2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как защитить себя от вредоносного ПО: Wannacry

Как защитить себя от вредоносного ПО: Wannacry

По сети Интернет гуляет много вирусов и опасных программ. Никогда не знаешь, где можно их подхватить и перенести на свой компьютер. Много шума в последние годы наделала вредоносная программа Wannacry, о которой мы подробно поговорим в этой статье и расскажем, как защититься от вируса шифровальщика. Если вы заразили компьютер вирусом, не стоит паниковать, ибо рискуете еще больше усугубить ситуацию. Когда мы имеем дело с Wannacry, важно быть предельно осторожным и делать все по порядку – только правильная wannacry-защита убережет от необратимых последствий.

Обновления безопасности Windows для защиты от WannaCry

Уязвимость в SMB 1.0, эксплуатируемая вирусом, исправлена в обновлениях безопасности MS17-010, выпущенных 14 марта 2017 года. В том случае, если ваши компьютеры регулярно обновляются через Windows Update или WSUS, достаточно проверить наличие данного обновления на компьютере как описано ниже.

Vista, Windows Server 2008wmic qfe list | findstr 4012598
Windows 7, Windows Server 2008 R2wmic qfe list | findstr 4012212

или wmic qfe list | findstr 4012215

Windows 8.1wmic qfe list | findstr 4012213 или wmic qfe list | findstr 4012216
Windows Server 2012wmic qfe list | findstr 4012214 или wmic qfe list | findstr 4012217
Windows Server 2012 R2wmic qfe list | findstr 4012213 или wmic qfe list | findstr 4012216
Windows 10wmic qfe list | findstr 4012606
Windows 10 1511wmic qfe list | findstr 4013198
Windows 10 1607wmic qfe list | findstr 4013429
Windows Server 2016wmic qfe list | findstr 4013429

В том случае, если команда возвращает подобный ответ, значит патч, закрывающий уязвимость, у вас уже установлен.

ttp://support.microsoft.com/?kbid=4012213 MSK-DC2 Security Update KB4012213 CORPadmin 5/13/2017

Если команда ничего не возвращает, нужно скачать и установить соответствующее обновления. В том случае, если установлены апрельские или майские обновления безопасности Windows (в рамках новой накопительной модели обновления Windows), ваш компьютер также защищен.

Стоит отметить, что, несмотря на то что Windows XP, Windows Server 2003, Windows 8 уже сняты с поддержки, Microsoft оперативно выпустило обновление и дня них.

Совет. Прямые ссылки на патчи для исправления уязвимости под снятые с поддержки системы:

Windows XP SP3 x86 RUS — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

Windows XP SP3 x86 ENU — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

Windows XP SP2 x64 RUS — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows XP SP2 x64 ENU — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows Server 2003 x86 RUS — http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 x86 ENU — http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe

Windows Server 2003 x64 RUS – http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Windows Server 2003 x64 ENU — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows 8 x86 — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

Windows 8 x64 — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

Опасный вирус WannaCrypt: как обезопаситься и вылечить компьютер

С 12 мая тысячи компьютеров по всему миру атакует опасный вирус WannaCrypt (также известный как WannaCry, WCry, WNCRY). Это вредоносная программа, с помощью которой хакеры вымогают деньги в обмен на разблокировку данных.

Что делает вирус

Троян сканирует диски, шифрует файлы и добавляет к ним всем расширение WNCRY. Так данные перестают быть доступны без ключа расшифровки. Доступ блокируется как к изображениям, документам и музыке, так и системным файлам.

Есть риск, что после создания зашифрованных копий вирус удалит оригиналы. Даже если антивирус блокирует приложение постфактум, файлы уже зашифрованы, и хотя программа недоступна, информация о блокировке размещена на экране рабочего стола — вместо обоев.

Каждая жертва программы-вымогателя видит предложение бесплатно расшифровать некоторые файлы и заплатить за восстановление доступа ко всему остальному. Потерпевшему предлагается приобрести биткоины и отправить указанную сумму на кошелек. Однако никто не гарантирует, что после уплаты выкупа устройство перестанет быть парализованным.

Как обезопасить себя

Угроза заражения WNCRY не затронет пользователей macOS, в то время как обладателям компьютеров на операционной системе Windows следует побеспокоиться. С сайта Microsoft можно скачать патч MS17-010, который закроет уязвимость. Из-за распространения вируса-вымогателя Microsoft обновила даже Windows XP, которая не поддерживается с 2014 года. Обновление можно скачать здесь.

После установки следует перезагрузить компьютер. Как заверили в Microsoft, пользователи антивируса Windows Defender автоматически защищены от вируса. Для сторонних антивирусов вроде Kaspersky или Symantec также стоит загрузить последнюю версию.

В антивирусе нужно включить Мониторинг системы. Затем проверить систему: в случае обнаружения вредоносных атак (MEM:Trojan.Win64.EquationDrug.gen) — вновь перезагрузиться и убедиться, что патч MS17-010 установлен на вашем компьютере.

Если ваш компьютер заражен

Если обезопасить компьютер заранее не удалось, следует выполнить несколько действий по удалению Wncry.

1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

2. Можно самостоятельно удалить нежелательные приложения через Удаление программ. Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

Последний шаг— восстановление зашифрованных файлов, которое следует выполнять только после удаления Wncry. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернет теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Впрочем, эти способы не гарантируют полного восстановления файлов, если вы заранее не сделали резервные копии данных.

Всемирную кибератаку случайно приостановил программист благодаря регистрации бессмысленного домена.

WannaCry распространяется, используя EternalBlue эксплойт

Основной вектор заражения WannaCry вымогателя — это эксплойт EternalBlue, который является кибер-шпионом, украденным из Агентства национальной безопасности США (NSA) и опубликованным онлайн группой хакеров, известной как Shadow Brokers.

Атака EternalBlue нацелена на Windows CVE-2017-0145 уязвимость в Microsoft протоколе SMB (Server Message Block). Уязвимость уже исправлена, сообщается в бюллетене по безопасности Microsoft MS17-010 (выпущенном 14 мая 2017 г.). Эксплойт-код, используемый исполнителями, предназначался для заражения устаревших систем Windows 7 и Windows Server 2008, но, по сообщениям, пользователи Windows 10 не могут быть затронуты этим вирусом.

Вредоносная программа обычно поступает в виде трояна-дроппера, содержащего набор эксплойтов и самого вымогателя. Затем дроппер пытается подключиться к одному из удаленных серверов, чтобы загрузить вымогателя на компьютер. Последние версии WannaCry распространяются через girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 в регионе APAC. Вымогатель может затронуть любого, кто не обладает знаниями о распространении вымогателей, поэтому мы рекомендуем прочитать это руководство по предотвращению WannaCry вымогателя, подготовленное нашими специалистами:

  1. Установите системное обновление безопасности MS17-010, недавно выпущенное Microsoft, оно устранит уязвимость, которую использует вымогатель. Обновления были выпущены исключительно для старых ОС, таких как Windows XP или Windows 2003.
  2. Следите за обновлениями остальных компьютерных программ.
  3. Установитенадежное антивирусное средство для защиты вашего компьютера от незаконных попыток заразить вашу систему вредоносными программами.
  4. Никогда не открывайте электронные письма, которые приходят от незнакомцев или компаний, с которыми у вас нет бизнеса.
  5. Отключите SMBv1, используя инструкции, предоставленные Microsoft.

Исследователь демонстрирует скриншоты, сделанные во время WannaCry атаки. Вы можете видеть Wanna Decrypt0r окно также, как и изображение, установленное WannaCry в качестве фона рабочего стола после заражения системы и шифрования всех файлов на ней.

Удаление заразы

  1. Скачайте патч MS17-010 для нужной Windows
  2. Отключитесь от интернета
  3. Откройте командную строку (cmd) от имени администратора: Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора
  4. Вписываете эту команду в командную строку:
  5. Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите «Безопасный режим»
  6. Найдите и удалите папку вируса. Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите «Расположение файла», и удалите корневую папку
  7. Перезагрузите компьютер
  8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
  9. Во время установки подключитесь к интернету

Способ для Windows Vista, 7, 8, 8.1, 10, а также Windows Server 2008/2012/2016.

А что случилось?

Случались и более масштабные заражения. Особенность эпидемии WannaCry в способе заражения. Используется уязвимость в системе, которую не закрыли сами пользователи, по каким-то причинам отключившие обновление системы.

Wanna Cry (другие названия — WCry и WanaCrypt0r) в системе особо не скрывается, ставит себя в автозагрузку, нагружает процессор и жёсткий диск. Теоретически, антивирусы и операционная система должны были на корню пресечь его действия, но двери открыли сами пользователи. Шифровальщик пришёл на всё готовенькое, быстро распространившись по компьютерам, владельцы (или админы) которых отключили автоматическое обновление, сведя защиту в ноль.

Для заражения не нужно кликать мышкой и открывать подозрительные файлы. Достаточно доступа в сеть, открытого порта 445 и непропатченной Windows. Антивирусы, кстати, в подобных ситуациях не обеспечивают стопроцентную защиту, потому что они не так хороши, как себя позиционируют, свежий вирус просто не увидят.

Как защититься от Wanna Cry

Защита от вируса WannaCry существует, для этого пользователю необходимо выполнить некоторые действия.

Для распространения вирус Wanna Crypt использует открытый порт 445. Поэтому первое, что нужно сделать: проверьте, закрыт данный порт или нет. Проще всего это сделать с помощью онлайн сервиса, например, здесь .

Введите номер порта (445) в поле для проверки. Посмотрите на результат проверки (закрыт порт или открыт).

Если порт на компьютере открыт, запустите командную строку от имени администратора. В окне интерпретатора командной строки введите следующую команду:

Далее нажмите на клавишу «Enter».

Для Windows 10 введите команду:

Для других версий Windows введите команду:

Затем нажмите на «Enter», а после этого перезагрузите компьютер.

Если на компьютере включена автоматическая установка обновлений для операционной системы Windows, то это значит, что обновление безопасности было своевременно установлено на компьютер. Если автоматическое обновление на компьютере отключено, самостоятельно загрузите и установите заплатку MS17-010, которая воспрепятствует проникновению вируса на компьютер.

Перейдите на страницу официального сайта Microsoft. Скачайте патч MS17-010 версии Windows, установленной на компьютере, соответствующей разрядности. Из-за серьезности проблемы, выпустила патчи для операционных систем: Windows XP, Windows Vista, Windows Serwer 2003, Windows 8, поддержка которых была в свое время прекращена.

После установки обновления безопасности, перезагрузите компьютер. Установите все последние обновления безопасности.

Большинство антивирусов своевременно обнаруживают вирус Wanna Ransomware. Защитник Windows (Windows Defender) также надежно защищает компьютер от программы-вымогателя. Обратите внимание на то, что, если вы случайно самостоятельно запустите шифровальщика, патч не спасет ваш компьютер от заражения. Для удаления вируса с компьютера, необходима проверка антивирусом.

Маршрутизаторы, при настройках по умолчанию, не дадут вирусу использовать 445 порт на домашнем компьютере. Заражение возможно по локальной сети провайдера.

Что такое EternalBlue и DoublePulsar?

EternalBlue использует критическую уязвимость операционной системы, которая присутствовала еще в Windows XP, переставшей поддерживаться Microsoft еще в 2014 году. Из-за киберэпидемии корпорация была вынуждена экстренно выпускать обновления и для нее.

Она позволяет злоумышленникам удаленно исполнять вредоносный код, выполняя запросы через систему совместного доступа к файлам и принтерам. Эксплойт был обнаружен Агентством национальной безопасности США, которые не раскрывали его наличие для собственного использования и дали ему название EternalBlue. Позднее Microsoft классифицировали его как CVE-2017-0143.

АНБ США создали вредоносный инструмент, использующий данную уязвимость для незаметного проникновения в устройства — DoublePulsar. Мы зафиксировали около 23 тысяч компьютеров в локальных сетях пользователей, просканированных функцией Проверки Wi-Fi, которые могут быть атакованы данным зловредом.

Чтобы им заразиться, пользователю даже не нужно выполнять каких-либо действий. Устройство должно лишь иметь активированную функцию совместного доступа к файлам и принтерам и быть подключенным к сети. DoublePulsar незаметно проникает на устройство и готово выполнять команды злоумышленников, включая загрузку и запуск шпионского или вредоносного ПО.

DoublePulsar и EternalBlue были опубликованы хакерами в открытом доступе 17 апреля. До этого в марте выпустило обновление безопасности MS17-010, закрывающее данную уязвимость. Но не все пользователи вовремя установили его.

В пятницу 12 мая вирус-вымогатель WannaCry как компьютерный червь распространился по всему миру среди незащищенных от эксплойта устройств. Avast блокировал угрозу еще до старта масштабной эпидемии.

Рекомендации по защите от вируса Wanna Cry

Глобальная хакерская атака в настоящее время затронула множество компьютеров в России и за рубежом, включая сети крупных телекоммуникационных компаний, силовых ведомств и медицинских учреждений.

Наши технологические партнеры из Лаборатории Касперского за вчерашний день, 12 мая, зафиксировали 45 тыс. попыток взлома в 74 странах.

О вирусе

Программа-шифровальщик, распространяющаяся в сети, получила название WannaCry (он же Wana Decryptor, WanaCrypt0r и Wana Decrypt0r). В отличие от других программ подобного типа, данный шифровальщик сочетает в себе функции вирусного, троянского ПО и сетевых червей. В качестве механизмов проникновения использует как электронную почту (этот механизм позволяет ему преодолевать защитные межсетевые экраны), так и опубликованную 14 марта этого года сетевую уязвимость протокола SMB: Microsoft Security Bulletin MS17-010. Данная уязвимость позволяет вирусу распространяться внутри зараженной сети и поражать максимальное число уязвимых устройств.

Microsoft не распространяет автоматически обновления безопасности для ОС Windows XP и Windows 2003, поэтому пользователи, использующие устаревшее ПО, наиболее уязвимы.

Заражая устройство, вирус зашифровывает все пользовательские данные на жестком диске и требует выкуп за их расшифровку.

Рекомендации по защите сети

Ideco ICS основан на ядре Linux, все порты на внешних интерфейсах по умолчанию закрыты, поэтому он защищён от атак, использующих сетевые уязвимости, подобные тем, что использует данный вирус. Технология NAT также надежно защищает все сетевые устройства от подключений извне. Среди вариантов распространения вируса: электронная почта, возможно, зараженные сайты и флеш-диски, также вирус может быть принесен сотрудниками вместе с используемыми в других сетях ноутбуками. Все механизмы распространения вируса пока не изучены и могут быть дополнены злоумышленниками для усиления атаки в ближайшем будущем.

Настройка Ideco ICS

  • Защита периметра сети в период эпидемии должна быть максимально эффективной:
    Обновите шлюз безопасности Ideco ICS до актуальной версии 7.0.2, так вы получите максимальный эффект от описанных ниже действий по настройке системы безопасности.
  • Включите на Ideco ICS систему предотвращения вторжений.
    Как минимум активируйте следующие группы правил системы: «Запросы на скомпрометированные ресурсы», «Чёрный список IP-адресов». Блокировка ресурсов из этих категорий поможет заблокировать командные центры вируса, и зараженные системы не смогут получать команды на срабатывание, обмениваться ключами для зашифровки файлов, передавать информацию с зараженных компьютеров злоумышленникам. Уже установлено, что общение с командными центрами вирусов происходит через сеть TOR, которая будет заблокирована системой предотвращения вторжений.
    Рекомендуется активировать все группы правил системы предотвращения вторжений. В случае ложных срабатываний правила можно добавить в исключения системы.
  • На Ideco ICS включите антивирусную проверку веб-трафика. Рекомендуется использовать антивирус Касперского, но если ваша лицензия это не позволяет, включите антивирус ClamAV.
    Потоковая проверка веб-трафика на вирусы позволяет заблокировать угрозы еще до их проникновения на рабочие компьютеры.
  • С помощью расширенного контент-фильтра заблокируйте для всех пользователей следующие категории сайтов: ботнеты, центры распространения вредоносного ПО, фишинг/мошенничество.
    Или аналогичные категории стандартного контент-фильтра, но он менее эффективен для защиты от новых угроз.
  • Если ваша сеть разделена на несколько локальных сегментов, связанных через Ideco ICS, вы можете заблокировать 135 и 445 TCP порты системным межсетевым экраном.
    Это предотвратит возможное распространение вируса между локальными подсетями:

Защита конечных устройств

  • Установите патч для закрытия эксплуатируемой вирусом уязвимости: MS17-010.
  • Заблокируйте использование протокола SMBv1, выполнив следующую команду на компьютерах и Windows-серверах:
    dism /online /norestart /disable-feature /featurename:SMB1Protocol
  • Убедитесь, что антивирусное ПО на всех компьютерах установлено, работает и использует актуальные базы сигнатур.
  • На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:
    kb4012598 для Windows XP SP3
    kb4012598 для Windows Server 2003 x86
    kb4012598 для Windows Server 2003 x64

Если вы используете Windows в качестве интернет-шлюза

Мы не рекомендуем использовать любые версии Windows на серверах, подключенных непосредственно к интернету. За последнее время была опубликована информация о большом количестве уязвимостей, не все из которых закрыты существующими обновлениями систем безопасности данных ОС. Заражение подобным WannaCry вирусом непосредственно интернет-шлюза может привести к заражению всех хостов сети, потерям коммерческой информации, а также участию сети, как части ботнета, в атаках на другие ресурсы, среди которых могут оказаться и правительственные.

Программное обеспечение, использующее Windows как платформу, также не может обеспечить требуемый уровень безопасности, т.к. ядро системы все равно будет уязвимым. Если вы используете такое ПО, как Microsoft TMG, Kerio Winroute, Traffic Inspector, UserGate Proxy & Firewall, мы рекомендуем как можно скорее мигрировать на более безопасные и современные решения.

Шлюз безопасности Ideco ICS удобен тем, что может быть использован не только в качестве программно-аппаратного комплекса, но и устанавливаться непосредственно на имеющийся сервер или может быть развернут в качестве виртуальной машины на гипервизоре.

30-и дневная полнофункциональная версия Ideco ICS позволяет начать использование шлюза безопасности немедленно, после установки. Установка Ideco ICS занимает около 15 минут. Непосредственная настройка (в случае использования авторизации пользователей по IP или настройки интеграции с Active Directory) — не более получаса.

Для организаций, использующих 40 и менее компьютеров, мы предлагаем бесплатную редакцию Ideco ICS, которая позволяет обеспечить высокий базовый уровень защиты вашей сети, а также может быть дополнена покупкой всех необходимых для безопасности модулей: системы предотвращения вторжений, антивируса Касперского, контент-фильтра.

Читать еще:  5 способов сделать скриншот на iPhone, iPad или iPod
Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector