Совершена атака DoublePulsar!

На ПК в вашей сети обнаружена следующая проблема:

В памяти присутствует резидент кода лазейки DoublePulsar

---

Серьезность: Высокая

Ссылка: MS17-010 | CVE-2017-0143

Описание
Ваш ПК заражен, так как в его памяти присутствует резидент кода лазейки DoublePulsar. Он оказался там в результате действий злоумышленников или программы-червя. Теперь эта лазейка воспринимает команды, в числе которых может быть установка вредоносного ПО (включая печально известную программу-вымогатель WannaCry) или кража важной информации. Код этой атаки-лазейки стал доступен после утечки из Агентства национальной безопасности США в апреле 2017 года и был использован для создания множества видов вредоносного ПО, заразившего по всему миру системы, которые не получили нужных исправлений.

Рекомендуем немедленно выполнить указанные выше шаги для удаления угрозы. Важно перезапустить устройство, отключив его перед этим от сети. При перезапуске код лазейки выпадает из памяти, а отсутствие подключения к сети предотвращает повторное заражение ПК до установки исправлений.

Причиной заражения стала работа компьютера с устаревшей версией службы общего доступа к файлам и принтерам (SMB) ОС Windows, которая содержит уязвимость EternalBlue, получившую обозначение CVE-2017-0143. Эта уязвимость делает возможным удаленное исполнение кода при посредстве сети. Это означает, что при включенном общем доступе к файлам и при отсутствии блокировки порта 445 TCP брандмауэром вредоносный объект получает возможность использовать код эксплойта для получения удаленного контроля над ПК и установки вредоносного ПО. На обнаруженном при сканировании сети компьютере уже присутствует этот код эксплойта.

Компания Microsoft выпустила исправление для уязвимости EternalBlue для Windows 10, Windows 8.1, Windows 7 и Windows Vista в бюллетене по безопасности MS17-010, выпущенном в марте 2017 года. Для Windows 8 и Windows XP оно стало доступным в мае 2017 года. Правильная установка этого исправления при перезапуске ПК для удаления имеющегося заражения устранит уязвимость и предотвратит заражения этого рода в будущем.

Масштабная атака DoublePulsar произошла 12 мая 2017 года: червь-вымогатель WannaCry (WanaCrypt0r) воспользовался уязвимостью и заразил тысячи компьютеров по всему миру. В нашем блоге вы можете найти более подробную информацию об этой атаке программы-вымогателя.

»  Программа-вымогатель, жертвами которой стали компания Telefonica и больницы NHS, агрессивно распространяется: на данный момент произошло уже более 50 000 атак

Если говорить о технических подробностях, уязвимость EternalBlue распространяется на реализациях первой версии протокола SMB (общеизвестной под обозначением SMBv1), не получивших исправления. SMBv2 и более новые версии, доступные для Windows 7 и более новых операционных систем, не пострадали. Однако и новые системы имеют поддержку SMBv1, поэтому их стоит немедленно обновить или, по крайней мере, отключить протокол SMBv1.

Потенциальными жертвами могут стать все версии операционных систем Microsoft Windows от Windows XP до юбилейного обновления Windows 10. Другие операционные системы, использующие иные способы реализации протокола SMB (включая Samba в ОС Linux), не подвержены этой атаке.

Рекомендация
Выполните обновление системы безопасности MS17-010, которое решает эту проблему. Делать это следует только после отключения от сети и перезапуска.

Если заражен другой компьютер в вашей сети, на котором не установлена программа Avast, лазейка DoublePulsar могла установить на него вредоносное ПО. Не исключено, что была установлена и сама печально известная программа-вымогатель WannaCry. Установите на него программу Avast Free Antivirus и запустите Сканирование при загрузке, чтобы удалить все возможные угрозы.

Продукты Avast Premier и Avast Internet Security оснащены встроенным Firewall. Использование этих версий программы Avast и установка для брандмауэра профиля Интернет предотвращают заражение в данной сети.