Questo articolo è stato preparato in relazione a un massiccio attacco di hacker su scala globale che potrebbe interessarti. Le conseguenze sono davvero gravi. Di seguito troverai una breve descrizione del problema e una descrizione delle principali misure che devono essere prese per proteggersi dal ransomware della famiglia WannaCry.
Il virus ransomware WannaCry sfrutta la vulnerabilità Microsoft Windows MS17-010 per eseguire il codice dannoso ed eseguire il ransomware su PC vulnerabili, il virus si offre di pagare ai criminali informatici circa $ 300 per decifrare i dati. Il virus si è diffuso ampiamente su scala globale, ricevendo una copertura attiva nei media: Fontanka.ru, Gazeta.ru, RBK.
Questa vulnerabilità interessa i PC che eseguono Windows da XP a Windows 10 e Server 2016, puoi leggere le informazioni ufficiali sulla vulnerabilità da Microsoft e.
Questa vulnerabilità appartiene alla classe Esecuzione del codice remoto, il che significa che l'infezione può essere eseguita da un PC già infetto attraverso una rete con un basso livello di sicurezza senza segmentazione del ME - reti locali, reti pubbliche, reti ospiti, nonché lanciando malware ricevuto per posta o sotto forma di un collegamento.
Misure di sicurezza
Quali misure devono essere identificate come efficaci per combattere questo virus:
- Assicurati di disporre degli ultimi aggiornamenti di Microsoft Windows che risolvono la vulnerabilità MS17-010. È possibile trovare collegamenti agli aggiornamenti e notare anche che, a causa della gravità senza precedenti di questa vulnerabilità, il 13 maggio sono stati rilasciati aggiornamenti per sistemi operativi non supportati (windowsXP, server 2003, server 2008), è possibile scaricarli.
- Utilizzando soluzioni di sicurezza di rete di classe IPS, assicurati di disporre di aggiornamenti che includano l'identificazione e la risoluzione delle vulnerabilità di rete. Questa vulnerabilità è descritta nella Knowledge Base di Check Point ed è inclusa nell'aggiornamento IPS del 14 marzo 2017 per Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Si consiglia inoltre di configurare la scansione IPS del traffico interno dei principali segmenti di rete, almeno per un breve periodo, fino a quando la probabilità di infezione non diminuisce.
- A causa della probabilità di modificare il codice del virus, si consiglia di attivare i sistemi AntiBot & Antivirus ed emulare l'avvio di file provenienti da fonti esterne tramite posta o Internet. Se sei un utente Check Point Security Gateway, questo sistema è Threat Emulation. Soprattutto per le aziende che non dispongono di questo abbonamento, offriamo di emetterlo rapidamente entro un periodo di prova di 30 giorni. Per richiedere una chiave attivando un abbonamento completo per il tuo gateway Check Point - scrivi alla mail [e-mail protetta] Puoi leggere di più sui sistemi di emulazione di file e.
Ancora più consigli e un esempio di un rapporto sul blocco del lavoro del ransomware wannacry.
Cari colleghi, in base all'esperienza di lavoro con precedenti attacchi massicci, come Heart Bleed, la vulnerabilità di Microsoft Windows MS17-010 verrà sfruttata attivamente nei prossimi 30-40 giorni, non ritardare le contromisure! Per ogni evenienza, controlla che il tuo sistema di backup funzioni.
Il rischio è davvero grande!
UPD. Giovedì 18 maggio, alle 10:00 ora di Mosca, ti invitiamo a un webinar su ransomware e metodi di protezione.
Il webinar è ospitato da TS Solution e Sergey Nevstruev, responsabile delle vendite di Check Point Threat Prevention per l'Europa orientale.
Tratteremo le seguenti questioni:
- #WannaCry attacco
- Bilancia e stato attuale
- Peculiarità
- Fattori di massa
Come stare un passo avanti e dormire bene
- IPS + AM
- SandBlast: emulazione ed estrazione delle minacce
- Agente SandBlast: Anti-ransomware
- Agente SandBlast: Forensics
- Agente SandBlast: Anti-Bot
Ciao a tutti! Più di recente, Internet è stata scossa da un evento che ha interessato i computer di molte aziende e utenti privati. È stata tutta colpa del virus Wanna Cry che è apparso, che in breve tempo è penetrato e ha infettato un numero enorme di computer in diversi paesi del mondo alla velocità della luce. Al momento la diffusione del virus è diminuita, ma non si è fermata del tutto. Per questo motivo, gli utenti cadono periodicamente nella sua trappola e non sanno cosa fare, poiché non tutti i programmi antivirus sono in grado di neutralizzarlo. Secondo i dati preliminari, sono stati attaccati più di 200.000 computer in tutto il mondo. Il virus Wanna Cry può essere giustamente considerato la minaccia più grave dell'anno in corso e il tuo computer potrebbe essere il prossimo in arrivo. Pertanto, diamo un'occhiata più da vicino a come viene distribuito questo codice dannoso e come puoi combatterlo.
Vona Kray, come gli utenti russi chiamano questo virus, si riferisce a un tipo di malware che si installa su un computer come un Trojan e inizia a estorcere denaro all'utente del PC. Il principio del suo funzionamento è il seguente: un banner appare sul desktop del computer, che blocca tutto il lavoro dell'utente e lo invita a inviare un messaggio SMS a pagamento per rimuovere il blocco. Se l'utente si rifiuta di pagare, le informazioni sul computer verranno crittografate senza possibilità di recupero. In genere, se non intraprendi alcuna azione, puoi dire addio a tutte le informazioni memorizzate sul tuo disco rigido.
In effetti, il virus Wanna Cry può essere attribuito al gruppo di virus, bloccanti ransomware, che periodicamente scuotono i nervi di molti utenti.
Come funziona un nuovo parassita?
Una volta su un computer, la regione crittografa rapidamente le informazioni sul disco rigido.
Successivamente, sul desktop viene visualizzato un messaggio speciale in cui all'utente viene chiesto di pagare 300 dollari USA affinché il programma decrittografa i file. Se l'utente pensa a lungo e il denaro non va allo speciale portafoglio elettronico Bitcoin, l'importo del riscatto raddoppierà e dovrai pagare 600 dollari, che sono circa 34.000 mila rubli per i nostri soldi, un importo decente , non è vero?
Dopo sette giorni, se l'utente non invia una ricompensa per decrittografare i file, questi file verranno eliminati definitivamente dal ransomware.
Il virus Wanna Cry può funzionare con quasi tutti i tipi di file moderni. Ecco un piccolo elenco di estensioni a rischio: .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4 , .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.
Come puoi vedere, in questo piccolo elenco ci sono tutti i file popolari che il virus è in grado di crittografare.
Chi è il creatore del virus Wanna Cry?
Secondo la National Security Agency degli Stati Uniti d'America, in precedenza era stato scoperto un codice di programma chiamato "Eternal Blue", sebbene le informazioni su questo codice fossero nascoste, per uso personale. Già nell'aprile di quest'anno, la comunità degli hacker ha pubblicato informazioni su questo exploit.
Molto probabilmente, il creatore di won edge ha utilizzato questo codice per scrivere un virus molto efficace. Al momento non è stato ancora stabilito chi sia l'autore principale del ransomware.
In che modo il virus Wanna Cry si diffonde e arriva sul computer?
Se non sei ancora caduto nella trappola del virus Wanna Cry, fai attenzione. Viene distribuito, il più delle volte, tramite e-mail con allegati.
Immaginiamo questa situazione! Ricevi una e-mail, magari anche da un utente a te noto, che contiene una registrazione audio, videoclip o foto, dopo aver aperto la lettera, l'utente clicca felicemente sull'allegato, non accorgendosi del fatto che il file ha l'exe estensione. Cioè, in effetti, l'utente stesso avvia l'installazione del programma, a seguito della quale i file del computer vengono infettati e viene caricato un virus con l'aiuto di un codice dannoso, che crittografa i dati.
Nota! Puoi anche infettare il tuo computer con il won edge blocker scaricando file da tracker torrent o ricevendo un messaggio privato sui social network o sulla messaggistica istantanea.
Come proteggere il computer dal virus Wanna Cry?
Probabilmente, nella tua testa è sorta una domanda ragionevole: "Come proteggersi dal virus Wanna Cry?"
Qui posso offrirti diversi modi principali:
- Poiché gli sviluppatori Microsoft erano seriamente preoccupati per le azioni del virus, hanno immediatamente rilasciato un aggiornamento per tutte le versioni del sistema operativo Windows. Pertanto, per proteggere il tuo PC da questo parassita, devi scaricare e installare urgentemente una patch di sicurezza;
- Presta molta attenzione a quali lettere arrivano alla tua email. Se hai ricevuto una lettera con un allegato, anche da un destinatario che conosci, presta attenzione all'estensione del file. In nessun caso, non aprire file scaricati con l'estensione del modulo: .exe; .vbs; .scr. L'estensione può anche essere camuffata e apparire così: avi.exe; doc.scr;
- Per non cadere nelle grinfie di un virus, abilitare la visualizzazione delle estensioni dei file nelle impostazioni del sistema operativo. Questo ti permetterà di vedere che tipo di file stai cercando di eseguire. Anche il tipo di file mascherati sarà chiaramente visibile;
- L'installazione, anche della stessa l, molto probabilmente non salverà la situazione, poiché il virus utilizza le vulnerabilità del sistema operativo per accedere ai file. Pertanto, prima di tutto, installa tutti gli aggiornamenti per Windows, quindi installa;
- Se possibile, trasferisci tutti i dati importanti su un disco rigido esterno. Questo ti proteggerà dalla perdita di informazioni;
- Se la fortuna ti ha rivolto il quinto punto e sei caduto sotto l'influenza del virus Wanna Cry, quindi per sbarazzartene, reinstalla il sistema operativo;
- Mantieni aggiornati i database dei virus degli antivirus installati;
- Consiglio di scaricare e installare l'utility ware Kaspersky Anti-Ransom gratuita. Questa utility ti consente di proteggere il tuo computer da vari bloccanti ransomware in tempo reale.
La patch di Windows di Wanna Cry per evitare che il tuo computer si ammali.
Se il tuo computer ha un sistema operativo:
- Windows XP;
- Windows 8;
- Windows Server 2003;
- Windows integrato
Installa questa patch, puoi scaricarla dal collegamento sul sito Web ufficiale di Microsoft.
Per tutte le altre versioni del sistema operativo Windows sarà sufficiente installare tutti gli aggiornamenti disponibili. È con questi aggiornamenti che chiuderai i buchi nel sistema di sicurezza di Windows.
Rimuoviamo il virus Wanna Cry.
Per rimuovere il ransomware Won's Edge, prova una delle migliori utility di rimozione malware in circolazione.
Nota! Dopo aver eseguito il programma antivirus, i file crittografati non verranno decifrati. E molto probabilmente dovrai eliminarli.
È possibile decifrare i file da solo dopo Wanna Cry.
Di norma, i bloccanti ransomware, a cui appartiene il nostro "vantaggio vinto", crittografano i file utilizzando chiavi di 128 e 256 bit. Inoltre, la chiave per ogni computer è unica e non viene ripetuta da nessuna parte. Pertanto, se provi a decifrare tali dati a casa, avrai bisogno di più di cento anni.
Al momento, non esiste un solo decoder Wanna Cry in natura. Di conseguenza, nessun utente sarà in grado di decrittografare i file dopo l'esecuzione del virus. Pertanto, se non ne sei ancora vittima, ti consiglio di prenderti cura della sicurezza del tuo computer, ma se non sei fortunato, ci sono diverse opzioni per risolvere il problema:
- Paga il riscatto. Qui dai i soldi a tuo rischio e pericolo. Dal momento che nessuno ti garantisce che dopo aver inviato il denaro, il programma sarà in grado di decrittografare tutti i file;
- Se il virus non ha aggirato il tuo computer, puoi semplicemente disconnettere il disco rigido e metterlo sullo scaffale più lontano fino a tempi migliori, quando appare il decryptor. Al momento, non esiste, ma molto probabilmente apparirà nel prossimo futuro. Voglio svelarti un segreto che i decryptor sono sviluppati da Kaspersky Lab e pubblicati sul sito web di No Ramsom;
- Per gli utenti di Kaspersky Anti-Virus con licenza, esiste la possibilità di richiedere la decrittografia dei file crittografati dal virus Wanna Cry;
- Se non c'è niente di importante sul disco rigido del tuo PC, sentiti libero di formattarlo e installare un sistema operativo pulito;
Wanna Cry virus in Russia.
Presento un grafico che mostra chiaramente che il maggior numero di computer è caduto sotto l'influenza di un virus sul territorio della Federazione Russa.
Molto probabilmente, ciò è accaduto perché agli utenti russi non piace particolarmente acquistare software con licenza e molto spesso utilizzano copie piratate del sistema operativo Windows. Per questo motivo, il sistema non viene aggiornato e rimane molto vulnerabile ai virus.
Tali computer e il virus Wanna Cry non sono passati. Consiglio di installare una versione con licenza del sistema operativo e di non disattivare gli aggiornamenti automatici. 
A proposito, non solo i computer degli utenti privati sono stati colpiti dal blocco Vona Krai, ma anche organizzazioni statali come il Ministero degli Affari Interni, il Ministero delle Emergenze, la Banca Centrale, nonché grandi aziende private come: operatore di telefonia mobile Megafon, Sberbank of Russia e Russian Railways”.
Come ho detto sopra, era possibile proteggersi dalla penetrazione del virus. Quindi, nel marzo di quest'anno, Microsoft ha rilasciato gli aggiornamenti di sicurezza di Windows. È vero, non tutti gli utenti lo hanno installato, motivo per cui sono caduti nella trappola.
Se stai utilizzando una vecchia versione del sistema operativo, scarica e installa assolutamente la patch, che ti ho scritto nel paragrafo sopra.
Riassumiamo.
Nell'articolo di oggi abbiamo parlato del nuovo virus Wanna Cry. Ho cercato di raccontare nel modo più dettagliato possibile cos'è questo parassita e come puoi proteggerti da esso. Inoltre, ora sai dove puoi scaricare la patch che chiuderà i buchi nel sistema di sicurezza di Windows.
Il 12 maggio, verso le 13:00, il virus Wana Decryptor ha iniziato a diffondersi. In quasi un paio d'ore, decine di migliaia di computer in tutto il mondo sono stati infettati. Ad oggi, sono stati confermati più di 45.000 computer infetti.
Oltre 40mila hack in 74 paesi: gli utenti di Internet di tutto il mondo hanno assistito al più grande attacco informatico della storia. L'elenco delle vittime include non solo persone comuni, ma anche server di banche, società di telecomunicazioni e persino forze dell'ordine.
Il virus ransomware Wanna Cry ha infettato i computer di utenti ordinari e computer di lavoro in varie organizzazioni, incluso il Ministero degli affari interni della Russia. Sfortunatamente, al momento non c'è modo di decifrare i file WNCRY, ma puoi provare a recuperare i file crittografati usando programmi come ShadowExplorer e PhotoRec.
Patch ufficiali di Microsoft per proteggersi dal virus Wanna Cry:
- Windows 7 32bit/x64
- Windows 10 32bit/x64
- Windows XP 32 bit/x64 - nessuna patch WCry.
Come proteggersi dal virus Wanna Cry
Puoi proteggerti dal virus Wanna Cry scaricando una patch per la tua versione di Windows.
Come si diffonde Wanna Cry
Wanna Cry si diffonde:
- attraverso i file
- messaggi di posta.
Come riportato dai media russi, il lavoro degli uffici del ministero dell'Interno in diverse regioni della Russia è stato interrotto a causa di un ransomware che ha colpito molti computer e minaccia di distruggere tutti i dati. Inoltre, l'operatore di telecomunicazioni Megafon è stato attaccato.
Stiamo parlando del Trojan ransomware WCry (WannaCry o WannaCryptor). Cripta le informazioni su un computer e chiede di pagare un riscatto di $ 300 o $ 600 in Bitcoin per la decrittazione.
Inoltre, sui forum e sui social network, le infezioni vengono segnalate dagli utenti ordinari:
Epidemia di crittografia WannaCry: cosa fare per evitare l'infezione. Guida passo passo
La sera del 12 maggio è stato rilevato un attacco su larga scala del ransomware WannaCryptor (WannaCry), che crittografa tutti i dati su PC e laptop con Windows. Come riscatto per la decrittazione, il programma richiede $ 300 in bitcoin (circa 17.000 rubli).
Il colpo principale è caduto sugli utenti e sulle aziende russe. Al momento, WannaCry è riuscito a colpire circa 57.000 computer, comprese le reti aziendali del Ministero degli affari interni, delle ferrovie russe e di Megafon. Sberbank e il Ministero della Salute hanno anche riferito di attacchi ai loro sistemi.
Vi diciamo cosa deve essere fatto in questo momento per evitare l'infezione.
1. L'encryptor sfrutta una vulnerabilità di Microsoft datata marzo 2017. Per ridurre al minimo la minaccia, devi aggiornare urgentemente la tua versione di Windows:
Start - Tutti i programmi - Windows Update - Cerca aggiornamenti - Scarica e installa
2. Anche se il sistema non è stato aggiornato e WannaCry è arrivato al computer, le soluzioni aziendali e domestiche di ESET NOD32 rilevano e bloccano correttamente tutte le modifiche.
5. Per rilevare le minacce sconosciute, i nostri prodotti utilizzano tecnologie comportamentali ed euristiche. Se un virus si comporta come un virus, molto probabilmente è un virus. Pertanto, il sistema cloud ESET LiveGrid ha respinto con successo l'attacco dal 12 maggio, anche prima che i database delle firme fossero aggiornati.
Qual è il nome corretto del virus Wana Decryptor, WanaCrypt0r, Wanna Cry o Wana Decrypt0r?
Dal primo rilevamento del virus, molti messaggi diversi su questo virus ransomware sono apparsi sulla rete e sono spesso chiamati con nomi diversi. Questo è successo per diversi motivi. Prima che apparisse il virus Wana Decrypt0r, la sua prima versione era Voglio decifrare0r, la cui principale differenza era il metodo di distribuzione. Questa prima variante non è diventata così conosciuta come il fratello minore, ma grazie a questo, in alcune notizie, il nuovo virus ransomware prende il nome dal fratello maggiore, ovvero Wanna Cry, Wanna Decryptor.
Ma ancora il nome principale è Wana decrypt0r, sebbene la maggior parte degli utenti al posto del numero "0" digiti la lettera "o", che ci porta al nome Wana decryptor o WanaDecryptor.
E il cognome con cui questo virus ransomware viene spesso chiamato dagli utenti è virus WNCRY, ovvero dall'estensione aggiunta al nome dei file che hanno subito la crittografia.
Al fine di ridurre al minimo il rischio di contrarre i virus Wanna crу sui computer, gli specialisti dei "Laboratori di Kopersky" consigliano di installare tutti i possibili sistemi operativi Windows. Il punto è che questo programma pericoloso funziona solo con computer che eseguono questo software.
Wanna Cry Virus: come si diffonde
In precedenza, abbiamo menzionato questo metodo di diffusione dei virus nell'articolo sul comportamento sicuro su Internet, quindi non è una novità.
Wanna Cry è distribuito nel modo seguente: Una lettera con un allegato "innocuo" viene inviata alla casella di posta dell'utente: può essere un'immagine, un video, una canzone, ma invece dell'estensione standard per questi formati, l'allegato avrà un eseguibile estensione del file - exe. Quando un tale file viene aperto e lanciato, il sistema viene "infettato" e un virus che crittografa i dati dell'utente viene caricato attraverso una vulnerabilità nel sistema operativo Windows, lo informa therussiantimes.com.
Wanna Cry Virus: Descrizione del virus
Wanna Cry (nella gente comune è già stato soprannominato Vona Kray) appartiene alla categoria dei virus ransomware (cryptor), che, quando arriva su un PC, crittografa i file degli utenti con un algoritmo crittografico, successivamente, la lettura di questi file diventa impossibile .
Al momento, le seguenti estensioni di file popolari sono note per essere crittografate da Wanna Cry:
File Microsoft Office più diffusi (.xlsx, trasmessi da therussiantimes.com.xls, .docx, .doc).
File di archivio e multimediali (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).
WannaCry è un programma chiamato WanaCrypt0r 2.0 che attacca esclusivamente i PC Windows. Il programma utilizza un "buco" nel sistema: Microsoft Security Bulletin MS17-010, la cui esistenza era precedentemente sconosciuta. Per la decrittazione, il programma richiede un riscatto da $ 300 a $ 600. A proposito, al momento, secondo The Guardian, sono già stati trasferiti più di 42 mila dollari sui conti degli hacker.
Virus ransomware Voglio piangere, o Wana decryptor, ha colpito decine di migliaia di computer in tutto il mondo. Mentre coloro che sono stati attaccati stanno aspettando una soluzione al problema, gli utenti non colpiti dovrebbero usare tutte le possibili linee di difesa. Uno dei modi per sbarazzarsi di un'infezione da virus e proteggersi dalla diffusione di WannaCry è chiudere le porte 135 e 445, attraverso le quali non solo WannaCry, ma anche la maggior parte dei trojan, backdoor e altri programmi dannosi penetrano nel computer. Ci sono diversi mezzi per coprire queste scappatoie.
Metodo 1. Protezione contro WannaCry - utilizzando un firewall
Un firewall, noto anche come firewall, in senso classico è un muro che separa sezioni di edifici per proteggerli dal fuoco. Un firewall per computer funziona in modo simile: protegge un computer connesso a Internet da informazioni non necessarie filtrando i pacchetti in arrivo. La maggior parte dei programmi firewall può essere ottimizzata, incl. e chiudere alcune porte.
Esistono molti tipi di firewall. Il firewall più semplice è uno strumento Windows standard che fornisce una protezione di base e senza il quale il PC non sarebbe durato 2 minuti in uno stato "pulito". I firewall di terze parti, come quelli integrati nei programmi antivirus, funzionano in modo molto più efficiente.
Il vantaggio dei firewall è che bloccano tutte le connessioni che non corrispondono a un insieme di regole specificato, ad es. lavorare sul principio "tutto ciò che non è permesso è proibito". Per questo motivo, quando si utilizza un firewall per proteggersi dal virus WannaCry, sarà necessario aprire le porte necessarie anziché chiudere quelle non necessarie. Puoi assicurarti che il firewall di Windows 10 funzioni aprendo le impostazioni del programma tramite la ricerca ed entrando nelle opzioni avanzate. Se le porte sono aperte per impostazione predefinita, puoi chiudere 135 e 445 creando regole appropriate attraverso le impostazioni del firewall nella sezione In entrata.
Tuttavia, in alcuni casi, non è possibile utilizzare il firewall. Senza di esso, sarà più difficile proteggersi dal malware WannaCry, ma sarà facile chiudere i buchi più evidenti.
Un modo efficace per proteggersi da Wana Descrypt0r è illustrato nel video!
Metodo 2. Blocca la diffusione del virus con Windows Worms Doors Cleaner
Detergente per porte di Windows Worms- questo semplice programma pesa solo 50 KB e ti permette di chiudere le porte 135, 445 e alcune altre con un clic dal virus WannaCry.
Puoi scaricare Windows Worms Doors Cleaner dal link: http://downloads.hotdownloads.ru/windows_worms_doors_cleaner/wwdc.exe
La finestra principale del programma contiene un elenco di porte (135-139, 445, 5000) e brevi informazioni su di esse - per quali servizi vengono utilizzati, indipendentemente dal fatto che siano aperte o chiuse. Ogni porta ha un collegamento alla dichiarazione di sicurezza ufficiale di Microsoft.
- Per chiudere le porte utilizzando Windows Worms Doors Cleaner di WannaCry, è necessario fare clic sul pulsante Disabilita.
- Successivamente, le croci rosse verranno sostituite con segni di spunta verdi e appariranno delle iscrizioni che indicano che le porte sono state bloccate con successo.
- Successivamente, il programma deve essere chiuso e il computer deve essere riavviato.
Metodo 3. Chiusura delle porte disabilitando i servizi di sistema
È logico che le porte siano necessarie non solo per virus come WannaCry, ma in condizioni normali vengono utilizzate dai servizi di sistema di cui la maggior parte degli utenti non ha bisogno e possono essere facilmente disabilitate. Successivamente, le porte non avranno motivo di aprirsi e i programmi dannosi non saranno in grado di penetrare nel computer.
Chiusura della porta 135
La porta 135 è in uso dal servizio DCOM (COM distribuito), necessario per connettere oggetti su macchine diverse nella rete locale. La tecnologia è poco utilizzata nei sistemi moderni, quindi il servizio può essere disabilitato in sicurezza. Questo può essere fatto in due modi: utilizzando un'utilità speciale o tramite il registro.
Utilizzando l'utilità, il servizio viene disabilitato come segue:
In Windows Server 2003 e nei sistemi precedenti, è necessario eseguire una serie di operazioni aggiuntive, ma poiché il virus WannaCry è pericoloso solo per le versioni del sistema operativo moderno, non ha senso toccare questo punto.
Attraverso il registro, la porta del programma antivirus WannaCry viene chiusa come segue:
- 1. Avvia l'editor del registro (regedit nella finestra Esegui).
- 2. La chiave sta cercando HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Ole.
- 3. Il parametro EnableDCOM cambia da Y a N.
- 4. Il computer si riavvia.
Il registro può essere modificato solo utilizzando un account amministratore.
Chiusura della porta 445
La porta 445 è in uso dal servizio NetBT- un protocollo di rete che consente ai programmi legacy che si basano sull'API NetBIOS di funzionare su reti moderne TCP/IP... Se sul computer non è presente un software così antico, la porta può essere bloccata in modo sicuro: questo chiuderà la porta d'ingresso per la diffusione del virus WannaCry. Questo può essere fatto tramite le impostazioni della connessione di rete o l'editor del registro.
Primo modo:
- 1. Si aprono le proprietà della connessione utilizzata.
- 2. Apre le proprietà TCP/IPv4.
- 3. Viene premuto il pulsante "Avanzate..."
- 4. Nella scheda WINS, selezionare la casella accanto a Disabilita NetBIOS su TCP/IP.
Questa operazione deve essere eseguita per tutte le connessioni di rete. Inoltre, vale la pena disabilitare il servizio di accesso a file e stampanti se non viene utilizzato: ci sono casi in cui WannaCry ha infettato un computer attraverso di esso.
Secondo modo:
- 1. Si apre l'editor del registro.
- 2. Ricerca dei parametri NetBT nella sezione ControlSet001 dei record di sistema.
- 3. Il parametro TransportBindName viene rimosso.
Lo stesso dovrebbe essere fatto nelle seguenti sezioni:
- ControlSet002;
- CurrentControlSet.
Al termine della modifica, il computer si riavvia. Nota che se disabiliti NetBT, il servizio DHCP smetterà di funzionare.
Conclusione
Pertanto, per proteggersi dalla diffusione del virus WannaCry, è necessario assicurarsi che le porte vulnerabili 135 e 445 siano chiuse (per questo, è possibile utilizzare vari servizi) o attivare il firewall. Inoltre, tutti gli aggiornamenti di Windows devono essere installati. Per evitare attacchi futuri, ti consigliamo di utilizzare sempre l'ultima versione del tuo software antivirus.
