Как не стать жертвой программы-шантажиста WannaCrypt

Некоторые наши клиенты по всему миру стали жертвами программой-шантажистом WannaCrypt. Ключевое отличие этой программы-шантажиста от других в том, что вирус проникает на компьютеры без соответствующих обновлений самостоятельно, без поддержки пользователя. Другие программы подобного типа обычно проникали в систему за счет неаккуратных действий пользователя (посещение недоваренного сайта, запуск подозрительного почтового вложения и т.д.). В данном же случае вирус действует самостоятельно атакует не обновлённые компьютеры, устанавливается, ищет последующие цели для атаки с зараженного компьютера и шифрует файлы определенных расширений.

Детальное описание природы и механики работы вируса можно прочесть на странице в блоге Microsoft: https://habrahabr.ru/company/microsoft/blog/328910.

Пользователи обновленных поддерживаемых версии Windows защищены от атак данного вируса. Вам необходимо убедится, что в системе установлено обновление MS17-010: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx. Атака не была таргетирована на пользователей Windows 10. Бесплатная версия антивируса Microsoft Defender также распознает все известные на данный момент реализации вируса.

Мы предприняли все возможные действия, чтобы защитить наших пользователей, использующих более старые версии продуктов: мы также выпустили обновления для неподдерживаемых систем Windows XP, Windows 8 и Windows Server 2003.

С дополнительной информацией можно ознакомиться:

• В блоге Microsoft Security Response Center приведены ссылки для скачивания обновлений для всех платформ, находящихся в зоне риска: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks.
• Эта же статья на русском языке: https://blogs.windows.com/russia/2017/05/17/customer-guidance-for-wannacrypt-attacks.
• Необходимость срочных коллективных действий для сохранения безопасности онлайн: уроки кибератак, произошедших на прошлой неделе https://news.microsoft.com/ru-ru/lessons-last-weeks-cyberattack.

Базовые рекомендации для защиты

Обращаем ваше внимание, что за последние годы появилось огромное количество различных семейств вирусов-шифровальщиков. Ведущие антивирусные компании считают, что этот тренд будет сохраняться в ближайшие годы. Поэтому важно обратить внимание на базовые рекомендации и инструменты защиты, которые позволят значительно снизить риски дальнейшего заражения:

• Своевременная установка обновления закрывает многие векторы атак. В случае с WannaCrypt компьютеры, с установленными обновлениями не подвержены атаке.
• Регулярность создания резервных копий позволит не потерять данные в случае заражения.
• Обычные компьютеры в сети не должны иметь возможности соединяться друг с другом без необходимости. В случае с WannaCry, данная настройка значительно снизила бы темпы распространения вируса внутри корпоративной среды.
• С учетом того, что другие семейства шифровальщиков устанавливаются за счет неаккуратных действий со стороны некоторых пользователей, необходимо постоянно обучать сотрудников основам информационной безопасности.
• Необходимо выводить из эксплуатации программные продукты, вышедшие из цикла поддержки. Риск успешности атаки помогает снижать также своевременное отключение неиспользуемых протоколов и других программных интерфейсов. Например, в случае с WannaCrypt помогло бы отключение первой версии SMB: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1.
• Несмотря на то, что антивирусы не всегда помогают вовремя идентифицировать атаку, все компьютеры должны быть снабжены работающим и обновленным антивирусом.
• Дополнительную информацию по общим рекомендациям можно найти на странице: https://support.microsoft.com/ru-ru/help/4013550/windows-protect-your-pc-from-ransomware.

Дополнительные инструменты защиты

• Cервис Exchange Advanced Threat Protection сначала запускает каждое вложение в почте в отдельной изолированной среде, тем самым выявляя, анализируя и своевременно реагируя на атаки повышенной сложности, о которых еще неизвестно антивирусам. Пробная версия доступна всем пользователям Office 365 в рамках плана Е5 через панель администрирования.
• Поведенческая аналитика с помощью сервиса Windows Defender Advanced Threat Protection. Сервис обнаруживает атаки, которым удалось миновать все другие уровни защиты и дает простой способ расследования масштабов вторжения или анализа подозрительного поведения по данным, собранным со всех компьютеров, зарегистрированных в организации. Пробная версия: https://www.microsoft.com/ru-ru/windowsforbusiness/windows-atp.
• Operations Management Suite – оперативная оценка состояния инфраструктуры. В частности, с помощью OMS можно настроить мониторинг ключевых индикаторов компрометации (изложенных в статье https://habrahabr.ru/company/microsoft/blog/328910). Пробная версия: https://www.microsoft.com/ru-ru/cloud-platform/operations-management-suite-trial.
• Подробнее о технологиях обеспечения безопасности на https://www.microsoft.com/ru-ru/security.

 

С уважением,

Команда 365Solutions