Вирус-шифровальщик WannaCry (WannaCrypt) заразил уже 200 000 компьютеров в 155 странах и продолжает стремительно распространяться. По сведениям из разных источников (CheckPoint, Eset, Microsoft и ряд других) вирус проникает в корпоративную сеть как прямой атакой извне (через незакрытую вовремя уязвимость), так и через почтовую рассылку - рассылаются письма со ссылкой на загрузку шифратора и письма с зараженным вложением.
Вот что пишет компания CheckPoint о способах распространения этого вируса:
«The infection vector can present itself in multiple ways:
- Direct infection utilizing SMB as delivery method – Multiple samples have been identified including copy cats and variants.
- Hostile links within an email
- Hostile attachments that contain a hostile link within a PDF
- Hostile attachments that are password encrypted ZIP file which contains a PDF which starts the infection chain.
- Brute force login attacks against RDP servers which then plant ransomware»
Сейчас отмечена уже третья версия этого зловреда. Восстановить зашифрованную информацию практически невозможно. Но можно защититься от проникновения вируса в корпоративную сеть.
- Для защиты от прямой атаки необходимо провести установку всех выпущенных Microsoft обновлений и патчей, в том числе - для не поддерживаемых более систем (Windows XP, Windows 8, Windows 2003 Server), блокировать уязвимость SMB1, обновить антивирусы. Весьма полезен будет переход на Windows 10 и Windows Server 2016. Эти меры описаны достаточно широко, например – здесь https://blogs.technet.microsoft.com/securityrus/2017/05/15/wannacryptor/.
- Защита от атаки через почту до сих пор особо не обсуждалась, но сделать это также необходимо. В качестве средства защиты мы рекомендуем сервис безопасности Microsoft Office 365 Advancer Threat Protection (ATP). Этот сервис может подключаться к любой почте (вплоть до Гугла), он контролирует безопасность вложений (запускает их в специальной «песочнице» и смотрит на результат), а все ссылки в письмах подменяет на безопасные (вставляет ссылку на промежуточный сайт, где происходит проверка безопасности действий при открытии ссылки, и только с этого сайта идет ссылка на адрес из письма). АТП также блокирует т.н. «угрозы нулевого дня» (неизвестные еще антивирусному сообществу вредоносные приложения) и предлагает администраторам отчетность по тому, кто из пользователей кликал небезопасные ссылки и к кому из пользователей приходили зараженные сообщения.
По опыту последних дней, ATP успешно определял и блокировал атаки WannaCry с первого момента его появления. После обнаружения вируса защита от него была добавлена и в антивирус Microsoft Exchange Online Protection, входящий в Exchange Online/Office 365. Однако Exchange Online Protection не предоставляет защиту от «угроз нулевого дня» и не проверяет безопасность ссылок в момент их нажатия.
В качестве дополнительных мер повышения безопасности данных можно порекомендовать расширение и обновление системы бекапа данных, а качестве более глобального шага – перенос приложений и данных в облако. Нет серверов – нет уязвимостей на них, не нужно их своевременно патчить и обновлять. Для контроля актуальности безопасности рабочих станций и автоматического обновления ПО на них рекомендуем использовать сервисы EMS или Intune.
Дополнительная информация по этой теме:
- Рекомендации компании ESET
12 мая организации в десятках стран мира стали жертвой атаки с применением шифратора WannaCryptor (WannaCry, Wcry). Вредоносная программа шифрует файлы распространенных форматов и требует выкуп в размере 300 долларов США в биткоинах. WannaCryptor использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.
WannaCryptor распространяется при помощи сетевой уязвимости в операционных системах Microsoft Windows MS17-010. Данная уязвимость закрыта Microsoft в марте, обновление доступно по прямой ссылке.
Решения ESET NOD32 детектируют угрозу как Filecoder.WannaCryptor и блокируют данную версию шифратора и его модификации. В продуктах реализована функция проверки доступности обновлений Microsoft Windows.
Для предотвращения заражения ESET рекомендует следующие меры:
1. Установите все обновления Microsoft Windows.
В продуктах ESET реализована функция проверки доступности обновлений операционной системы. Если данная функция включена и все обновления Microsoft Windows установлены, система защищена от WannaCryptor и других подобных атак.
2. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО.
Защитные решения могут предотвратить заражение даже в том случае, если обновления Windows пока не установлены. Антивирусные продукты ESET NOD32 детектируют модификации WannaCryptor, при этом облачная система ESET LiveGrid отражала атаку 12 мая до обновления сигнатурных баз.
3. Настройте эвристические инструменты для защиты от новых, ранее неизвестных угроз.
Технологии на базе эвристики позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа. Более подробная информация о настройке эвристических инструментов в продуктах ESET доступна на сайте https://noransom.esetnod32.ru.
4. Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем.
До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
5. Используйте сервисы для доступа к информации о новейших угрозах.
Успеху кибератак зачастую способствует низкая осведомленность организаций об опасности и векторах заражения. Снижает риски доступ ИТ и ИБ-специалистов к информации о новейших угрозах. Для этого, в частности, предназначен корпоративный сервис ESET Threat Intelligence — он предоставляет статистику о новых угрозах, позволяет прогнозировать целевые атаки и адаптироваться к изменениям киберландшафта.
При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.