Защита от вымогателя WannaCry – методы предотвращения заражения

Защита от вымогателя WannaCry – методы предотвращения заражения

Вымогатель WannaCry стал необычайно популярен за последние несколько дней. Экспертов поразила скорость распространения этой вредоносной программы. Вымогатель атаковал самые крупные структуры по всему миру, такие как МВД России, китайские университеты, венгерские и испанские телекоммуникационные компании, а также больницы и клиники, управляемые британскими национальными службами здравоохранения. Его требования выкупа поддерживают более двух десятков языков.

Этот вредонос известен под несколькими именами: WCry, WannaCry, WanaCrypt0r, WannaCrypt или Wana Decrypt0r. По данным FortiGuard Labs, он распространяется через предполагаемый эксплойт NSA под названием ETERNALBLUE, который был запущен онлайн в прошлом месяце хакерской группировкой The Shadow Brokers. ETERNALBLUE использует уязвимость в протоколе Message Block 1.0 (SMBv1) сервера Microsoft.

Благодаря активности WannaCry злоумышленники получили с пользователей 42 тысячи долларов. Несмотря на то, что одному программисту удалось на днях найти способ остановить атаку, это представляет собой лишь временное решение. Масштабы распространения вредоноса настолько велики, что InfoWatch представил обзор атаки WannaCry.

По данным «Лаборатории Касперского», за выходные дни (13-14 мая) появились две крупные модификации вымогателя WannaCry. Эксперты полагают, что ни один из этих вариантов не был создан авторами оригинального вымогателя.

Первая из двух упомянутых модификаций зловреда начала распространяться рано утром в воскресенье, приблизительно в 4 часа по московскому времени. «Лаборатория Касперского» сообщила о том, что обнаружила жертв этого варианта вымогателя в России и Бразилии.

 

WCry, WannaCry, WannaCrypt, Wana Decrypt0r

 

Другая модификация, по всей видимости, умеет обходить так называемый киллсвитч (killswitch), который помог остановить первую волну атак. По словам исследователей, этот вариант не получил распространение, возможно, из-за ошибки в коде.

В марте Microsoft выпустила критический патч в бюллетене Microsoft Security Bulletin MS17-010, в нем устранялась уязвимость, используемая WannaCry.

Для противодействия этому вымогателю (защиты от WannaCry, WCry, WannaCrypt, Wana Decrypt0r) пользователям настоятельно рекомендуется выполнить следующие шаги:

  • Применить патч, опубликованный Microsoft на всех уязвимых узлах сети.
  • Изолировать связь с портами UDP 137/138 и TCP 139/445.
  • Регулярно создавать резервные копии данных. Проверять целостность этих резервных копий.
  • Проверять всю входящую и исходящую электронную почту на предмет наличия вредоносного содержимого.
  • Установить автоматическое проведение регулярных проверок антивирусными программами.
  • Отключить макроскрипты в файлах, передаваемых по электронной почте.

Если ваша организация стала жертвой вымогателя WannaCry, выполните следующие действия:

  • Немедленно изолируйте зараженные устройства, удалите их из сети как можно скорее, чтобы предотвратить распространение вымогателей на сеть или общие диски.
  • Если ваша сеть была заражена, немедленно отключите все подключенные устройства. Это может обеспечить время для очистки и восстановления данных.
  • Резервные копии данных должны храниться в автономном режиме. Если обнаружено заражение, отсканируйте резервные копии, чтобы убедиться, что они свободны от вредоносного ПО.
  • Немедленно обратитесь в правоохранительные органы, чтобы сообщить о любых событиях, связанных с вымогательством, и получить помощь.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru