2003, которые доступны для загрузки (см. Ссылки ниже).

Это решение было принято на основе оценки этой ситуации, с принципом защиты нашей экосистемы клиентов в целом, твердо в виду.

Некоторые из наблюдаемых атак используют общую тактику фишинга, включая вредоносные вложения. Клиенты должны использовать бдительность при открытии документов из ненадежных или неизвестных источников. Для клиентов Office 365 мы постоянно контролируем и обновляем для защиты от таких угроз, включая Ransom: Win32 / WannaCrypt. Более подробную информацию о вредоносном ПО можно получить в Центре защиты от вирусов Майкрософт в блоге безопасности Windows . Для новичков в Центре защиты от вредоносных программ Microsoft это техническая дискуссия, посвященная предоставлению ИТ-специалисту безопасности информации для дальнейшей защиты систем.

Мы работаем с клиентами над предоставлением дополнительной помощи по мере развития этой ситуации и в случае необходимости обновим этот блог.

Филипп Миснер, главный менеджер группы безопасности Microsoft Security Response Center

Дополнительные ресурсы: 

Загрузите обновления для системы безопасности на английском языке: Windows Server 2003 SP2 x64 , Windows Server 2003 SP2 x86, Windows XP SP2 x64 , Windows XP SP3 x86 , Windows XP Embedded SP3 x86 , Windows 8 x86, Windows 8 x64

Чтобы скачать локализованные версии для обновления безопасности для Windows XP, Windows 8 или Windows Server: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Общая информация о ransomware: https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

Обновление безопасности MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

P.s. От себя скажу что не зная пока откуда идут эти хвосты по этому вирусы от АНБ или группы хакеров или самой Майкрософт, то подозревать даже Майкрософт можно и что они предлагают обновить и что внутри их обновлений непонятно
Потому что действовать стали нагло вспоминая эту историю с принудительным обновлением Windows до Windows 10
А то что этот вирус не затронул Windows 10  - это 50 на 50 что ОС хорошая или что очередной этап принудиловки для обновления
« Last Edit: May 15, 2017, 02:26:30 PM by cybermanchik »

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3502
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Проверил у себя на наличие этих двух обновлений 4012212 и 4012215 от 15 марта сего года.У меня стоит 4012215.Пока тишина полная ! А дальше время покажет !
Я частичку своей жизни оставил в Ютербоге Германии !

REDACTED

  • Guest
Нашел интересное подробное описание лечения после вирусов шифровальщиков

Т.к. там много ссылок не буду сюда текст копировать, но написано умно и подробно как раз для тех кто заразился

http://remontka.pro/files-encrypted-ransomware/

REDACTED

  • Guest
А я как человек нестандартных подходов, хочу спросить у спецов:

Как обхитрить вирусы шифровальщики, чтобы они не могли задействовать свой механизм шифрования в Windows ?

Я просто как-то давно при распространении вирусов Авторанер через сетевые диски применил хитрость создал файлы autorun.inf пустые в корневиках сетевых папок на сервере и в NTFS запретил запись и чтение их и всё вирусы с компов уже не смогли распространиться по сети дальше и конечно вырубил на время питание свичей разделив сеть и проверяли компы с компакт-дисков и по одному подключали к сети

Так вот может с шифровальщиками, чтобы не ставить подозрительное ПО для защиты от них, может можно применить какую-то хитрость, отключить какие-то службы, создать пустые файлы с запретом и т.п., чтобы они не смогли работать или они используют свои внутренние автономные механизмы шифрования ?
« Last Edit: May 15, 2017, 02:30:54 PM by cybermanchik »

REDACTED

  • Guest
Еще одна полезная страничка

Как защититься от шифровальщиков?

    - Сохраняйте резервные копии ваших данных на внешний накопитель.
    - Используйте антивирусные средства и не забывайте обновлять антивирусные базы. Как бы просто это не звучало, но это действительно может избавить вас от лишних проблем.
    - Ограничьте запуск некоторых потенциально опасных типов файлов. К примеру, с расширениями .js, .cmd, .bat, .vba, .ps1. Для этого нужно выполнить команду — gpedit.msc, далее перейти в раздел Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики управления приложениями — AppLocker — Правила сценариев, и с помощью мастера задать новое правило на запрет запуска всех сценариев для всех пользователей, например, на системном диске. Даже это простое действие может не раз спасти вас от неприятностей



- Будьте внимательны!  Расскажите о вирусах шифровальщиках своим знакомым, чтобы они также не попадались на уловки мошенников. Все мы знаем, что предупрежден, значит вооружен!

REDACTED

  • Guest
«Это не заговор против нас, а банальное ************* (халатность)»

https://esquire.ru/wannacry

Вирус-вымогатель 12 мая заблокировал десятки тысяч компьютеров по всему миру, в том числе в крупных компаниях и госучреждениях, например, МВД. Больше всех пострадала Россия. Esquire разбирается, почему заражение стало таким массовым и что изменится после случившейся атаки.

Программы-вымогатели, шифрующие данные на компьютере и требующие от пользователя деньги за дешифровку, появились давно. Первым принято считать троян AIDS, или PCCyborg, – в 1986 году его придумал антрополог Джозеф Попп. Программа шифровала имена файлов и требовала отправить 189 долларов на почтовый ящик в Панаме. Через три года Поппа арестовали и отправили в психиатрическую лечебницу. Эксперты тогда писали, что трояны такого рода крайне слабы и уязвимы. Но сегодня все изменилось. Современные алгоритмы шифрования, хранение ключей не на компьютере жертвы, а на специально арендованных серверах, ограниченное время на выкуп, после которого данные удаляются, – все это не позволяет пользователям получить свою информацию обратно. Кроме того, хакеры часто ошибаются в коде, и это приводит к тому, что расшифровать данные не удается, даже заплатив «выкуп» .

Первое сообщение о распространении WanaCrypt0r появилось в 4 часа утра 12 мая. Его опубликовали в твиттере специалисты компании MalwareHunterTeam. Через 30 минут от них же стало известно, что менее чем за три часа жертвами трояна стали 11 стран, среди которых и Россия. Практически сразу от WannaCry пострадало несколько европейских телефонных операторов, а уже днем в паблике «Подслушано полиция» появились первые сообщения о заражении компьютеров в региональных управлениях российского МВД и СК (некоторое время эту информацию отрицали, однако потом правоохранители были вынуждены признать проблему). На момент выхода статьи по данным Intel от трояна пострадало уже более 160 тысяч машин по всему миру.

WanaCrypt0r шифрует не все данные, а только важные для пользователя – документы Office, почту, архивы, файлы с ключами шифрования. За дешифровку взломщики требуют перевести на один из биткоин-адресов от 300 до 600 долларов (причем, требование о выкупе можно перевести на один из 27 языков – от болгарского и польского до английского, китайского и русского).

Но внимание специалистов привлекло необычайно быстрое распространение и абсолютная уязвимость перед ним локальных сетей множества компаний и государственных учреждений. Пострадали не только простые пользователи (традиционные жертвы криптолокеров), но и сети железнодорожных вокзалов Германии, английского министерства здравоохранения, концерна Nissan и многих других. Такая массовость стала возможна из-за использования уязвимости в Windows, доступ к которой киберпреступникам обеспечила база данных, опубликованная группой ShadowBrocker пять недель назад. Эта база эксплойтов (программных способов использования уязвимостей) принадлежала Equation Group – хакерской организации, которую многие эксперты связывают с ЦРУ. Один из методов, EternalBlue, позволяет вирусу заражать все машины в локальной сети после инфицирования одной, и именно этот метод использовался во вчерашней атаке.

Как сообщил Esquire источник в МВД России на условиях анонимности, основной причиной заражения полицейских компьютеров стало халатное отношение к безопасности: «На самом деле это не какой-то заговор против нас, а банальное ************* (халатность)». В регионах на очень многих компьютерах установлены старые версии Windows, которые уже не поддерживаются и не получают обновлений. Новые же часто тоже не обновляются. Внутренние «защищенные» сети имеют какие-то закрытые каналы, но по сути это обычная локалка, в которой люди играют в игры и смотрят фильмы. Дальше – просто человеческий фактор, в бухгалтерию присылают письмо со ссылкой, например, там его открывают, после этого все компьютеры сети заражены. На мой взгляд, тут, скорее всего была обычная рассылка фишинговых писем с ссылками или файлами».

Версия фишинга является одной из основных, однако на данный момент нет точных данных ни о первой зараженной машине, ни о том, как именно вирус доставляется получателю. Hаспространение удалось приостановить специалисту из MalwareTechBlog. Он обнаружил, что троян обращается к несуществующему адресу uqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, и решил зарегистрировать этот домен, чтобы отследить скорость распространения. После регистрации выяснилось, что домен был «аварийным выключателем». Если он доступен, то WannaCry получает положительный ответ на запрос и не заражает устройство.

По мнению основателя проекта информационной безопасности Group-IB Ильи Сачкова, вымогатели действительно рассчитывали на массовость заражения – только это позволило бы им получить достаточное количество денег. Планировали ли злоумышленники, что алгоритм распространения окажется настолько эффективным, говорить пока рано, так как их личность еще не известна.

Из-за скандала Microsoft занялась срочным устранением уязвимости, однако, по мнению Ильи Сачкова, повторение атаки с использованием другой уязвимости из архива ShadowBrockers вполне возможно. «Сейчас Microsoft пошла на особые меры, выпустив обновления для уже не поддерживающихся систем, которые закрывают конкретно данную уязвимость. Однако ShadowBrockers выложили в свободный доступ еще десятки инструментов, поэтому надо помнить, что использование версий ОС более, чем 10-летней давности – прямой путь к заражению».

Вернут ли пользователи свои данные и будет ли разработано «лекарство» от WannaCry, тоже пока неизвестно. «Современные алгоритмы шифрования, доступные даже не сильно подкованным злоумышленникам, настолько сложны, что на расшифровку кода могут уйти годы», – считает Сачков.

Затею вымогателей сложно назвать действительно успешной: несмотря на то, что WanaCryptor привлекла массовое внимание, вымогатели получили только 15,08 BTC (около 26 тысяч $). Выкуп, на момент выхода статьи заплатили 88 человек.

Международный проект No More Ransome, борющийся с вирусами-вымогателями, рекомендует пострадавшим от WannaCry или любого другого криптолокера не платить выкуп, так как нет гарантии, что в ответ вы получите действующий ключ, а полученные преступниками деньги будут мотивировать их выпускать все новые и новые трояны.
« Last Edit: May 15, 2017, 12:31:36 AM by cybermanchik »

REDACTED

  • Guest
00:53 Георгий Тадтаев

Глава Microsoft указал на вину ЦРУ и АНБ в глобальной вирусной атаке

http://www.rbc.ru/technology_and_media/15/05/2017/5918c6e69a7947d0594fae43?from=newsfeed

Брэд Смит

По мнению президента Microsoft Брэда Смита, доля ответственности за глобальную кибератаку вируса-вымогателя WannaCry лежит на правительствах и спецслужбах, в частности он упомянул ЦРУ и АНБ США. Именно украденные из АНБ данные об уязвимостях затронули пользователей по всему миру, заявил Смит

Компьютерный вирус WannaCry, распространившийся по всему миру, должен стать предупреждением для правительств стран всего мира. Об этом заявил президент Microsoft Брэд Смит в сообщении на сайте компании.

Глава Microsoft отметил, что значительная доля ответственности за подобные кибератаки лежит на правительствах, которые собирают данные об уязвимостях в программном обеспечении ради своих интересов.

«Мы видели, что данные об уязвимостях, которые собирало ЦРУ были опубликованы на Wikileaks, теперь же данные об уязвимостях, украденные из АНБ затронули пользователей по всему миру», — заявил Смит. Он сравнил эту ситуацию с использованием оружия, украденного из военных арсеналов. «Эквивалентный сценарий с обычным оружием можно представить, если бы у армии США украли несколько ракет «Томагавк», — пояснил президент компании.

Смит предупредил, что подобные атаки представляют собой пример связи между «двумя наиболее серьезными формами киберугроз в современном мире — действиями государств и преступными группировками». Для предотвращения подобной угрозы он призвал разработать цифровой аналог Женевской конвенции по контролю над вооружениями.

По мнению Смита, данные об уязвимостях должны не собираться правительствами для использования в собственных интересах, а передаваться напрямую разработчикам. «Правительства всего мира должны воспринять эту угрозу как призыв к пробуждению», — подчеркнул он.

О возможной связи вируса WannaCry с АНБ ранее заявил и экс-сотрудник спецслужбы Эдвард Сноуден. «Несмотря на предупреждения, АНБ создало опасные инструменты для хакерских атак, которые могли быть нацелены на западные ПО. Сегодня мы видим цену этому», — заявил он. Организация Wikileaks также напомнила, что ранее уже предупреждала об угрозе со стороны кибероружия, которое использую разведывательные службы.

Газета Financial Times также ранее сообщала со ссылкой на источники, что злоумышленники при организации кибератак могли использовать утечки из АНБ. В частности, по данным издания, хакеры использовали разработку разведки под названием Eternal Blue для повышения эффективности распространения вируса.

Хакерские атаки с использованием вируса WannaCry прошли по всему миру 12 мая. В России вирус затронул сервера силовых ведомств и телекоммуникационных компаний. По данным Европейского полицейского агентства от кибератаки пострадали 200 тыс. человек и организаций в 150 странах.
« Last Edit: May 15, 2017, 12:41:28 AM by cybermanchik »

REDACTED

  • Guest
Вчера, 23:27 Владислав Гордеев

Создатели вируса WannaCry обошли блокировку его распространения

http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main

Обнаруженный ранее способ остановить распространение вируса-вымогателя WannaCry больше не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы

Хакеры, запустившие​ вирус-вымогатель WannaCry, обновили программу и обошли блокировку, с помощью которой было остановлено его распространение, сообщает издание Motherboard.

Как поясняет издание, ранее распространение удалось блокировать британскому специалисту по кибербезопасности, который ведет твиттер MalwareTechBlog. Он зарегистрировал домен с именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, название которого содержалось в коде вируса. ​Вирус обращался по этому бессмысленном адресу и, если не получал ответа, продолжал заражать другие компьютеры. Как только британский специалист зарегистрировал этот домен и он стал доступен в сети, вирус стал получать от него отклик, а согласно заложенному в него алгоритму, если ответ получен — распространение прекращалось.

Создатели WannaCry переписали код вредоносной программы, узнало издание Motherboard, и теперь она функционирует без обращения к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Motherboard предупредила, что теперь вирус вновь может заражать компьютеры. Пик заражений ожидается в понедельник​, 15 мая, в связи с началом рабочей недели.

Информация о глобальной вирусной атаке, которой подверглись компьютеры c операционной системой Windows в более 70 странах мира, появилась в пятницу, 12 мая. По оценкам «Лаборатории Касперского» большая часть попыток взлома пришлась на Россию.

Вирус ​блокирует доступ данным зараженных компьютеров и требует заплатить 300 или 600 долларов в биткоинах за получение доступа к ним. В противном случае, вирус обещает удалить файлы в течение трех дней.

Как ранее писал РБК, атаке подверглись компьютеры телекоммуникационных компаний («МегаФон», «ВымпелКом»), а также компьютеры МВД и Следственного комитета, МЧС, Минздрава, РЖД, и ряда российских банков. Официальный представитель СК опровергла эту информацию.

Как пояснили в «Лаборатории Касперского», атака происходила через «известную сетевую уязвимость Microsoft Security Bulletin MS17-010». После этого «на зараженную систему» устанавливался «руткит», используя который. злоумышленники «запускали программу-шифровальщик», отмечали в компании.
« Last Edit: May 15, 2017, 12:51:54 AM by cybermanchik »

REDACTED

  • Guest
01:31

Британские спецслужбы предупредили об угрозе новых кибератак

http://www.rbc.ru/rbcfreenews/5918d3e99a7947d6f6f52624?from=newsfeed

Пользователи по всему миру должны быть готовы к повторным кибератакам со стороны хакеров. Об этом заявил глава Национального центра кибербезопасности (NCSC) Великобритании Киаран Мартин, сообщает Financial Times.

Мартин отметил, что несмотря на то, что основной урон от действий хакеров в Великобритании понесли серверы медицинских учреждений, спецслужбам известно и о попытке атак на электронные системы других отраслей. Всего, по данным британских спецслужб, уязвимыми для киберугрозы со стороны вируса WannaCry по-прежнему остаются порядка 1,3 млн компьютерных систем по всему миру.

По данным NCSC, за кибератакой стояла некая организованная преступная группировка. В настоящее время британские спецслужбы продолжают расследование атак. По словам главы NCSC, спецслужбы обладают определенной информацией об организаторах атаки, однако пока не будут ее раскрывать.

Хакерские атаки с использованием вируса WannaCry затронули компьютерные системы по всему миру 12 мая. По оценкам компании Avast, атакам подверглись сервера в 104 странах. При этом по данным Европола, от действий хакеров пострадали 200 тыс. человек в 150 странах. В России хакеры атаковали сервера МВД, РЖД, телекоммуникационных компаний и Сбербанка.
« Last Edit: May 15, 2017, 12:40:40 AM by cybermanchik »

REDACTED

  • Guest
Запуск программ и броузера в песочнице

Немного слов скажу из того что изучаю и ищу способы как предотвратить заражения систем и ищу нестандартные подходы

Песочница - это так называемая виртуальная оболочка, создаваемая в Вашей операционной системе и в ней затем запускается уже броузер и программы, таким образом мы отделяем нашу систему от проникновения вирусов на начальном этапе, когда они пытаются проникнуть и заразить

У Аваста пока не тестировал, но вроде броузер Avast Safezone Browser является броузером с усиленной защитой и умеет создавать песочницы. Подробнее не изучал его

А так нашел программу интересную в принципе она давно существует Sandboxie, которая как раз умеет любую программу запускать в своей песочнице и предлагает разные варианты управления и защиты
Программы запускаются абсолютно изолированно от среды Вашей операционной системы и вирусы не могут проникнуть в Вашу ОС, хотя не знаю 100% или нет, т.к. считаю вирусы борьба людей с людьми и один думает как взломать, а другие как защититься

Есть еще хитрые способы нестандартной физической защиты дистанционно Ваших сетей при обнаружении вторжения, которые дают 100% защиту и дистанционно управляемые, но это если Вы далеко от дома или офиса и Вам необходимо срочно отрубить Вашу офисную или домашнюю сеть от Интернета, когда пришло первое уведомления об обнаружении

Конечно еще слово скажу про "датчики" в данном случает это антивирусный софт и другой специализированный, заточенный на вирусы шифровальщики. В этих антивирусных программах надо настроить уведомления себе на почту или даже на SMS или уже у почтовика письма от него по фильтру темы отправлять по SMS, т.о. Вы сможете быстро узнать о первых заражения в сети и дистанционно сделать первые действия по физическому отключения локальной сети от Интернета и даже выключить компы все принудительно, потому что когда они включены происходят процессы распространения и заражения, а когда мы их выключим мы прекратим заражение и уже подключив жесткие диски к другим системам лучше запущенным с компакт дисков LiveCD мы сможет проверить наши системы на жестяках по USB

Еще можно пропускать траффик в локальную сеть через прокси специальном программном обеспечении в роутере-шлюзе на базе железяки автономной (аппаратный вариант) или просто софта, установленного на сервере (программный вариант), когда он будет проверять все запросы в Интернет и полученные данные на вирусы
А также контролировать порты виртуальные и мониторить атаки из Интернета, и принимать действия запрограммированные плюс отправлять Вам уведомления по E-Mail И SMS

Вообщем не стесняйтесь применять больше нестандартных подходов !
« Last Edit: May 15, 2017, 02:31:40 PM by cybermanchik »

REDACTED

  • Guest
« Last Edit: May 29, 2017, 04:24:43 PM by vsm5693 »

REDACTED

  • Guest
Как эксплатируют уязвимость? Какой процесс у пользователя должен быть запущен, чтобы его могли атаковать? О механизме заражения только в общих чертах пишут.
Я так понял, через процесс svchost.exe происходит атака, если открыт 445 или 139 порт для входящих соединений? А служба, в которой есть уязвимость, называется "Сервер"?
У пользователя должен быть внешний (белый) IP, чтобы его могли атаковать?

Приведу несколько цитат с сайтов:

http://forum.autoua.net/showflat.php?Cat=0&Number=10799030&page=0&fpart=1&vc=1
Quote
- Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

http://altapress.ru/story/razbor-kak-zashchitit-kompyuter-ot-virusa-wanna-cry-201368
Quote
Внимательно смотрите, что вам присылают по электронной почте. Не раскрывайте файлы с такими расширениями: .exe, .vbs и .scr. Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ (например, avi.exe или doc.scr), пишет ru24.top.

Гендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков советует: "В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение". Для обнаружения потенциально вредоносных файлов нужно включить опцию "Показывать расширения файлов" в настройках Windows.

https://vk.com/infoinsamp?w=wall-110192574_43522
Quote
Этот вирус распространяется путём сообщения (email) с вложенным документом Microsoft Word. С помощью переполнения буфера (уязвимости более чем годовой давности, пофикшенной в критическом обновлении уже очень давно) в Microsoft Word исполняется сторонний код, который и скачивает этот вирус на компьютер. Если вы устанавливаете важные обновления в центре обновления Windows, то этот вирус Вам точно не угрожает.

UPD:
Так же Wanna Cry распространяется с помощью эксплоита NSA через 445 порт. Просто закрытие этого порта не поможет. Проверьте, установлено ли у вас критическое обновление MS-17-010

https://ideco.ru/company/blog/wannacry
Quote
     Уже установлено, что общение с командными центрами вирусов происходит через сеть TOR, которая будет заблокирована системой предотвращения вторжений.
      Потоковая проверка веб-трафика на вирусы позволяет заблокировать угрозы еще до их проникновения на рабочие компьютеры.
    С помощью расширенного контент-фильтра заблокируйте для всех пользователей следующие категории сайтов:
    ботнеты, центры распространения вредоносного ПО, фишинг/мошенничество.
    Либо аналогичные категории стандартного контент-фильтра, но он менее эффективен для защиты от новых угроз.
    Если ваша сеть сегментирована на несколько локальных сегментов, связанных через Ideco ICS, вы можете заблокировать 135 и 445 TCP порты системным межсетевым экраном.
    это предотвратит возможное распространение вируса между локальными подсетями:

Защита конечных устройств

    Установите патч для закрытия эксплуатируемой вирусом уязвимости: MS17-010.
    Заблокируйте использование протокола SMBv1, выполнив следующую команду на компьютерах и Windows-серверах:
    dism /online /norestart /disable-feature /featurename:SMB1Protocol
    Убедитесь, что антивирусное ПО на всех компьютерах установлено, работает и использует актуальные базы сигнатур.
    На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:
    kb4012598 для Windows XP SP3
    kb4012598 для Windows Server 2003 x86
    kb4012598 для Windows Server 2003 x64