Wirus ransomware Chcę płakać, Lub Deszyfrator Wana, dotknął dziesiątki tysięcy komputerów na całym świecie. Podczas gdy ci, którzy zostali zaatakowani, czekają na rozwiązanie problemu, użytkownicy, którzy jeszcze nie zostali dotknięci, powinni skorzystać ze wszystkich możliwych linii obrony. Jednym ze sposobów pozbycia się infekcji wirusowej i ochrony przed rozprzestrzenianiem się WannaCry jest zamknięcie portów 135 i 445, przez które do Twojego komputera przedostaje się nie tylko WannaCry, ale także większość trojanów, backdoorów i innych złośliwych programów. Istnieje kilka sposobów na zakrycie tych luk.

Metoda 1. Ochrona przed WannaCry - za pomocą zapory ogniowej

Zapora ogniowa, zwana także zaporą ogniową, w klasycznym sensie to ściana oddzielająca sekcje budynków w celu ochrony ich przed ogniem. W podobny sposób działa zapora sieciowa komputera - chroni komputer podłączony do Internetu przed niepotrzebnymi informacjami poprzez filtrowanie przychodzących pakietów. Większość programów firewall można dostosować, m.in. i zamknąć niektóre porty.

Istnieje wiele rodzajów zapór sieciowych. Najprostszy firewall to standardowe narzędzie systemu Windows, które zapewnia podstawową ochronę i bez którego komputer nie przetrwałby 2 minut w „czystym” stanie. Zapory sieciowe innych firm, takie jak te wbudowane w programy antywirusowe, są znacznie skuteczniejsze.

Zaletą zapór ogniowych jest to, że blokują wszystkie połączenia, które nie spełniają określonego zestawu reguł, tj. pracować w myśl zasady „wszystko, co nie jest dozwolone, jest zakazane”. Z tego powodu, jeśli używasz zapory sieciowej do ochrony przed wirusem WannaCry, istnieje większe prawdopodobieństwo, że będziesz musiał otworzyć niezbędne porty, niż zamknąć niepotrzebne. Możesz upewnić się, że zapora systemu Windows 10 działa, otwierając ustawienia programu poprzez wyszukiwanie i przechodząc do opcji dodatkowych. Jeśli porty są domyślnie otwarte, możesz zamknąć 135 i 445, tworząc odpowiednie reguły w ustawieniach zapory sieciowej w sekcji połączeń przychodzących.

Jednak w niektórych przypadkach zapora sieciowa nie może być używana. Bez niego trudniej będzie zapewnić ochronę przed złośliwym oprogramowaniem WannaCry, ale załatanie najbardziej oczywistych luk będzie możliwe bez większych trudności.

Skuteczną metodę ochrony przed Wana Descrypt0r pokazano na filmie!

Metoda 2. Zablokuj rozprzestrzenianie się wirusa za pomocą narzędzia Windows Worms Doors Cleaner

Środek do czyszczenia drzwi robaków Windows- ten prosty program waży tylko 50 KB i pozwala jednym kliknięciem zamknąć porty 135, 445 i kilka innych wirusa WannaCry.

Możesz pobrać Windows Worms Doors Cleaner z linku: http://downloads.hotdownloads.ru/windows_worms_doors_cleaner/wwdc.exe

W głównym oknie programu znajduje się lista portów (135–139, 445, 5000) oraz krótka informacja na ich temat – do jakich usług są wykorzystywane, czy są otwarte czy zamknięte. Obok każdego portu znajduje się link do oficjalnych deklaracji bezpieczeństwa Microsoftu.

1. Aby zamknąć porty za pomocą narzędzia Windows Worms Doors Cleaner z WannaCry, musisz kliknąć przycisk Wyłącz.
2. Następnie czerwone krzyżyki zostaną zastąpione zielonymi znacznikami wyboru i pojawią się komunikaty wskazujące, że porty zostały pomyślnie zablokowane.
3. Następnie program należy zamknąć i ponownie uruchomić komputer.

Metoda 3. Zamknięcie portów poprzez wyłączenie usług systemowych

Logiczne jest, że porty są potrzebne nie tylko wirusom takim jak WannaCry - w normalnych warunkach są wykorzystywane przez usługi systemowe, których większość użytkowników nie potrzebuje i które łatwo można wyłączyć. Po tym nie będzie potrzeby otwierania portów, a złośliwe oprogramowanie nie będzie mogło przedostać się do komputera.

Zamykam port 135

Usługa korzysta z portu 135 DCOM (Rozproszony COM), który jest potrzebny do łączenia obiektów na różnych komputerach w sieci lokalnej. Technologia ta praktycznie nie jest stosowana w nowoczesnych systemach, dlatego usługę można bezpiecznie wyłączyć. Można to zrobić na dwa sposoby - za pomocą specjalnego narzędzia lub poprzez rejestr.

Za pomocą narzędzia usługa jest wyłączana w następujący sposób:

W systemach Windows Server 2003 i starszych należy wykonać szereg dodatkowych operacji, ale ponieważ wirus WannaCry jest niebezpieczny tylko dla nowoczesnych wersji systemu operacyjnego, nie ma sensu poruszać tego punktu.

Port programu wirusowego WannaCry jest zamykany poprzez rejestr w następujący sposób:

1. 1. Zostanie uruchomiony edytor rejestru (regedit w oknie Uruchom).
2. 2. Szukany jest klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.
3. 3. Zmiana parametru EnableDCOM z Y na N.
4. 4. Komputer uruchamia się ponownie.

Rejestr można edytować wyłącznie z konta administratora.

Zamykam port 445

Usługa korzysta z portu 445 NetBT- protokół sieciowy, który pozwala starszym programom korzystającym z API NetBIOS działać w nowoczesnych sieciach TCP/IP. Jeśli na komputerze nie ma takiego przestarzałego oprogramowania, port można bezpiecznie zablokować - zamknie to drzwi wejściowe dla rozprzestrzeniania się wirusa WannaCry. Można to zrobić za pomocą ustawień połączenia sieciowego lub edytora rejestru.

Pierwszy sposób:

1. 1. Otwierają się właściwości używanego połączenia.
2. 2. Otwarte właściwości protokołu TCP/IPv4.
3. 3. Kliknij przycisk „Zaawansowane...”.
4. 4. Na karcie WINS zaznacz pole wyboru „Wyłącz NetBIOS przez TCP/IP”.

Należy to zrobić dla wszystkich połączeń sieciowych. Dodatkowo warto wyłączyć usługę dostępu do plików i drukarek, jeśli nie jest ona używana - znane są przypadki, gdy WannaCry przedostał się przez nią do komputera.

Drugi sposób:

1. 1. Zostanie otwarty Edytor rejestru.
2. 2. Wyszukaj parametry NetBT w sekcji ControlSet001 wpisów systemowych.
3. 3. Parametr TransportBindName został usunięty.

To samo należy zrobić w następujących sekcjach:

• Zestaw kontrolny002;
• Bieżący zestaw kontroli.

Po zakończeniu edycji komputer uruchamia się ponownie. Należy pamiętać, że jeśli protokół NetBT jest wyłączony, usługa DHCP przestanie działać.

Wniosek

Dlatego, aby uchronić się przed rozprzestrzenianiem się wirusa WannaCry, musisz upewnić się, że podatne porty 135 i 445 są zamknięte (możesz w tym celu skorzystać z różnych usług) lub włączyć zaporę ogniową. Ponadto należy zainstalować wszystkie aktualizacje systemu Windows. Aby uniknąć przyszłych ataków, zaleca się zawsze używać najnowszej wersji oprogramowania antywirusowego.