Обратите внимание! Данный материал находится в архивном разделе. Актуальность текста не гарантируется.

NoMoreCry Tool — инструмент для защиты от шифровальщика WannaCry

15.05.2017 ( 01.07.2022 )|comss.ru

Массовая атака шифровальщиком WannaCry (WannaCryptor, WanaDecryptor) привела к заражению десятков тысяч компьютеров в организациях и общественных учреждениях по всему миру. Зловред использует известную уязвимость, описанную в бюллетене безопасности MS17-010 и комбинацию эксплойтов EternalBlue / DoublePulsar, которые позволяют атаковать другие уязвимые системы Windows в одной и той же сети. В результате заражение одного компьютера может привести к компрометации всей корпоративной сети в организации.

После появления на компьютере за счет успешной эксплуатации уязвимости, шифровальщик WannaCry зашифровывает все файлы и документы определенных форматов, выполняя удаленные команды, отправляемые по протоколу SMB, и распространяясь на другие компьютеры Windows в сети.

К уязвимым системам, которые уже получили обновления безопасности относятся:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Меры по предотвращению и смягчению последствий

CCN-CERT рекомендует следующие меры профилактики заражения:

  • Обновить системы до последней версии и установить все новейшие патчи.
  • Изолировать уязвимые компьютеры от сети.
  • Заблокировать порты 137 и 138 протокола UDP и порты 139 и 445 протокола TCP.
  • Проверить, какие системы являются уязвимыми и принять меры по их изоляции от сети, обновлению или завершению работы.
  • Воспользоваться инструментом NoMoreCry Tool. Утилита создает мьютекс (взаимно исключающий алгоритм) на компьютере, который предотвращает выполнение вредоносного кода WannaCry 2.0 (WannaCryptor, WanaDecryptor). Инструмент должен запускаться после каждого перезапуска системы.

Помните, что оплата выкупа не гарантирует, что злоумышленники смогут дешифровать ваши файлы. Подобным способом вы только поощряет их кампанию и мотивируете продолжать массовое распространение вредоносной программы.

Если ваши файлы были зашифрованы, а резервная копия отсутствует, то рекомендуется сохранить зашифрованные файлы перед тем как выполнить очистку угрозы на компьютеры. Они пригодятся, если в будущем будет создан инструмент дешифрования.

Как работает NoMoreCry Tool

Шифровальщик создает несколько файлов в начале своего выполнения. Если Wana Decryptor не может получить допустимый дескриптор для некоторых из этих файлов, он завершит выполнение без заражения компьютера.

Сценарий NoMoreCry Tool создает пустой файл с тем же именем одного из файлов, созданных вредоносным кодом, без каких-либо разрешений внутри нескольких папок с целью, описанной ранее.

Понравилась статья? Поделитесь!

Обсуждение