«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
17 мая 2017 5492

WannaCry не пройдет. ESET разработала утилиту для защиты от эксплойта EternalBlue

Специалисты ESET разработали утилиту для проверки рабочих станций на предмет защиты от атак шифратора WannaCryptor (WannaCry, Wcry). Программа доступна для скачивания на сайте компании.

Жертвами WannaCryptor стали организации в 150 странах мира, начиная с 12 мая. Шифратор распространяется при помощи эксплойта EternalBlue для сетевой уязвимости Microsoft Windows.

Разработку эксплойта EternalBlue традиционно приписывают Агентству национальной безопасности США. 14 марта Microsoft выпустила обновление MS17-010, закрывающее критическую уязвимость, которую эксплуатирует этот эксплойт. 14 апреля хакерская группировка Shadow Brokers опубликовала EternalBlue вместе с другими эксплойтами для Windows, украденными из архивов АНБ.

«С момента публикации эксплойта EternalBlue его практическое применение в кибератаках было делом времени, — комментирует Виталий Земских, руководитель поддержки продаж ESET Russia. — Так, модуль «Защита от сетевых атак» в продуктах ESET распознавал и блокировал попытки атак с использованием EternalBlue с 26 апреля».



12 мая сочетание EternalBlue и трояна-шифратора WannaCryptor послужило причиной высокой скорости распространения и масштабов эпидемии. Важно отметить, что сам по себе WannaCryptor не является сложной или особо опасной угрозой. Облачная система ESET LiveGrid детектировала и блокировала модификацию Win32/Filecoder.WannaCryptor.D, с которой началась атака 12 мая, еще до обновления вирусных баз.



WannaCryptor шифрует файлы распространенных форматов и выводит на экран требование выкупа за восстановление доступа к данным – 300 долларов в биткоин-эквиваленте. Пополнение счета операторов WannaCryptor можно наблюдать в режиме реального времени, в настоящее время там больше 80 тысяч долларов.

По данным системы телеметрии ESET, 12-14 мая большинство отраженных атак WannaCryptor зафиксировано в России (45,07% срабатываний защитных решений), Украине (11,88%) и Тайване (11,55%).

«Прибыль операторов WannaCry не так велика в сравнении с ущербом, который эпидемия нанесла корпоративным пользователям, — комментирует Алексей Оськин, руководитель отдела технического маркетинга ESET Russia. — В настоящее время активность угрозы снижается, но, к сожалению, продолжение последует довольно скоро. В ближайшей перспективе мы увидим новые кампании, использующие EternalBlue, в долгосрочной — больше вредоносных программ с механизмом самовоспроизведения. Рекомендуем перейти на актуальные версии операционной системы и антивирусного ПО, а также устанавливать все патчи в кратчайшие сроки».

Для защиты от возможной эксплуатации EternalBlue специалисты ESET разработали бесплатную утилиту. Простой скрипт извлекает из системы список установленных обновлений и ищет те, которые закрывают данную уязвимость. Достаточно исполнить скрипт, подождать около минуты и получить статус патча. Установить отсутствующее обновление MS17-010 можно по прямой ссылке.

Для проверки системы скачайте архив по ссылке, распакуйте его и запустите VerifyEternalBlue.vbs.

Решения ESET NOD32 детектируют и блокируют известные модификации WannaCryptor и сетевые атаки с применением EternalBlue. В продуктах реализована функция проверки доступности обновлений Microsoft Windows.

Комментарии

6
Оставьте комментарий!
Валера Губанов 3 июня 2017 в 08:09 #
WannaCryptor ,то в 1 же день залечил, а вот похеренные файлы так и остались с приставкой "WNCRY" (gudok.mp3.WNCRY) и не читается, есть ли способы вернуть хотябы фотографии???
Алексей Тихонов 3 июня 2017 в 15:05 #
Спасибо за статью! Прверил компьютер, оказалось, что соответствующего обновления не было. Установил, теперь всё нормально! 10
Алексей Тихонов 3 июня 2017 в 15:45 #
"Проверил" то есть. )
Антон Тарасов 5 июня 2017 в 11:43 #
Рады, что помогло! Рекомендуем сразу устанавливать все обновления операционной системы.
Алексей Тихонов 5 июня 2017 в 12:15 #
Да вроде итак контролирую этот процесс. Но почему-то не обнаружил данное обновление ни в готовых для установки, ни в уже установленных...
Nikolaj S 5 июня 2017 в 11:40 #
Утилита не детектирует обновление, если оно было интегрировано в дистрибутив Windows 7 через UpdatePack.