Утилита для защиты от эксплойта EternalBlue
Компания ESET разработала утилиту для проверки рабочих станций на предмет защищенности от атак шифратора WannaCryptor (WannaCry, Wcry). Шифратор, жертвами которого стали организации в 150 странах мира, распространяется при помощи эксплойта EternalBlue для сетевой уязвимости Microsoft Windows.
Разработку эксплойта EternalBlue традиционно приписывают Агентству национальной безопасности США. 14 марта Microsoft выпустила обновление MS17-010, закрывающее критическую уязвимость, которую эксплуатирует этот эксплойт. 14 апреля хакерская группировка Shadow Brokers опубликовала EternalBlue вместе с другими эксплойтами для Windows, украденными из архивов АНБ.
12 мая сочетание EternalBlue и трояна-шифратора WannaCryptor стало причиной высокой скорости распространения и масштабов эпидемии. Важно отметить, что сам по себе WannaCryptor не является сложной или особо опасной угрозой. Как подчеркивают в ESET, облачная система ESET LiveGrid детектировала и блокировала модификацию Win32/Filecoder.WannaCryptor.D, с которой началась атака 12 мая, еще до обновления вирусных баз.
WannaCryptor шифрует файлы распространенных форматов и выводит на экран требование выкупа за восстановление доступа к данным – эквивалент 300 долл. в биткоинах. Пополнение счета операторов WannaCryptor можно наблюдать в режиме реального времени, сумма на счету уже превысила 80 тыс. долл.
По данным системы телеметрии ESET, 12-14 мая большинство отраженных атак WannaCryptor зафиксировано в России (45% срабатываний защитных решений), Украине (12%) и Тайване (11,5%).
Как считают в ESET Russia, активность угрозы снижается, но довольно скоро может последовать продолжение. В ближайшей перспективе мы увидим новые кампании, использующие EternalBlue, в долгосрочной – больше вредоносных программ с механизмом самовоспроизведения.
Для защиты от возможной эксплуатации EternalBlue специалисты ESET разработали бесплатную утилиту. Простой скрипт извлекает из системы список установленных обновлений и ищет те, которые закрывают данную уязвимость. Достаточно исполнить скрипт, подождать около минуты и получить статус патча. Программа доступна для скачивания на сайте компании.