Эксперты Positive Technologies о безопасности от вируса-шифровальщика WannaCry

Шифровальщик WannaCry. Рекомендации

В связи с начавшейся 12 мая 2017 года массовой эпидемией вируса-шифровальщика WannaCry (WannaCry, WCry, WanaCrypt, WanaCrypt0r, Wana DeCrypt0r и др.), компания Positive Technologies получает большое количество запросов на предоставление рекомендаций по обнаружению и противодействию этой угрозе.

В связи с этим было решено сформировать базовый набор рекомендаций по противодействию этому виду вредоносного ПО. Данный документ не содержит полного и детального описания вируса-шифровальщика, так как ожидается появление новых модификаций в течение этой недели с другими индикаторами компрометации.

Сегодня известно уже о как минимум 3 различных версиях WannaCry. Учитывая модульную структуру вируса, эксперты Positive Technologies ожидают появления в ближайшем будущем новых модификаций. Поэтому особенно важно максимально быстро устранить возможность распространения вируса в корпоративной сети.

Уязвимыми к атаке WannaCry являются компьютеры под управлением операционных систем Windows начиная с XP/2003 и до 10/2016 включительно, на которых не установлено обновление MS17-010.

Рекомендации по предотвращению заражения

Важно! С 12 по 14 мая экземпляры вируса WannaCry распространялись через уязвимости в Windows SMB Server (445 порт TCP), причем не только в рамках организации, но и на стадии проникновения извне.

Чтобы исключить возможность заражения, следует выполнить все 5 перечисленных ниже пунктов. Их можно выполнять параллельно, но если не позволяет время — рекомендуем выполнять пункты в приведенном порядке.

    1. Полностью заблокировать соединения извне на порт TCP 445 внешнего периметра. Рекомендуется использовать шлюзовой межсетевой экран (МЭ), стоящий на границе сети. Если внешних подсетей много (к примеру, распределенная по всей стране инфраструктура с множественными выходами в Интернет) и периметр сложно инвентаризировать — вы можете обратиться к представителям компании Positive Technologies за помощью в инвентаризации внешних служб, доступных из сети Интернет (контактный адрес электронной почты:  Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. ). Потребуется лишь список выделенных сетей от оператора и согласие на сканирование.
    2. Обновить базы всех средств антивирусной защиты для всех узлов сети. Убедиться, что включен компонент поведенческого анализа на средствах защиты серверов и рабочих станций.
    3. Идентифицировать все уязвимые узлы внутри сети. Для этого можно воспользоваться одним из методов:
      • a. Сканер уязвимостей. Для пользователей MaxPatrol 8 подробные рекомендации по обнаружению уязвимых узлов в сети и созданию отчета о таких узлах даны в Приложениях:
        • Приложение 1. Подготовка отчета по узлам с уязвимостью CVE-2017-0145
        • Приложение 2. Обнаружение уязвимости CVE-2017-0145 в режиме Audit

Кроме того, компания Positive Technologies выпустила специальное обновление (сборка 8.25.5.25482), предоставляющее пользователям MaxPatrol 8 возможность обнаруживать уязвимость CVE-2017-0145 в облегченном режиме Pentest. Детальная инструкция представлена в Приложении 3. Поиск уязвимости CVE-2017-0145 EternalBlue в режиме Pentest.

    • b. SCCM, WSUS или другая система управления обновлениями и инвентаризации. Необходимо создать отчет с проверкой, установлено ли обновление 4013389 (MS17-010) либо более новое. Последние обновления включают в себя все предыдущие, так что можно просто проверить, установлено ли самое последнее обновление.
    • c. Локальная проверка. Для проверки наличия обновления локально можно воспользоваться командой:
      > wmic qfe get HotfixId | findstr KB_for_OS. 
      Например, для Windows 10 последнее на сегодня обновление безопасности — KB4019472 (оно включает в себя заплату MS17-010
  1. Немедленно установить обновление MS17-010 на все уязвимые узлы, включая Windows XP и Windows Server 2003. 
  2. После установки обновления повторить поиск уязвимых узлов во всей инфраструктуре (пункт 3).

Важно! Если уязвимых узлов слишком много, и быстро установить обновление не получается:

  • a. Отключить SMBv1 на всех узлах, где она не является критичной функцией. Отключить можно вручную либо с помощью SCCM / GPO. 
  • b. Для узлов, на которых SMBv1 отключить нельзя, рекомендуется реализовать выделенный закрытый сегмент. Подключения к данному сегменту по протоколу SMB разрешить только с узлов, уже имеющих обновление безопасности и неуязвимых к атаке.
Поделиться:

МЫ В ИНТЕРНЕТЕ

facebookodnoklassnikitwitter

 PT AF 240x400

PT AF 240x400