Про вирус-вымогатель WannaCrypt/WannaCry 12 мая 2017 года стало известно не только специалистам по информационной безопасности, но и простым пользователям. Вирус Wana Decrypt0r 2.0– это вредоносная программа – вымогатель, шифрующая информацию и требующая деньги за разблокирование.
Создатели WannaCry требуют провести оплату в биткоинах. Сумма немаленькая – от 300 до 600 долларов. Платежную операцию отследить невозможно. По всему миру были атакованы коммерческие и государственные компании - испанская Telefónica, немецкий Deutsche Bahn, американская FedEx, британские больницы и многие другие. Среди российских компаний и ведомств особенно досталось МВД и Мегафону. Также под удар попали и обычные пользователям.
WannaCry обладает существенными отличиями от прочих программ-вымогателей. Чтобы подцепить вирус на компьютер, не надо кликать по странным ссылкам. Как рассказали пострадавшие, они вообще ничего не делали. Для распространения программы оказалось достаточно 0dayуязвимости в ОС Microsoft Windows. Злоумышленники получают доступ к удаленной рабочей станции и устанавливают шифровальщик
Уязвимость была обнаружена 14 марта 2017 года, корпорация Microsoft анонсировала и закрыла её обновлением MS17-010. Пользователи, установившие обновление, оказались в безопасности.
Основные производители систем защиты информации также выпустили соответствующие сигнатуры для своих устройств. К примеру, Fortinet выпустил обновление сигнатур для системы предотвращения вторжений в тот же день, так что организации, использующие оборудование Fortinet для защиты своих сетей, могут быть спокойны. Их сеть защищена.
Как защититься от WannaCry
К глубочайшему сожалению, на данный момент нет возможности расшифровать файлы, «закрытые» вирусом WannaCry. Если ваши компьютеры атаковали, то его нужно сразу же отключить от локальной сети для предотвращения дальнейшего распространения вируса.
Уже сейчас нужно проделать следующие шаги:
- обновить ОС вручную или штатными средствами, установив исправление MS17-010
- на всех рабочих компьютерах отключить протокол SMBv1
- проверить, включена ли в устройствах безопасности система предотвращения вторжений (IPS) и антивирусная защита
- убедиться, что для доступны извне закрыты порты TCP 139/445 и UDP 137/138
Профилактические меры
С вирусами – шифровальщиками можно бороться такими способами:
- постоянно делать резервное копирование, в том числе и на внешних носителях;
- регулярно обновлять ПО;
- использовать IPS (систему предотвращения вторжений) и надежные антивирусы.
У сервиса FortiGate есть весь необходимый функционал, благодаря которому компьютер пользователя будет защищен от любых шифровальщиков, включая WannaCry. Сервис способен:
- отключать автоматическое выполнение макросов в файлах Microsoft Office, которые передаются по e-mail;
- для просмотра файлов использовать Office Viewer вместо классического приложения.
Почему же FortiGate?
Ваш компьютер и вся персональная информация будут под надежной защитой. Всё потому, что Fortinet:
- выпустил сигнатуры против уязвимости 14 марта 2017 года. Они автоматически обновились на каждом из устройств FortiGate, на которых была активная подписка FortiGuard.
- Способен блокировать попадание внутри сети вредоносных программ.
- Если каким-то образом опасное программное обеспечение проникло в компьютер, то FortiGate быстро его отыщет при помощи коммуникаций с серверами управления.
- Сервис блокирует любую из команд сервера на установку зашифрованного вируса.
- Ваша локальная сеть будет сегментирована. При помощи FortiGate не будет допущено распространение вредоносной программы на другие устройства.
Полезные рекомендации
Если ваша компания подверглась нападению вымогателей WannaCry, то нужно быстро предпринять следующие важные шаги:
- изолируйте каждый зараженный компьютер и быстро отсоедините его от сети;
- не забудьте отключить все подключенные внешние устройства (например, флешку USB);
- сохраняйте резервные копии файлов в автономном режиме. При необходимости вы можете их всегда тщательно отсканировать антивирусом.
- Звоните или пишите в правоохранительные органы и сообщите им о случившемся преступлении. Консультанты оперативно вам расскажут, что делать дальше.
