ESET разработала утилиту для защиты от эксплойта EternalBlue

В компании ESET заявили о том, что запускают новую утилиту, предназначенную для того, чтобы проверять рабочие станции на наличие шифратора WannaCryptor (WannaCry, Wcry) и возможность атак этого шифратора на станцию.

Как сообщается, на период 12 мая 2015 года уже в 150 странах мира жертвами этого шифратора стали большое количество различных организаций. Распространение WannaCryptor производится через эксплойт EternalBlue, предназначенного для сетевой уязвимости Microsoft Windows.

В разработке эксплойта EternalBlue обвиняют Агентство национальной безопасности США (АНБ). После того, как компания Microsoft выпустила 14 марта обновление MS17-010, предназначенное для ликвидации критической уязвимости, которую использует этот эксплойт, уже буквально через месяц независимая группировка хакеров Shadow Brokers выложила в свободный доступ информацию, в которой говорилось о том, что EternalBlue, как и ряд других эксплойтов, были обнаружены и похищены хакерами из секретных архивов АНБ.

По словам главы поддержки продаж ESET Russia Виталия Земских, практическое использование эксплойта в кибератаках было лишь делом времени после того, как EternalBlue появился в свободном доступе. «Уже с 26 апреля используемый в большинстве продуктов EST модуль «Защита от сетевых атак» со 100% гарантией распознавал и блокировал любые попытки атак на компьютер пользователя с использованием этого эксплойта».

12 мая стало известно, что эксплойт EternalBlue интегрировался в троян-шифратор WannaCryptor, после чего эпидемия начала распространяться с очень высокой скоростью, а ее масштабы выросли в несколько раз. Именно наличие эксплойта и объясняет грандиозные масштабы и критичность эпидемии, так как сам по себе троян WannaCryptor не несет серьезной угрозы. Но при этом еще до обновления баз 12 мая облачная система защиты ESET LiveGrid смогла детектировать и блокировать новую модификацию вируса Win32/Filecoder.WannaCryptor.D.

Механизм WannaCry прост и гениален – вирус зашифровывает файлы наиболее распространенных форматов на компьютере, после чего пользователю приходит сообщение с требованием внести «выкуп» в размере $300. Необходимую сумму требуется внести исключительно в биткоинах, при этом счета операторов WannaCry отображаются в реальном времени и все желающие могут наблюдать, какая денежная сумма уже собрана. По последним данным, эта отметка перешагнула рубеж в $100 тыс.

По сообщению системы телеметрии ESET, самый высокий процент отраженных атак наблюдается в России (45.07%), Украине (11.8%) и Тайване (11.5%).

Специалисты ESET разработали полностью бесплатную утилиту, предназначенную для защиты от WannaCryptor. Утилита основана на простом скрипте, который анализирует систему на предмет еще не установленных обновлений, после чего автоматически ставит то, что закроет имеющуюся уязвимость. Время действия скрипта – около минуты, после чего на систему будет установлен необходимый патч. Также можно установить обновление MS17-010 и самостоятельно, просто скачав его по прямой ссылке с официального сайта.

Чтобы проверить систему вручную, необходимо скачать по ссылке архив, распаковать его и запустить файл VerifyEternalBlue.vbs.

Антивирусные решения ESET NOD32 позволяют обнаружить и блокировать все известные на сегодняшний день версии WannaCryptor и сетевые атаки с применением EternalBlue. Также в продуктах компании реализована возможность проверки наличия необходимых обновлений MS Windows.