В прошлую пятницу 12 мая в сети стали появляться сообщения о массовых заражениях вирусом-вымогателем (ransomware) WannaCrypt, так же известным как WanaCryptor или WannaCry. В первую очередь заражению подверглись учреждения здравоохранения Великобритании и Португалии, а затем и организации в других странах. По данным Лаборатории Касперского на данный момент зафиксировано более 200000 заражений в 74 странах, причем по числу зараженных систем лидирует Россия. 
Чем опасен WannaCryptor
В данный момент активна уже вторая версия вируса-вымогателя WannaCrypt 2.0.
Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue из архива АНБ США, обнародованного хакерской группировкой ShadowBrokers. Он эксплуатирует уязвимость в протоколе SMBv1, которая была закрыта нашим обновлением MS17-010, выпущенным 14 марта.
Вирус зашифровывает все файлы в 170 популярных форматах на компьютере жертвы и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, после чего сумма увеличивается вдвое.
После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет, после чего зашифровывает файлы на этих хостах.
По некоторым данным, минимальное время заражения уязвимой системы после выставления в интернет с открытым 445 портом — 3 минуты.
Несмотря на окончания поддержки Windows XP, Windows 8, and Windows Server 2003 мы выпустили обновления, закрывающее уязвимость MS17-010 на этих системах. Системы с Windows 10 не подверглись атакам.
Как предотвратить заражение
Для поддерживаемых систем загрузите последний накопительный пакет обновлений, который включает обновление MS17-010
Для неподдерживаемых систем, загрузите следующие обновлени (по ссылке доступен выбор обновления для русскоязычных систем):
Если вы не можете установить обновление MS17-010, отключите использование протокола SMBv1 или перейдите на использование SMB Direct.
Обновите антивирус наши продукты Windows Defender и System Center Endpoint Protection определяют вирус как Ransom:Win32/WannaCrypt. Убедитесь, что у вас включены обновления и версия антивирусных баз 1.243.290.0 или более поздняя.
Поддерживайте ваши ОС и антивирусное ПО в актуальном состоянии, своевременно устанавливайте обновления и переходите на использование современных версий ПО до истечения срока их поддержки.
Дополнительные материалы:
Блог Microsoft Security Response Center
Анализ работы WannaCrypt от Microsoft Malware Protection Center
Официальный перевод статьи президента Microsoft Брэда Смита про новый дивный мир после WannaCryptor
Анализ работы WannaCrypt от Pentestit
Артём Синицын
руководитель программы информационной безопасности в Центральной и Восточной Европе