Как защитить организацию от WannaCry Ransomware

Защита организации от WCry Ransomware

Программы вымогатели стали самой быстрорастущей угрозой вредоносного ПО, ориентированной на всех, от домашних пользователей до систем здравоохранения и корпоративных сетей. Анализ отслеживания показывает, что с 1 января 2016 года ежедневно совершалось в среднем более 4000 нападений с целью выкупа.

12 мая FortiGuard Labs начала отслеживать новый вариант ransomware, который быстро распространился в течение дня. Этим вирусом были поражены самые крупные структуры по всему миру такие, как МВД России, китайские университеты, венгерские и испанские телекоммуникационные компании, а также больницы и клиники, управляемые британскими национальными службами здравоохранения. Его требования выкупа поддерживают более двух десятков языков.

Эта программа-вымогатель носит несколько названий: WCry, WannaCry, WanaCrypt0r, WannaCrypt или Wana Decrypt0r. Она распространяется через предполагаемый эксплойт NSA под названием ETERNALBLUE, который был запущен онлайн в прошлом месяце хакерской группировкой The Shadow Brokers. ETERNALBLUE использует уязвимость в протоколе Message Block 1.0 (SMBv1) сервера Microsoft.

Microsoft выпустила критический патч для этой уязвимости в марте в бюллетене Microsoft Security Bulletin MS17-010. В том же месяце Fortinet выпустила сигнатуру IPS для обнаружения и блокирования этой уязвимости. 12 мая были также выпущены новые сигнатуры AV, чтобы также обнаружить и остановить эту атаку. Стороннее тестирование подтверждает, что Fortinet Anti-Virus и FortiSandbox эффективно блокируют это вредоносное ПО.

Мы настоятельно рекомендуем всем клиентам выполнить следующие действия:

• Применить патч, опубликованный Microsoft на всех уязвимых узлах сети.
• Убедиться,что сигнатуры Fortinet AV и IPS, а также механизмы веб-фильтрации включены, чтобы предотвратить загрузку вредоносного ПО, и чтобы веб-фильтрация блокировала связь с серверами команд и контроля.
• Изолировать связь с портами UDP 137/138 и TCP 139/445.

Мы также рекомендуем пользователям и организациям принять следующие предупредительные меры:

• Установите регулярную процедуру для исправления операционных систем, программного обеспечения и прошивки на всех устройствах. Для крупных организаций с большим количеством развернутых устройств рассмотрите возможность внедрения централизованной системы управления исправлениями.
• Разверните технологии IPS, AV и Web Filtering и обновите их.
• Регулярно создавайте резервные копии данных. Проверьте целостность этих резервных копий, зашифруйте их и протестируйте процесс восстановления, чтобы убедиться, что он работает правильно.
• Проверять всю входящую и исходящую электронную почту для обнаружения угроз и профильтруйте исполняемые файлы от конечных пользователей.
• Установите автоматическое проведение регулярных проверок антивирусными программами.
• Отключите макро скрипты в файлах, передаваемых по электронной почте.
• Создайте стратегию обеспечения непрерывности бизнеса и реагирования на инциденты и проводить регулярные оценки уязвимости.

Если ваша организация пострадала от вымогательства, выполните следующие действия:

• Немедленно изолируйте зараженные устройства, удалите их из сети как можно скорее, чтобы предотвратить распространение вымогателей на сеть или общие диски.
• Если ваша сеть была заражена, немедленно отключите все подключенные устройства. Это может обеспечить время для очистки и восстановления данных.
• Резервные копии данных должны храниться в автономном режиме. Если обнаружено заражение, отсканируйте резервные копии, чтобы убедиться, что они свободны от вредоносного ПО.

• Немедленно обратитесь в правоохранительные органы, чтобы сообщить о любых событиях, связанных с вымогательством, и получить помощь.

Безопасность систем наших клиентов имеет первостепенное значение как для Netwell, так и для Fortinet. Мы активно следим за угрозами, чтобы оперативно реагировать на любое новое вредоносное поведение. Защита любой организации от киберугроз, имеет решающее значение, она не может опираться только на технологии. Только централизованное видение проблемы и использование передовых инструментов защиты позволяет бороться с противником на равных!