«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
18 мая 2017 19159

Расширенное руководство по защите от WannaCry. Все, что нужно знать о нашумевшем шифраторе

Что случилось?

Вирусная эпидемия. Начиная с 12 мая организации в 150 странах мира стали жертвой трояна-шифратора WannaCryptor (WannaCry, Wcry). Он шифрует ценные файлы, базы данных, почту, после чего выводит на экран требование выкупа за восстановление доступа – 300 долларов в биткоин-эквиваленте. На момент публикации на счет злоумышленников поступило более 80 тысяч долларов. Прибыль сравнительно невелика – в отличие от ущерба, который атака нанесла пользователям по всему миру.


Чем опасен WannaCryptor?

Сам по себе шифратор WannaCryptor не является сложной или особо опасной угрозой. Масштаб эпидемии обусловлен его связкой с эксплойтом EternalBlue для сетевой уязвимости Microsoft Windows. Считается, что этот эксплойт разработан Агентством национальной безопасности США. 14 апреля 2017 года EternalBlue и некоторые другие эксплойты АНБ были опубликованы в открытом доступе. Microsoft выпустила обновление безопасности MS17-010, закрывающее данную уязвимость, еще 14 марта. Тем не менее, на 12 мая патч был установлен далеко не на всех рабочих станциях, что обусловило массовый характер атаки.


Как происходит заражение?

В отличие от множества шифраторов, распространяющихся в спам-рассылках, WannaCryptor может заразить рабочие станции без непосредственного участия пользователя. Вредоносная программа сканирует сеть на предмет незащищенных узлов, затем следует установка шифратора, который, в свою очередь, блокирует доступ к файлам.


Пользователи ESET защищены?

Да, антивирусные продукты ESET распознают эту угрозу на нескольких этапах атаки. Рассмотрим подробнее:
  • Модуль «Защита от сетевых атак» распознает и блокирует попытки атак с использованием эксплойта EternalBlue. Продукты ESET фиксируют эксплуатацию EternalBlue с 26 апреля (первоначально с его помощью распространялась другая вредоносная программа – CoinMiner). 
  • Microsoft выпустила обновление MS17-010, закрывающее уязвимость, 14 марта. Все продукты ESET поддерживают функцию проверки доступности обновлений. Если не отключать эту функцию и вовремя устанавливать все патчи, система защищена от подобных атак.
  • Антивирусные продукты ESET блокировали WannaCryptor до начала эпидемии. Первые версии шифратора были добавлены в вирусные базы еще в начале апреля.
  • Эвристические технологии ESET позволяют детектировать новые, ранее неизвестные угрозы. Продукты ESET блокировали модификацию Win32/Filecoder.WannaCryptor.D, с которой началась атака 12 мая, до обновления вирусных баз.
  • Подробнее о том, как работают технологии безопасности ESET на разных этапах атаки.

Кто пострадал?

По данным системы телеметрии ESET, 12-14 мая большинство отраженных атак WannaCryptor зафиксировано в России (45,07% срабатываний защитных решений), Украине (11,88%) и Тайване (11,55%). Угроза ориентирована преимущественно на корпоративных пользователей. Среди жертв – подразделения МВД России, завод Renault во Франции, медицинские учреждения в Великобритании и др.


Что делать, если файлы зашифрованы?

Обратитесь в службу технической поддержки вашего антивирусного вендора. Производители работают с пострадавшими и дешифруют файлы в вирусных лабораториях. К сожалению, расшифровка не всегда возможна. Если файлы обработаны с применением сложных алгоритмов шифрования (WannaCryptor использует гибридный алгоритм RSA+AES), расшифровать их с большой долей вероятности не удастся.


Если заплатить выкуп, файлы расшифруют?

Не рекомендуем платить злоумышленникам по следующим причинам:
  • По нашим данным, пока ни одна жертва WannaCryptor не получила ключ расшифровки в обмен на выкуп. Скорее всего, такая возможность отсутствует – платежи поступают на общие биткоин-кошельки, и атакующие не могут идентифицировать отправителя.
  • Выкуп в принципе ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получит ключ расшифровки – его может не быть у самих хакеров.
  • Получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости.
  • Выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.

Что надо сделать в первую очередь, чтобы не заразиться WannaCryptor?
  • Установите все обновления Microsoft Windows, это можно сделать по прямой ссылке.
  • По необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue, воспользовавшись бесплатной утилитой ESET. Скачайте архив, распакуйте его и запустите VerifyEternalBlue.vbs
  • Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает наиболее современные технологии обнаружения угроз.
  • Откажитесь от использования Microsoft Windows, которые не поддерживаются производителем. До замены устаревших операционных систем установите обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
  • По возможности отключайте протокол SMB.
  • При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу техподдержки вашего антивирусного вендора.

Какие еще меры защиты от шифраторов стоит принять?

  • Включите службу ESET LiveGrid в антивирусном продукте ESET.
  • Включите в продуктах ESET функцию проверки доступности обновлений операционной системы.
  • Настройте эвристические инструменты для защиты от новых, ранее неизвестных угроз. Инструкция по настройке доступна на сайте ESET.
  • Используйте сервисы, обеспечивающие доступ ваших ИТ и ИБ-специалистов к информации о новейших угрозах, например, ESET Threat Intelligence.
  • Используйте услуги аудита безопасности корпоративной сети – подобные сервисы позволяют оценить защиту и минимизировать риски, связанные с человеческим фактором.
  • Не открывайте приложения и не переходите по ссылкам, полученным от неизвестных отправителей. В отличие от WannaCryptor, множество шифраторов распространяется посредством фишинговых писем.
  • Проведите обучение сотрудников основам информационной безопасности.
  • Регулярно выполняйте резервное копирование данных.
  • Отключите или ограничьте доступ к протоколу удаленного рабочего стола (RDP).
  • Отключите макросы в Microsoft Office.
  • Если вы все еще используйте Windows XP, отключите протокол SMBv1. Но лучше обновите операционную систему!

Комментарии

8
Оставьте комментарий!
Валад Рэм 18 мая 2017 в 17:21 #
Щас, прямо разбежался и пошёл устанавливать обновления, хороший маркетинговый ход, чтобы все установили обновления и антивирусы. Вы же сами за этой атакой и стоите
Антон Тарасов 18 мая 2017 в 17:38 #
Почитайте нашу статью https://club.esetnod32.ru/articles/analitika/kto-pishet-virusy/, в которой мы пишем, что вирусы пишем не мы 4
Валад Рэм 20 мая 2017 в 08:34 #
А чего же вы тогда трясётесь? могли бы в таком случае на мой комент не отреагировать. я не верю тем кто оправдывается: мол "это не я, это не мы"
Антон Тарасов 20 мая 2017 в 23:57 #
Мы не трясемся, но и не реагировать на ваш комент не можем 0
Азамат Кайратулы 19 мая 2017 в 13:25 #
Это дело каждого устанавливать обновления или нет , не кто не кого не заставляет устанавливать антивирусное решения.
Валад Рэм 20 мая 2017 в 08:35 #
и слава богу, а то привыкли манипулировать людьми
Vadim Demidov 22 мая 2017 в 21:10 #
"По возможности отключайте протокол SMB". (с)
Ну, имхо, такие советы подробнее пояснять надо. Ибо, это не такая большая красная кнопка посреди экрана, на которой написано "Нажми для отключения протокола SMB". 8
Конечное, я понимаю, "гугл в помощь", тем не менее.
Дмитрий Тронин 3 июня 2017 в 23:48 #
У меня на работе несколько раз было, зовут и спрашивают: "У нас письмо не открывается", а его антивирус каждый раз лопает. Вот вам и айти безопасность. Вроде всё рассказываешь, наглядно показываешь. Но тьфу тьфу уже который раз антивирус спасал.