Дана стаття підготовлена в зв'язку в хакерською атакою масового характеру в світовому масштабі, яка може торкнутися і вас. Наслідки стають дійсно серйозними. Нижче ви знайдете короткий опис проблеми та опис основних заходів, які необхідно вжити для захисту від вірусу-шифрувальника сімейства WannaCry.
Вірус-шифрувальник WannaCry використовує вразливість Microsoft Windows MS17-010, щоб виконати шкідливий код і запустити програму-шифрувальник на вразливих ПК, потім вірус пропонує заплатити зловмисникам близько 300 $, щоб здійснити розшифровку даних. Вірус широко поширився в світових масштабах, отримавши активне висвітлення в ЗМІ - Фонтанка.ру, Газета.ру, РБК.
Даною уразливості схильні до ПК з встановленими ОС Windows починаючи з XP і до Windows 10 і Server 2016, офіційну інформацію про уразливість від Microsoft ви можете прочитати тут .
Ця вразливість відноситься до класу Remote code execution, що означає, що зараження може бути вироблено з уже зараженого ПК через мережу з низьким рівнем безпеки без сегментування МЕ - локальні мережі, публічні мережі, гостьові мережі, а також шляхом запуску шкідливий отриманого поштою або у вигляді посилання .
Які заходи необхідно виділити як ефективні, для боротьби з цим вірусом:
- Переконайтеся, що у вас встановлені актуальні поновлення Microsoft Windows, які прибирають вразливість MS17-010. Знайти відповідних посилань ви можете тут , А також зверніть увагу, що у зв'язку з безпрецедентною серйозністю даної уразливості - 13-го травня були випущені оновлення для підтримуються ОС (windowsXP, 2003 server, 2008 server) їх ви можете скачати тут .
- Використовуючи рішення щодо забезпечення мережевої безпеки класу IPS, переконайтеся, що у вас встановлені поновлення , Що включають виявлення і компенсацію мережевий уразливості. У базі знань Check Point дана уразливість описана тут, вона входить в оновлення IPS від 14 березня 2017 року Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Також рекомендуємо налаштувати перевірку внутрішнього трафіку ключових мережевих сегментів за допомогою IPS, хоча б на короткий час, поки ймовірність зараження не знизиться.
- У зв'язку з ймовірністю зміни коду вірусу, рекомендуємо активувати системи AntiBot & Antivirus і емуляції запуску файлів, що приходять із зовнішніх джерел поштою або мережі інтернет. Детальніше про системи емуляції файлів ви можете прочитати тут .
Також заблокуйте передачу пральних архівів і активуйте сигнатури IPS зі списку:
Ще більше рекомендацій і приклад звіту про блокування роботи шифрувальника wannacry тут .
Шановні колеги, грунтуючись на досвіді роботи з попередніми масованими атаками , Такими як Heart Bleed, вразливість Microsoft Windows MS17-010 буде активно експлуатувати, не відкладайте заходи протидії! Про всяк випадок, перевірте роботу вашої BackUp системи . Ризик дійсно великий!
За матеріалами сайту habrahabr.ru
