Новости Ф-Центра за день

Как защитить сеть от WannaCryptor и других троянов-шифраторов.

Рекомендации ESET

Что случилось?

Вирусная эпидемия. Начиная с 12 мая организации в 150 странах мира стали жертвой трояна-шифратора WannaCryptor (WannaCry, Wcry). Он шифрует ценные файлы, базы данных, почту, после чего выводит на экран требование выкупа за восстановление доступа – 300 долларов в биткоин-эквиваленте. На момент публикации на счет злоумышленников поступило более 80 тысяч долларов. Прибыль сравнительно невелика – в отличие от ущерба, который атака нанесла пользователям по всему миру.

Чем опасен WannaCryptor?

Сам по себе шифратор WannaCryptor не является сложной или особо опасной угрозой. Масштаб эпидемии обусловлен его связкой с эксплойтом EternalBlue для сетевой уязвимости Microsoft Windows. Считается, что этот эксплойт разработан Агентством национальной безопасности США. 14 апреля 2017 года EternalBlue и некоторые другие эксплойты АНБ были опубликованы в открытом доступе. Microsoft выпустила обновление безопасности MS17-010, закрывающее данную уязвимость, еще 14 марта. Тем не менее, на 12 мая патч был установлен далеко не на всех рабочих станциях, что определило массовый характер атаки.

Как происходит заражение?

В отличие от множества шифраторов, распространяющихся в спам-рассылках, WannaCryptor может заразить рабочие станции без непосредственного участия пользователя. Вредоносная программа сканирует сеть на предмет незащищенных узлов, затем следует установка шифратора, который, в свою очередь, блокирует доступ к файлам.

Пользователи ESET защищены?

Да, антивирусные продукты ESET распознают эту угрозу на нескольких этапах атаки. Рассмотрим подробнее: - Модуль «Защита от сетевых атак» распознает и блокирует попытки атак с использованием эксплойта EternalBlue. Продукты ESET фиксируют эксплуатацию EternalBlue с 26 апреля (первоначально с его помощью распространялась другая вредоносная программа – CoinMiner). - Microsoft выпустила обновление, закрывающее уязвимость MS17-010, 14 марта. Все продукты ESET поддерживают функцию проверки доступности обновлений. Если не отключать эту функцию и вовремя устанавливать все патчи, система защищена от подобных атак. - Антивирусные продукты ESET блокировали WannaCryptor до начала эпидемии. Первые версии шифратора были добавлены в вирусные базы еще в начале апреля. - Эвристические технологии ESET позволяют детектировать новые, ранее неизвестные угрозы. Продукты ESET блокировали модификацию Win32/Filecoder.WannaCryptor.D, с которой началась атака 12 мая, до обновления вирусных баз.

Кто пострадал?

По данным системы телеметрии ESET, 12-14 мая большинство отраженных атак WannaCryptor зафиксировано в России (45,07% срабатываний защитных решений), Украине (11,88%) и Тайване (11,55%). Угроза ориентирована преимущественно на корпоративных пользователей. Среди жертв – подразделения МВД России, завод Renault во Франции, медицинские учреждения в Великобритании и др.

Что делать, если файлы зашифрованы?

Обратитесь в службу технической поддержки вашего антивирусного вендора. Производители работают с пострадавшими и дешифруют файлы в вирусных лабораториях. К сожалению, расшифровка не всегда возможна. Если файлы обработаны с применением сложных алгоритмов шифрования (WannaCryptor использует гибридный алгоритм RSA+AES), расшифровать их с большой долей вероятности не удастся.

Если заплатить выкуп, файлы расшифруют?

Не рекомендуем платить злоумышленникам по следующим причинам:

- По нашим данным, пока ни одна жертва WannaCryptor не получила ключ расшифровки в обмен на выкуп. Скорее всего, такая возможность отсутствует – платежи поступают на общие биткоин-кошельки, и атакующие не могут идентифицировать отправителя.

- Выкуп в принципе ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получит ключ расшифровки – его может не быть у самих хакеров.

- Получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости.

- Выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.

 

Что надо сделать в первую очередь, чтобы не заразиться WannaCryptor?

- Установите все обновления Microsoft Windows, это можно сделать по прямой ссылке.

- По необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue, воспользовавшись бесплатной утилитой ESET. Скачайте архив, распакуйте его и запустите VerifyEternalBlue.vbs

- Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает наиболее современные технологии обнаружения угроз.

- Откажитесь от использования Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем установите обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.

- По возможности отключайте протокол SMB.

- При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу техподдержки вашего антивирусного вендора.


Какие еще меры защиты от шифраторов стоит принять?

- Включите службу ESET LiveGrid в антивирусном продукте ESET.

- Включите в продуктах ESET функцию проверки доступности обновлений операционной системы.

- Настройте эвристические инструменты для защиты от новых, ранее неизвестных угроз. Инструкция по настройке доступна на сайте ESET.

- Используйте сервисы, обеспечивающие доступ ваших ИТ и ИБ-специалистов к информации о новейших угрозах, например, ESET Threat Intelligence.

- Используйте услуги аудита безопасности корпоративной сети – подобные сервисы позволяют оценить защиту и минимизировать риски, связанные с человеческим фактором.

- Не открывайте приложения и не переходите по ссылкам, полученным от неизвестных отправителей. В отличие от WannaCryptor, множество шифраторов распространяется посредством фишинговых писем.

- Проведите обучение сотрудников основам информационной безопасности.

- Регулярно выполняйте резервное копирование данных.

- Отключите или ограничьте доступ к протоколу удаленного рабочего стола (RDP).

- Отключите макросы в Microsoft Office.

- Если вы все еще используйте Windows XP, отключите протокол SMBv1. Но лучше обновите операционную систему!

 

Решения ESET NOD32 детектируют и блокируют все модификации шифратора WannaCryptor, а также попытки сетевых атак через уязвимость EternalBlue.

 

 

Автор: Отдел маркетинга Дата: 26.05.2017 10:25