Статья про вирус WannaCry (Петя)

В мае 2017 произошел небольшой компьютерный армагедец.
По всему миру были заражены десятки тысяч компьютеров под управлением различных версий Windows компьютерным вирусом-шифровальщиком - это самая худшая из разновидностей зловредных программ.
Его называют по разному - вирус Петя, Wana Decryptor, Wana Crypt0r, Wana Decrypt0r, Wanna Cry, WNCRY, trojan.encoder.11432 (доктор Вэб), Win32:WanaCry-A [Trj] (Avast), Trojan-Ransom.Win32.Wanna.m (Kaspersky), Ransom:Win32/WannaCrypt (Защитник Windows) и так далее.

Как вирус WannaCry заражает компьютеры?

   Точно так же как это было лет 10-12 назад с группой вирусов, которые использовали уязвимость Windows XP (тогда это была уязвимость в механизме RPC). Сейчас это уязвимость в протоколе SMB версии 1.
Работает это следующим образом. На зараженном компьютере, запускается сканер портов и этот сканер ищет компьютеры на которых открыт TCP порт 445 (порт протокола SMB). Когда такой компьютер найден, вирус подключается к нему через этот порт посылает туда специальный пакет данных, который вызывает ошибку в работе Windows. В результате такой ошибки на этом компьютере можно выполнить зловредный код (загрузку и запуск вируса), причем этот код будет выполнен внутри легального процесса Windows и антивирусная программа не сможет его обнаружить и заблокировать. Собственно поэтому и случилась эпидемия таких масштабов - антивирусы не могли "увидеть" момент атаки. Дополнительная сложность для антивирусов была в том, что свои вредоносные действия WanaCry выполнял используя стандартные приложения Windows.
Дальше запущенный вирус шифрует файлы на этом компьютере. А также ищет новые компьютеры для заражения.

Какие компьютеры могут быть заражены вирусом WanaCry?
- На компьютере должна работать Windows (любая версия, начиная с XP).
- Компьютер должен быть подключен к локальной сети или к Интернет. Подключение к Интернет должно быть прямое (без роутера или шлюза). В том числе без шлюза провайдера. То есть с так называемым "белым" IP-адресом. 

Как защититься от WannaCry?

   Прмечание. Если ваша Windows уже заражена, вначале нужно удалить вирус. Об этом ниже в этой статье.
Самое простое и быстрое что можно сделать это редактирование реестра - нужно отключить использование протокола SMB версии 1.
В консоли (Командная строка) выполнить такую команду:
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /t reg_dword /d 0 /f
Или через regedit в реестре добавить параметр в ключи реестра:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters - тип DWORD, имя SMB1, значение 0.
После этого перезагрузите Windows.
Кроме этого, если ваш компьютер не используется в локальной сети, можно в файерволл добавить правило, которое запрещает входящие подключения на TCP порт 445. Учтите, что для локальной сети это делать нельзя - при закрытии этого порта, к компьютеру нельзя будет подключиться через сеть!
Добавить блокировку можно через консоль (Командная строка):
netsh advfirewall firewall add rule dir=in enable=yes action=block protocol=tcp localport=445 name="Block 445"
или через Панель Управления - Брандмауэр Windows.
Панель управления > Брандмауэр Windows > Дополнительные параметры > Правила для входящих подключений > Создать правило > Для порта > "Протокол TCP", "Определённые локальные порты" - 445 > Блокировать подключение > Галочки для всех профилей > имя "Block 445" > Готово
Далее нужно скачать и установить обновление для Windows, которое ликвидирует эту уязвимость. На сайте Microsoft есть список обновлений для всех версий Windows: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

Как удалить WannaCry?

   Перед началом лечения нужно отключить компьютер от локальной сети (Интернет) или заблокировать порт 445. Для того, чтобы исключить повторное заражение!
1) Для лечения (удаления) необходимо скачать и запустить Drweb Cureit: https://free.drweb.ru/cureit/

2) Еще один вариант, удаление вручную. Загрузиться с флешки или DVD в другую ОС, например Linux или MS DaRT. Затем открыть системный раздел зараженной Windows, найти там файлы tasksche.exe, mssecsvc.exe, @WanaDecryptor@.exe и удалить их. Затем загрузиться в Windows и удалить из реестра запуск этих файлов.
- Файлы @WanaDecryptor@.exe могут быть разбросаны по всем локальным дискам и папкам где есть файлы.
- Файлы tasksche.exe, mssecsvc.exe будут в папке \Windows\ и в папке с произвольным именем в папке \ProgramData\ - из этой папки запускает процесс в виде Службы Windows (раздел реестра Services). Служба "mssecsvc".
- Записи в реестре будут в ключах Run и Services (mssecsvc).
После удаления вируса нужно установить обновление!