Защита от WannaCry

25 мая 2017 г.

Защита от WannaCry


В последнее время наблюдается высокая активность программ-вымогателей, они ориентированы на всех: как на простых пользователей, так и на большие корпорации. По словам аналитиков Fortinet, с 1 января 2016 года ежедневно совершается более 4000 нападений с целью выкупа.

12 мая вредоносное ПО, а именно шифровальщик WannaCry, распространилось в течении дня и нанесло ущерб сотням крупным организациям по всему миру. Жертвами атаки шифровальщика стали компьютерные системы более 150 стран, среди них Германия, Великобритания, Испания, но больше всего инфицированных компьютеров наблюдалось в Украине, России, Индии и Тайване.

Цель вируса довольна проста: он блокирует доступ ко всем персональным данным и требует заплатить выкуп для предоставления ключа расшифровки. Оплату можно осуществить в течении 3 дней в размере $300 криптовалютой, если в течении этого времени выкуп не будет выплачен – сумма удваивается. В случае если пользователи не заплатят в течении 7 дней, то все их зараженные данные будут удалены навсегда.

WannaCry распространился по принципу червя через предполагаемый эксплойт NSA под названием ETERNALBLUE, который был запущен онлайн в прошлом месяце хакерской группировкой The Shadow Brokers. ETERNALBLUE использует уязвимость в протоколе Message Block 1.0 (SMBv1) сервера Microsoft.

Microsoft выпустила критический патч для этой уязвимости в марте в бюллетене Microsoft Security Bulletin MS17-010. В том же месяце Fortinet выпустила сигнатуру IPS для обнаружения и блокирования этой уязвимости. 12 мая были также выпущены новые сигнатуры AV, чтобы также обнаружить и остановить эту атаку. Стороннее тестирование подтверждает, что Fortinet Anti-Virus и FortiSandbox эффективно блокируют это вредоносное ПО.

Мы настоятельно рекомендуем всем клиентам выполнить следующие действия:

  • Применить патч, опубликованный Microsoft на всех уязвимых узлах сети.
  • Убедиться,что сигнатуры Fortinet AV и IPS, а также механизмы веб-фильтрации включены, чтобы предотвратить загрузку вредоносного ПО, и чтобы веб-фильтрация блокировала связь с серверами команд и контроля.
  • Изолировать связь с портами UDP 137/138 и TCP 139/445.

Мы также рекомендуем пользователям и организациям принять следующие предупредительные меры:

  • Установите регулярную процедуру для исправления операционных систем, программного обеспечения и прошивки на всех устройствах. Для крупных организаций с большим количеством развернутых устройств рассмотрите возможность внедрения централизованной системы управления исправлениями.
  • Разверните технологии IPS, AV и Web Filtering и обновите их.
  • Регулярно создавайте резервные копии данных. Проверьте целостность этих резервных копий, зашифруйте их и протестируйте процесс восстановления, чтобы убедиться, что он работает правильно.
  • Проверять всю входящую и исходящую электронную почту для обнаружения угроз и профильтруйте исполняемые файлы от конечных пользователей.
  • Установите автоматическое проведение регулярных проверок антивирусными программами.
  • Отключите макро скрипты в файлах, передаваемых по электронной почте.
  • Создайте стратегию обеспечения непрерывности бизнеса и реагирования на инциденты и проводить регулярные оценки уязвимости.

Если ваша организация пострадала от вымогательства, выполните следующие действия:

  • Немедленно изолируйте зараженные устройства, удалите их из сети как можно скорее, чтобы предотвратить распространение вымогателей на сеть или общие диски.
  • Если ваша сеть была заражена, немедленно отключите все подключенные устройства. Это может обеспечить время для очистки и восстановления данных.
  • Резервные копии данных должны храниться в автономном режиме. Если обнаружено заражение, отсканируйте резервные копии, чтобы убедиться, что они свободны от вредоносного ПО.
  • Немедленно обратитесь в правоохранительные органы, чтобы сообщить о любых событиях, связанных с вымогательством, и получить помощь.

Защита предприятий от любых угроз – это одно из главных условий успешного функционирования на рынке. И чтобы в дальнейшем предупредить подобные угрозы Вы можете проконсультироваться с нашими специалистами.

Перейти в раздел «Новости индустрии»