Перейти к содержанию
Ego Dekker

Как защитить сеть от WannaCryptor и других троянов-шифраторов. Рекомендации ESET

Recommended Posts

Ego Dekker

Что случилось?

Вирусная эпидемия. Начиная с 12 мая организации в 150 странах мира стали жертвой трояна-шифратора WannaCryptor (WannaCry, Wcry). Он шифрует ценные файлы, базы данных, почту, после чего выводит на экран требование выкупа за восстановление доступа — 300 долларов в биткоин-эквиваленте. На момент публикации на счет злоумышленников поступило более 80 тысяч долларов. Прибыль сравнительно невелика — в отличие от ущерба, который атака нанесла пользователям по всему миру.

Чем опасен WannaCryptor?

Сам по себе шифратор WannaCryptor не является сложной или особо опасной угрозой. Масштаб эпидемии обусловлен его связкой с эксплойтом EternalBlue для сетевой уязвимости Microsoft Windows. Считается, что этот эксплойт разработан Агентством национальной безопасности США. 14 апреля 2017 года EternalBlue и некоторые другие эксплойты АНБ были опубликованы в открытом доступе. Microsoft выпустила обновление безопасности MS17-010, закрывающее данную уязвимость, еще 14 марта. Тем не менее, на 12 мая патч был установлен далеко не на всех рабочих станциях, что обусловило массовый характер атаки.

Как происходит заражение?

В отличие от множества шифраторов, распространяющихся в спам-рассылках, WannaCryptor может заразить рабочие станции без непосредственного участия пользователя. Вредоносная программа сканирует сеть на предмет незащищенных узлов, затем следует установка шифратора, который, в свою очередь, блокирует доступ к файлам.

Пользователи ESET защищены?

Да, антивирусные продукты ESET распознают эту угрозу на нескольких этапах атаки. Рассмотрим подробнее:

— Модуль «Защита от сетевых атак» распознает и блокирует попытки атак с использованием эксплойта EternalBlue. Продукты ESET фиксируют эксплуатацию EternalBlue с 26 апреля (первоначально с его помощью распространялась другая вредоносная программа — CoinMiner).

— Microsoft выпустила обновление MS17-010, закрывающее уязвимость, 14 марта. Все продукты ESET поддерживают функцию проверки доступности обновлений. Если не отключать эту функцию и вовремя устанавливать все патчи, система защищена от подобных атак

— Антивирусные продукты ESET блокировали WannaCryptor до начала эпидемии. Первые версии шифратора были добавлены в вирусные базы еще в начале апреля.

— Эвристические технологии ESET позволяют детектировать новые, ранее неизвестные угрозы. Продукты ESET блокировали модификацию Win32/Filecoder.WannaCryptor.D, с которой началась атака 12 мая, до обновления вирусных баз.

Подробнее о том, как работают технологии безопасности ESET на разных этапах атаки.

Кто пострадал?

По данным системы телеметрии ESET, 12-14 мая большинство отраженных атак WannaCryptor зафиксировано в России (45,07% срабатываний защитных решений), Украине (11,88%) и Тайване (11,55%). Угроза ориентирована преимущественно на корпоративных пользователей. Среди жертв — подразделения МВД России, завод Renault во Франции, медицинские учреждения в Великобритании и др.

Что делать, если файлы зашифрованы?

Обратитесь в службу технической поддержки вашего антивирусного вендора. Производители работают с пострадавшими и дешифруют файлы в вирусных лабораториях. К сожалению, расшифровка не всегда возможна. Если файлы обработаны с применением сложных алгоритмов шифрования (WannaCryptor использует гибридный алгоритм RSA+AES), расшифровать их с большой долей вероятности не удастся.

Если заплатить выкуп, файлы расшифруют?

Не рекомендуем платить злоумышленникам по следующим причинам:

— По нашим данным, пока ни одна жертва WannaCryptor не получила ключ расшифровки в обмен на выкуп. Скорее всего, такая возможность отсутствует — платежи поступают на общие биткоин-кошельки, и атакующие не могут идентифицировать отправителя.

— Выкуп в принципе ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получит ключ расшифровки — его может не быть у самих хакеров.

— Получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости.

— Выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.

Что надо сделать в первую очередь, чтобы не заразиться WannaCryptor?

— Установите все обновления Microsoft Windows, это можно сделать по прямой ссылке.

— По необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue, воспользовавшись бесплатной утилитой ESET. Скачайте архив, распакуйте его и запустите VerifyEternalBlue.vbs

— Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает наиболее современные технологии обнаружения угроз.

— Откажитесь от использования Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем установите обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.

— По возможности отключайте протокол SMB.

— При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу техподдержки вашего антивирусного вендора.

Какие еще меры защиты от шифраторов стоит принять?

— Включите службу ESET LiveGrid в антивирусном продукте ESET.

— Включите в продуктах ESET функцию проверки доступности обновлений операционной системы.

— Настройте эвристические инструменты для защиты от новых, ранее неизвестных угроз. Инструкция по настройке доступна на сайте ESET.

— Используйте сервисы, обеспечивающие доступ ваших ИТ и ИБ-специалистов к информации о новейших угрозах, например, ESET Threat Intelligence.

— Используйте услуги аудита безопасности корпоративной сети — подобные сервисы позволяют оценить защиту и минимизировать риски, связанные с человеческим фактором.

— Не открывайте приложения и не переходите по ссылкам, полученным от неизвестных отправителей. В отличие от WannaCryptor, множество шифраторов распространяется посредством фишинговых писем.

— Проведите обучение сотрудников основам информационной безопасности.

— Регулярно выполняйте резервное копирование данных.

— Отключите или ограничьте доступ к протоколу удаленного рабочего стола (RDP).

— Если вы все еще используйте Windows XP, отключите протокол SMBv1. Но лучше обновите операционную систему!

Решения ESET NOD32 детектируют и блокируют все модификации шифратора WannaCryptor, а также попытки сетевых атак через уязвимость EternalBlue.

 

Пресс-выпуск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • accimeque
      Buy atopex europe online, buy atopex ir


      What can be better than being sure that the drugs you buy are effective and of high quality!


      Top Offers For Atopex - MORE INFORMATION



      We are ready to provide you with all the medications you need to stay healthy and happy!





      Lifeboat skipper, 51, quits the RNLI because 'it is in the grip of political correctness' She the North Bianca Andreescu Joins the Raptors in Canadian Sports Lore 'Wearable chair' that straps to ones backside is dividing social media users after going viral Devastated family tell of heartbreak after father and son die in New South Wales light air crash How to haggle around the world Like eating balls of compressed sawdust Pompeo Calls Attacks on Saudi Arabia atopex Act of War and Seeks Coalition to Counter Iran Breathtaking sound for the posh hi-fi crowd Red Bull Salzburg Gets Its Wings Atopex 100mg lowest prices. Dawid Malan emerges as surprise target for Yorkshire with Middlesex future uncertain 13-Year-Olds Are Arrested Over Hong Kong Protests Man, 25, got a glass thermometer stuck in his bladder Firm advertised huge returns. It won an award in Monaco. The SEC calls it a fraud Jofra Archer is staying cool despite a seismic summer for England's Ashes hero Contraceptive pills may raise the risk of type 2 diabetes
    • Quinzy
      А хотели бы вы научиться рисовать в зрелом возрасте? Многие ведь жалеют, что когда-то их родители не отдали в художку или просто в местности, где жили, не было такой возможности, чтобы учиться рисовать. И вот мне интересно, есть ли у взрослых людей такое желание? Сам я даже университет закончил по специальности преподаватель изобразительного искусства. Но по профессии не работаю, ибо платят мало. Вот прочитал про одну бизнес-идею https://b-mag.ru/hudozhestvennaja-shkola-dlja-vzroslyh-plan-v-6-shagov/ про открытие частной художественной школы для взрослых. Думаете стоит попытать счастье и открыть что-то подобное? 
    • Liza2u
      Тут все зависит от политики компании, есть те что работают на совесть, а есть тем что важна только быстая прибыль, без оглядки на репутацию. Мне как то довелось заказывать синии розы, так я столько намучалась пока не нашла этих ребят flowers.ua/ru/articles/sinie-rozy . Были всегда на созвоне, предупредили что опоздают на пять минут и за это чуть скинули цену, так что впечатления в целом положительные.
      Тут мне кажеться нужно смотреть сколько компания на рынке и искать отзывы. 
    • Quinzy
      Я вам вот что скажу. Когда производитель решает за сколько продавать ту или иную технику, включая компьютер, то он рассчитывает и доходы населения. И если в той же Германии или Финляндии зарплаты 3-4 тысячи евро, то у нас не более 500. И там такой же компьютер будет стоит условные 500 евро, а у нас 100. Ориентация на доходы населения идёт. Понимаете?! Так что, берите лучше у нас. За границей найдете только б\у недорогую технику. И не знаю, как вы ищите, что не можете себе нормальный компьютер найти. Я себе без проблем нашёл хороший мощный компьютер Qbox https://qbox.ua/ua/product/kompyuter-qbox-a0165/ на базе процессора AMD с оперативой DDR4 на 4 GB и жестким на террабайт. Так мне его с лихвой хватает. И на игры, и для работы. 
    • Momo
      Можно, только я не могу найти для себя хороший компьютер для себя.
×