Эпидемия шифратора WannaCryptor: рекомендации ESET - Eset NOD32 Antivirus & Smart Security - Форумы Anti-Malware.ru Перейти к содержанию
Ego Dekker

Эпидемия шифратора WannaCryptor: рекомендации ESET

Recommended Posts

Ego Dekker

12 мая организации в десятках стран мира стали жертвой атаки с применением шифратора WannaCryptor (WannaCry, Wcry). Вредоносная программа шифрует файлы распространенных форматов и требует выкуп в размере 300 долларов США в биткоинах. WannaCryptor использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

WannaCryptor распространяется при помощи сетевой уязвимости в операционных системах Microsoft Windows MS17-010. Данная уязвимость закрыта Microsoft в марте, обновление доступно по прямой ссылке.

Решения ESET NOD32 детектируют угрозу как Filecoder.WannaCryptor и блокируют данную версию шифратора и его модификации. В продуктах реализована функция проверки доступности обновлений Microsoft Windows.

Для предотвращения заражения ESET рекомендует следующие меры:

1. Установите все обновления Microsoft Windows.

В продуктах ESET реализована функция проверки доступности обновлений операционной системы. Если данная функция включена и все обновления Microsoft Windows установлены, система защищена от WannaCryptor и других подобных атак.

2. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО.

Защитные решения могут предотвратить заражение даже в том случае, если обновления Windows пока не установлены. Антивирусные продукты ESET NOD32 детектируют модификации WannaCryptor, при этом облачная система ESET LiveGrid отражала атаку 12 мая до обновления сигнатурных баз.

3. Настройте эвристические инструменты для защиты от новых, ранее неизвестных угроз.

Технологии на базе эвристики позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа. Более подробная информация о настройке эвристических инструментов в продуктах ESET доступна на сайте https://noransom.esetnod32.ru.

4. Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем.

До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.

5. Используйте сервисы для доступа к информации о новейших угрозах.

Успеху кибератак зачастую способствует низкая осведомленность организаций об опасности и векторах заражения. Снижает риски доступ ИТ и ИБ-специалистов к информации о новейших угрозах. Для этого, в частности, предназначен корпоративный сервис ESET Threat Intelligence – он предоставляет статистику о новых угрозах, позволяет прогнозировать целевые атаки и адаптироваться к изменениям киберландшафта.

При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.

 

Пресс-выпуск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
×