Як захищатися від атаки вірусу-шифрувальника «WannaCry»?

Цей запис підготовлено у зв'язку в хакерською атакою масового характеру у світовому масштабі, яка може торкнутися також вас. Наслідки стають дійсно серйозними. Нижче ви знайдете короткий опис проблеми та опис основних заходів, яких необхідно вжити для захисту від вірусу-шифрувальника сімейства WannaCry.

Вірус-шифрувальник WannaCry використовує уразливість Microsoft Windows MS17-010, щоб виконати шкідливий код та запустити програму-шифрувальник на уразливих ПК. Далі вірус пропонує заплатити зловмисникам близько 300$, щоб здійснити розшифровування даних. Вірус широко поширився в світових масштабах, отримавши активне висвітлення в ЗМІ.

До даної уразливості схильні ПК з встановленими ОС Windows починаючи з XP до Windows 10 та Server 2016, офіційну інформацію про уразливість від Microsoft ви можете прочитати тут і тут.

Ця вразливість відноситься до класу Remote code execution, що означає, що зараження може відбуватися з вже зараженого ПК через мережу з низьким рівнем безпеки без сегментування МЕ - локальні мережі, публічні мережі, гостьові мережі, а також шляхом запуску вірусу отриманого поштою або у вигляді посилання.

Заходи безпеки

Які заходи необхідно виділити як ефективні, для боротьби з цим вірусом:

1. Переконайтеся, що у вас встановлені актуальні оновлення Microsoft Windows, які прибирають вразливість MS17-010. Знайти відповідних посилань ви можете тут , а також зверніть увагу, що у зв'язку з безпрецедентною серйозністю даної уразливості - 13-го травня були випущені оновлення для підтримуються ОС (Windows XP, 2003 Server, 2008 Server) їх ви можете завантажити тут.
2. Використовуючи рішення щодо забезпечення мережевої безпеки класу IPS, переконайтеся, що у вас встановлені оновлення, що включають виявлення та компенсацію мережевої уразливості. У базі знань Check Point дана уразливість описана тут, вона входить в оновлення IPS від 14 березня 2017 року Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Також рекомендуємо налаштувати перевірку внутрішнього трафіку ключових мережевих сегментів за допомогою IPS, хоча б на короткий час, поки ймовірність зараження не знизиться.
3. У зв'язку з ймовірністю зміни коду вірусу, рекомендується активувати системи AntiBot&Antivirus та емуляції запуску файлів, що приходять з зовнішніх джерел поштою або мережі інтернет.

Також заблокуйте передачу парольних архівів та активуйте сигнатури IPS зі списку:

• Microsoft Windows EternalBlue SMB Remote Code Execution
• Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
• Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0144)
• Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0145)
• Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0146)
• Microsoft Windows SMB Information Disclosure (MS17-010: CVE-2017-0147)

Ще більше рекомендацій і приклад звіту про блокування роботи шифрувальника wannacry тут.