15 мая в 10:14

Как защищаться от атаки вируса-шифровальщика «WannaCry»


Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.

Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру, Газета.ру, РБК.

Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать здесь и здесь.

Эта уязвимость относится к классу Remote code execution, что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ — локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.

Меры безопасности

Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

  1. Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь.

  2. Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана здесь, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.

  3. В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation. Специально для компаний, не имеющих данной подписки, мы предлагаем быстро оформить её в триальный период 30 дней. Для того чтобы запросить ключ активирующий полнофункциональную подписку для вашего шлюза Check Point — напишите на почту SOS@TSSOLUTION.RU Подробнее про системы эмуляции файлов вы можете прочитать здесь, здесь и здесь.

Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:
Microsoft Windows EternalBlue SMB Remote Code Execution
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0144)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0145)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0146)
Microsoft Windows SMB Information Disclosure (MS17-010: CVE-2017-0147)

Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry тут.

Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.

Риск действительно большой!

UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.

Вебинар проводит компания TS Solution и Сергей Невструев, Check Point Threat Prevention Sales Manager Eastern Europe.
Мы затронем следующие вопросы:
  • Атака #WannaCry
  • Масштаб и текущее состояние
  • Особенности
  • Факторы массовости

Рекомендации по безопасности

Как быть на шаг впереди и спать спокойно
  • IPS + AM
  • SandBlast: Threat Emulation и Threat Extraction
  • SandBlast Agent: Anti-Ransomware
  • SandBlast Agent: Forensics
  • SandBlast Agent: Anti-Bot

Зарегистрировать можно, ответив на это письмо, либо пройдя по ссылке на регистрацию здесь.
Столкнулись ли вы уже с шифровальщиком WannaCry?

Проголосовало 870 человек. Воздержалось 184 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Автор: @cooper051
TS Solution
рейтинг 79,65
Системный интегратор

Комментарии (50)

  • +1
    Ставлю линукс
    • +1
      https://twitter.com/hackerfantastic/status/863359375787925505 так-то и на нем можно запустить)
      • 0
        может заразиться только то, что под wine работает, судя по комментам.
        так что… лучше линух
    • +1
      Анекдот про неуловимого индейца Джо помните?
    • 0
      к сожалению в компании с большим кол-вом сотрудников не является возможным перевод всех пользователей (особенно слабо технически грамонтных) на другую ОС
      • +1

        Ну либо вам повезёт, либо вот он шанс...

        • 0
          У нас заразилось 4 компьютера из 24 потенциально имеющих возможность заразится (только на 24 отсутствуют нужные KB которые вроде как «Лечат» данную дыру) на что начальство сказало: «Мы не ведем переговоров с террористами» (с) и компьютеры ощутили /diskpart /select disk 0 /clean. Да и пользователи настолько слабо технически подкованы, что я сомневаюсь что компания будет обучать 1500+ пользователей работе в другой/непривычной им ОС
        • 0

          Шанс не работать? Если софт только под Win, то тысячи (или десятки тысяч) рабочих мест перевести не так просто, даже не вспоминая про время и деньги на переписывания систем, разрабатываемых десяток-другой лет. И да, клиентам не повезло (интранет, но первый залетевший дятел начал интенсивно рушить цивилизацию и его не остановить — киллсвич он не увидит даже в той версии, в которой он есть).

          • 0

            Софт — да проблема. И да, насколько она велика конкретно у вас мне не известно. Ну как показывает хоть и скромная, но практика, если внимательно посмотреть инфраструктуру, то оказывается:


            1. что такой софт нужен не всем
            2. чем меньше пользователь компетентен — тем меньше у него шансов наступить на грабли. Особенно на предприятии. Где список необходимого софта строго регламентирован.
            3. психологический барьер существует не в головах переводимых, а в голове переводящих.

            Впрочем согласен, что везде по разному...

            • 0
              1.что такой софт нужен не всем

              Не всем, но тысячи рабочих мест в нескольких критически важных структурах страны — этого достаточно. И оно критическое, но если что — "денег нет, но вы держитесь", потому пластырь и костыли — всё на что хватает бюджета.


              тем меньше у него шансов наступить на грабли

              а ему и не надо, SMBv1 и привет, грабли наступлены автоматически, ведомственная сеть без выхода в инет и не очень квалифицированные админы — и нет обновлений, даже killswitch не сработает — как уже сказал без инета, и про админов сказал — сделать такой домен внутри им сложно (они вообще могут про него не знать, хабр не для них).


              3.психологический барьер существует не в головах переводимых, а в голове переводящих

              Никто не говорил о психологическом барьере, барьер чисто технический. И это не только драйвера устройств (некоторые чуть более уникальны, чем мышка или принтер и нельзя пойти в магазин за заменой), но и всё "нажитое непосильным трудом" — сотни тысяч строк кода на разных языках, зачастую с привязкой к платформе, гвоздями, поскольку писалось ещё очень-очень давно — потому нельзя взять gcc и пересобрать под нужную, некоторым алгоритмам может потребоваться реверс, потому как документация не у всех не всегда идеальная. Я проработал в нескольких конторах, делавших такой софт для совершенно разных организаций и нигде нельзя "просто взять и переписать", теоретиком быть хорошо, но жизнь сурова и несправедлива.

      • +1
        Да попробуйте перевести одного, и Вы увидите обратную взаимосвязь: чем слабее «технически грамотный» (менее компетентен в IT или попросту в «компьютерах»), тем легче пользователь переносит смену ОС. В пределе пользователь замечает только смену обоев. И наоборот.
  • +1
    1) Если вы оказались заражены вирусом (без разницы, кто использует Check Point или нет) – можно писать на emergency-response@checkpoint.com

    2) Есть видео, показывающее определение WannaCry by SandBlast Agent
    https://youtu.be/0jb8zd7H634

    3) Если кто-то получил сомнительный имейл с какими-то вложениями – нужно отправить его вложением к письму на incident@checkpoint.com
    или проверьте файл в песочнице
    http://threatemulation.checkpoint.com/teb/upload.jsp

    Настойчиво НЕ рекомендуется платить злоумышленникам, если уж файлы зашифрованы – деньги уходят от вас (владельцы вируса просят небольшую сумму, в районе 300 долларов), а в итоге вы НЕ получаете и никогда НЕ получите свои файлы. Проверено лабораторией Check Point, которая ждет доступ к тестовым файлам еще с пятницы.
    • 0
      владельцы вируса просят небольшую сумму, в районе 300 долларов
      300 долларов
      небольшую
      Для многих людей в России эта сумма сравнима с их месячной зарплатой. (Называется, почувствуй себя нищебродом. ;-)
  • +1

    У нас пострадали в основном крупные компании.
    http://www.elmundo.es/tecnologia/2017/05/12/59158a8ce5fdea194f8b4616.html


    В пятницу их работники получали уведомление отключить все персональные компьютеры до выяснения обстоятельств, что практически парализовало работу многих служб. Вобщем-то это говорит о низком уровне корпоративной политики безопасности.

    • +2
      Вобщем-то это говорит о низком уровне корпоративной политики безопасности.

      Скорее о полном раздолбайстве.))
      Сигнатуры еще в марте были опубликованы…
      • 0
        Обновления для win7 ещё в марте были выпущены, только у меня и у многих других они почему-то отсутствуют в обязательных к установке. https://social.technet.microsoft.com/Forums/en-US/8b072af3-42b0-46b2-84e9-742c1a2fb099/ransomware-wannacry-kb4012212-or-kb4012215-is-not-installed-?forum=w7itprosecurity
        • 0
          Ну это форум. там могут разное написать. подождем официальных заявлений.
        • 0
          Та же ситуация. При автообновлении win7 заплатка не установилась. Только вручную.
      • 0
        Это говорит о низкой зарплате либо отсутствии вообще ИТ специалиста в штате.
        Жалко денег на систему бэкапов, лицензионные системы и антивирусы.

        В общем: «волки — санитары леса»
        • 0
          Т.е. если специалисту мало платят, то он может плохо работать? У нас рабство давно отменили. Если не устраивает ЗП, ищи другую работу. Но если ты соглашаешься работать на таких условиях, то будь добр относиться добросовестно к своей работе.
          • 0
            Очень смешно. Извините реальность другая особенно в РФ.

            — купите Nas для бэкапов?
            — да не надо.
            • 0
              По поводу закупок согласен. Весьма часто на инфраструктуру выделяются деньги уже после инцидента.
          • +1
            если специалисту мало платят — специалист уходит, а приходит эникей который изображает бурную деятельность…
          • 0
            если специалисту мало платят, то он может плохо работать

            Рабство отменили (вроде, не уверен), если специалисту мало платят, то он увольняется, если мало платят, то он не пойдёт на эту работу, а штатная единица есть и работник должен быть, потому берут не специалиста, а могущего слово конпутер без ошибок написать.


            будь добр относиться добросовестно к своей работе

            Вы кому это написали? Те "специалисты" про хабр не знают и никогда этого не прочтут.

    • +1

      Не обязательно.


      Представьте ситуацию — корпоративные политики безопасности в порядке, в смысле — регламенты написаны замечательно.
      Но после "оптимизации" (см статью) в наличии есть менее 10 сисадминов, а железных и виртуальных серверов — несколько тысяч. Причём никто чётко не знает, какие из них в какое время можно перезагружать. Или даже знает что перезагружать нежелательно. Или перезагрузка требует длительного согласования.
      Короче, начнёшь перезагрузками системы принудительно дергать — жди увольнения. Да кому нужен такой энтузиазм и самопожертвование.
      Вот и довели ситуацию до...

  • 0
    Ну, думаю, что тем у кого нет интернета вирусы вообще не грозят)
    • 0
      флешка?
      • 0
        Всё, что мне нужно я установил до появления этого шифровальщика.
  • 0

    А сквозь nat на роутере оно может пролезть?

    • 0
      Если у вас static nat или настроен DMZ (часто в домашних роутерах, на пример, это FULL static NAT на конкретный ПК в сети), то ваш ПК и вся сеть в зоне риска.

      Вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). Поэтому неплохой идеей (если ваши процессы допускают это) было бы заблокировать доступ по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе.
      Так что порты точно надо закрыть.
      Главное вдумчиво подойдите, на заблокируйте полностью работу SMB между локальными сетями.
      • 0
        или настроен DMZ
        У меня на роутере DMZ настроен на единственный внутренний IP адрес. На нем линуксовая машина. Я в безопасности?
        • 0
          В относительной, конечно, но безопасности. На линукс, при должном желании, можно запустить вирус под WINE. Так же при наличие папок общего доступа на этом линукс сервере, данные на них могут быть зашифрованы с зараженной виндовой машины, при условии наличия доступа.
  • 0
    В копилку коллективной безопасности: SOC Prime выпустила бесплатный юзкейс WannaCry Detector для SIEM ArcSight. Версии под IBM QRadar & Splunk будут выпущены сегодня. Пока основной вектор детектирорования — это отслеживание коммуникации с командными центрами + факт использования ТОR-сети (в основном именно через нее коммуникации происходят). Будем признательны за обратную связь и доп.идеи.
    SIEM Use Case Library https://my.socprime.com/en/ucl/
    • 0
      Update: Используемые признаки компрометации (IOCs) по состоянию на 12:45 MSK 15.05.2017:
      — MD5s of malicious processes on host
      — Names of malicious processes on host
      — Command-line parameters of WannaCry worm, including ones called out by cmd.exe
      — File paths identified
      — IP addresses and ports reported in OSINT as command centers
  • –2
    Так опишите нормально, как он распространяется.

    Где-то говорят, что по почте.
    Это как он может исполниться в почте? В Аутглюке?

    Где-то говорят, что на почту приходят exe.
    Но их же олень должен сам запустить.

    Где-то говорят, что через шары.
    Капец, почему шары до сих пор по-умолчанию открыты? 21 век на дворе. Уже ж не в первой вирусня тудой льется.

    П.С.
    Ну когда сделают дружелюбный линукс, а то сижу на XP. Хз, что делать после 19-го года. :)
    • 0
      Извините за copy\past, но вот
      1. WannaCryptor – Direct infection utilizing SMB as delivery method – Multiple samples have been identified including copy cats and variants. All tested samples have been detected and blocked by SandBlast Anti-Ransomware and/or Threat Emulation
      2. Hostile links within an email
      3. Hostile attachments that contain a hostile link within a PDF
      4. Hostile attachments that are password encrypted ZIP file which contains a PDF which starts the infection chain.
      5. Brute force login attacks against RDP servers which then plant ransomware

      Так что вы, http2, почти все вектора и назвали.
    • 0
      Самое интересное, что защитой на сетевом оборудовании здесь не обойтись, как некоторые предлагали (заблокировав нужные порты списками доступа). Если заразить один компьютер (с помощью email с файлом или ссылки на файл или даже с флешки), то из него можно сделать бота, который начнет «лезть» на соседние компы в этом же сегменте. Т.е. на сетевом оборудовании (L3) вы этот трафик даже не увидите, блокируй не блокируй.
    • 0
      Linux Mint вполне себе дружелюбен.
      • +1
        В корпоративном секторе будет преобладать Windows, пока для Linux-а не появится полноценная замена AD и нативная поддержка Office. Ну либо когда все окончательно перекочует в облако (Google Docs, Office 365) и для работы нужен будет только браузер, который можно запускать хоть на линуксе, хоть на андройде…
  • 0
    Интересное предположение, если буква не назначена диску в системе — будет ли заражены файлы на диске? Гипотетически — сложить бекапы на диск, снять с него назначенную букву диска.
    • 0
      image
      если у тебя нет файлов, то заражать будет нечего.
      а серьезно, то возможно винда не будет знать, то и вирь не узнает о этих дисках/разделах.
      • 0
        Не ну я вполне серьезно, паттерн поиска файлов как правило шарится в диске C:\ D:\ и т.д. собсно нет буквы — как бы и диска нема.
  • 0

    А почему никто не советует для начала остановить и заблокировать запуск в Windows сервиса "Сервер"?
    Ну хотя бы на домашнем компе? Хотя бы на компах, которые не расшаривают свои папки?

    • 0
      Потому что сервис «Сервер» отвечает не только за шаринг.
      • 0
        Обеспечивает поддержку общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение.


        Вы уверены, что кому-то нужны именованные каналы (хз вообще что это :) )?
        • 0
          Ну как-то ещё на ХР «облегчал систему» отключением всех ненужных мне служб. Без «Сервера» инета не было — ставил в автозагрузку (вообще там в районе 6-8 служб всего было).
          • 0
            Без «Сервера» инета не было

            Вот сейчас пишу с компа, где "Сервер" остановлен.
            Очевидно, у вас причина была в чем-то другом.

            • 0
              3G-модем был.
              • 0

                Все равно не должно быть такого.
                У меня нормально работал комп с USB 3G/4G модемом и остановленным "Сервером".


                Впрочем, проприетарный кривой софт оператора может хотеть странного. Кто же ему запретит.

        • 0

          Вот именно.
          Ну может они и нужны, но оставлять к ним доступ "через сетевое подключение" у домашнего компа… да многим ли это надо?

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка