•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
ESET. Расширенное руководство по защите от WannaCry.

ESET. Расширенное руководство по защите от WannaCry.

Вирусная эпидемия. Начиная с 12 мая 2017 года организации в 150 странах мира стали жертвой трояна-шифратора WannaCryptor (WannaCry, Wcry). Он шифрует ценные файлы, базы данных, почту, после чего выводит на экран требование выкупа за восстановление доступа – 300 долларов в биткоин-эквиваленте. На момент публикации на счет злоумышленников поступило более 80 тысяч долларов. Прибыль сравнительно невелика – в отличие от ущерба, который атака нанесла пользователям по всему миру.
  
Чем опасен WannaCryptor?
Сам по себе шифратор WannaCryptor не является сложной или особо опасной угрозой. Масштаб эпидемии обусловлен его связкой с эксплойтом EternalBlue для сетевой уязвимости Microsoft Windows. Считается, что этот эксплойт разработан Агентством национальной безопасности США. 14 апреля 2017 года EternalBlue и некоторые другие эксплойты АНБ были опубликованы в открытом доступе. Microsoft выпустила обновление безопасности MS17-010, закрывающее данную уязвимость, еще 14 марта. Тем не менее, на 12 мая патч был установлен далеко не на всех рабочих станциях, что обусловило массовый характер атаки.

Как происходит заражение?
В отличие от множества шифраторов, распространяющихся в спам-рассылках, WannaCryptor может заразить рабочие станции без непосредственного участия пользователя. Вредоносная программа сканирует сеть на предмет незащищенных узлов, затем следует установка шифратора, который, в свою очередь, блокирует доступ к файлам. 

Пользователи ESET защищены?
Да, антивирусные продукты ESET распознают эту угрозу на нескольких этапах атаки. Рассмотрим подробнее:
- Модуль «Защита от сетевых атак» распознает и блокирует попытки атак с использованием эксплойта EternalBlue. Продукты ESET фиксируют эксплуатацию EternalBlue с 26 апреля (первоначально с его помощью распространялась другая вредоносная программа – CoinMiner). 
- Microsoft выпустила обновление MS17-010, закрывающее уязвимость, 14 марта. Все продукты ESET поддерживают функцию проверки доступности обновлений. Если не отключать эту функцию и вовремя устанавливать все патчи, система защищена от подобных атак.
- Антивирусные продукты ESET блокировали WannaCryptor до начала эпидемии. Первые версии шифратора были добавлены в вирусные базы еще в начале апреля.
- Эвристические технологии ESET позволяют детектировать новые, ранее неизвестные угрозы. Продукты ESET блокировали модификацию Win32/Filecoder.WannaCryptor.D, с которой началась атака 12 мая, до обновления вирусных баз.

Кто пострадал?
По данным системы телеметрии ESET, 12-14 мая большинство отраженных атак WannaCryptor зафиксировано в России (45,07% срабатываний защитных решений), Украине (11,88%) и Тайване (11,55%). Угроза ориентирована преимущественно на корпоративных пользователей. Среди жертв – подразделения МВД России, завод Renault во Франции, медицинские учреждения в Великобритании и др.

Что делать, если файлы зашифрованы?
Обратитесь в службу технической поддержки вашего антивирусного вендора. Производители работают с пострадавшими и дешифруют файлы в вирусных лабораториях. К сожалению, расшифровка не всегда возможна. Если файлы обработаны с применением сложных алгоритмов шифрования (WannaCryptor использует гибридный алгоритм RSA+AES), расшифровать их с большой долей вероятности не удастся.

Если заплатить выкуп, файлы расшифруют?
Не рекомендуем платить злоумышленникам по следующим причинам: 
- По нашим данным, пока ни одна жертва WannaCryptor не получила ключ расшифровки в обмен на выкуп. Скорее всего, такая возможность отсутствует – платежи поступают на общие биткоин-кошельки, и атакующие не могут идентифицировать отправителя.
- Выкуп в принципе ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получит ключ расшифровки – его может не быть у самих хакеров.
- Получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости.
- Выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.

Что надо сделать в первую очередь, чтобы не заразиться WannaCryptor?
- Установите все обновления Microsoft Windows, это можно сделать.
- По необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue, воспользовавшись бесплатной утилитой ESET. Скачайте архив, распакуйте его и запустите VerifyEternalBlue.vbs
- Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает наиболее современные технологии обнаружения угроз.
- Откажитесь от использования Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем установите обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
- По возможности отключайте протокол SMB.
- При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу техподдержки вашего антивирусного вендора.
________________________________________
⇒ Рекомендуемый продукт: ESET NOD32 Smart Security Business Edition
Комплексная защита рабочих станций, мобильных устройств и файловых серверов. от 1032 руб/год. Подробнее>>
________________________________________


Какие еще меры защиты от шифраторов стоит принять?

- Включите службу ESET LiveGrid в антивирусном продукте ESET.
- Включите в продуктах ESET функцию проверки доступности обновлений операционной системы.
- Настройте эвристические инструменты для защиты от новых, ранее неизвестных угроз. Инструкция по настройке доступна на сайте ESET .
- Используйте сервисы, обеспечивающие доступ ваших ИТ и ИБ-специалистов к информации о новейших угрозах, например, ESET Threat Intelligence.
Используйте услуги аудита безопасности корпоративной сети – подобные сервисы позволяют оценить защиту и минимизировать риски, связанные с человеческим фактором.
- Не открывайте приложения и не переходите по ссылкам, полученным от неизвестных отправителей. В отличие от WannaCryptor, множество шифраторов распространяется посредством фишинговых писем.
- Проведите обучение сотрудников основам информационной безопасности.
- Регулярно выполняйте резервное копирование данных.
- Отключите или ограничьте доступ к протоколу удаленного рабочего стола (RDP).
- Отключите макросы в Microsoft Office.
- Если вы все еще используйте Windows XP, отключите протокол SMBv1. Но лучше обновите операционную систему!

Материал подготовлен Представительством ESET  в России ( www.esetnod32.ru )
_________________________________________
⇒ Ссылка по теме: Каталог программного обеспечения ESET NOD32
Переход в он-лайн магазин Датаситем - официального Поставщика Eset NOD32 в России.
Перейти на сайт Поставщика>>
_________________________________________

Sec-cen sm.png Для отправки запроса по продуктам ESET заполните Форму "Отправить запрос".
- Консультация по программам ESET NOD32;
- Стоимость ESET NOD32 ;
- Специальные цены  ESET NOD32.




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.