Новости компании

Эпидемия заражений связана с деятельностью WannaCry

Сегодняшняя эпидемия заражений связана с действием вредоносного ПО WannaCry.

WannaCry — известный Украинский по весенней эпидемии. Он использует уязвимость операционной системы Windows. Несколько месяцев назад пострадали тысячи пользователей, однако решение проблемы было найдено оперативно — обновление операционной системы, патч, установив который, WannaCry больше не может атаковать компьютеры. Сегодняшние «жертвы», скорее всего, просто проигнорировали его установки. Что касается корпоративного сегмента, то это сфера ответственности администраторов или службы кибербезопасности, которые должны внимательно относится к рекомендациям компаний и лабораторий, работающих в сфере киберзащиты, например, немедленно закрыть TCP-порты 1024-1035, 135, 139 и 445.

Первое заражение трояном WannaCry пользователей произошло скорее всего, через электронную почту, благодаря открытию вложенного в СПАМ-лист архива или иного документа. Заразив ПК, шифровальщик активизирует свою деятельность, крипуе файлы, а после принудительной перезагрузки, блокирует ПК и демонстрирует требования выкупа за возврат данных, который, к слову, довольно редко происходит. В основном деньги отправляются в виде биткоины, но расшифровка не происходит. Таким образом эпидемии спровоцировала невнимательность и игнорирование базовых правил кибербезопасности.

Какие действия предпринять ДЛЯ ЗАЩИТЫ ОТ WANNACRY

Заражение локальных сетей вредоносным ПО WannaCry проводится двумя транспортными протоколами:

1. Спам рассылка по электронной почте.

a. Пользователь получает письмо с присоединенным JS файл, архивом в котором содержится JS файл или ссылкой на скомпрометирован сайт. После активации скрипт загружает исполняемый файл и инфицирует систему.

b. Пользователь получает письмо с документом MS Office, содержащий макрос. Макрос после запуска пользователем загружает из сети исполняемый файл и активирует его.

2. Зараженный ПК в сети сканирует сетевое окружение и, используя уязвимость EternalBlue заражает другие ПК в сети.

При отсутствии прав администратора троянская программа шифрует файлы на дисках компьютера, к которым может получить доступ. При наличии прав администратора троянская программа заражает MBR загрузочного жесткого диска и после перезагрузки компьютера (выполняемой принудительно) шифрует содержимое жесткого диска.

МЕТОДЫ ПРОТИВОДЕЙСТВИЯ заражения WANNACRY:

1. Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

2. Установление обновлений безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title

3. Если есть возможность отказаться от использования в локальной сети протокола NetBios (не используются для организации работы сетевые папки и сетевые диски), в брандмауэр локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445

4. Блокировка возможности открытия JS файлов, полученных по электронной почте

5. Блокировка открытия файлов, присоединенных к письмам электронной почты в ZIP архивах

Идентификаторы компрометации:

1. Обращение зараженных систем на WEB-ресурсы

a. coffeinoffice.xyz

b. french-cooking.com

2. Создание в системе файла C: \ WINDOWS \ perfc.dat

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

девять + 4 =