Как защитить сеть от WannaCryptor и других шифраторов?

Вирусная эпидемия. Начиная с 12 мая организации в 150 странах мира стали жертвой шифратора WannaCryptor (WannaCry, Wcry). Он шифрует файлы, базы данных, почту, после чего выводит на экран требование выкупа за восстановление доступа – 300 долларов в биткоинах.

Чем опасен троян WannaCryptor?

Сам по себе шифратор WannaCryptor не является опасной угрозой. Масштаб эпидемии обусловлен его связкой с EternalBlue для сетевой уязвимости Microsoft Windows. Считается, что этот эксплойт разработан АНБ США. 14 апреля 2017 года EternalBlue и некоторые другие эксплойты АНБ были опубликованы в открытом доступе. Microsoft выпустила обновление безопасности MS17-010, закрывающее данную уязвимость 14 марта. Тем не менее, на 12 мая патч был установлен далеко не на всех рабочих станциях, что обусловило массовый характер атаки.

Как происходит заражение жертвы?

WannaCryptor может заразить рабочие станции без участия пользователя. Программа сканирует сеть на предмет уязвимых узлов, затем идёт установка шифратора, который блокирует доступ к файлам.

Пользователи антивируса ESET защищены?

Антивирусные продукты ESET распознают эту угрозу на нескольких этапах атаки.

Кто пострадал?

По данным ESET, 12-14 мая большинство атак WannaCryptor зафиксировано в России (45% срабатываний защиты), Украине (11,88%) и Тайване (11,55%). Угроза ориентирована преимущественно на корпоративных пользователей. Среди жертв – подразделения МВД России, завод Renault во Франции, медицинские учреждения в Великобритании и другие.

Что делать, если произошло заражение и файлы зашифрованы?

Обратитесь в службу технической поддержки вашего антивирусного вендора. Производители работают с пострадавшими и дешифруют файлы в вирусных лабораториях. Расшифровка не всегда возможна. 

Если заплатить выкуп, файлы расшифруют?

Не рекомендуем платить злоумышленникам по следующим причинам

Что сделать, чтобы не заразиться WannaCryptor?

— Установите все обновления Microsoft Windows, это можно сделать по прямой ссылке.

— Проверьте рабочие станции на предмет защищенности от атак с EternalBlue, воспользовавшись бесплатной утилитой ESET. Скачайте архив, распакуйте его и запустите VerifyEternalBlue.vbs

— Удостоверьтесь, что все узлы сети защищены антивирусным ПО, которое обновлено до последней версии.

— Откажитесь от использования Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем установите обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.

— По возможности отключайте протокол SMB.

Какие еще меры защиты от шифраторов стоит принять?

 

— Не открывайте приложения и не переходите по ссылкам, полученным от неизвестных отправителей. В отличие от WannaCryptor, множество шифраторов распространяется посредством фишинговых писем.

— Проведите обучение сотрудников основам информационной безопасности.

— Регулярно выполняйте резервное копирование данных.

— Отключите или ограничьте доступ к протоколу удаленного рабочего стола (RDP).

— Отключите макросы в Microsoft Office.

— Если используйте Windows XP, отключите протокол SMBv1. Лучше обновите операционную систему.