Эпидемия заражений связана с действием WannaCry

Сегодняшняя эпидемия заражений связана с действием вредоносного ПО WannaCry.

WannaCry  - известный украинцам по весенней эпидемии.  Он использует уязвимость операционной системы Windows. Несколько месяцев назад пострадали тысячи пользователей, однако решение проблемы было оперативно придумано – обновление операционной системы, патч, установив который, WannaCry больше не могла атаковать компьютеры. Сегодняшние «жертвы», скорее всего, просто проигнорировали его установку. Что касается корпоративного сегмента, то это сфера ответственности администраторов или службы кибербезопасности, которые должны внимательно относится к рекомендациям компаний и лабораторий, что работают в сфере киберзащиты, например, немедленно закрыть TCP-порты 1024-1035, 135, 139 и 445.

Первоначально заражение трояном WannaCry пользователей произошло, скорее всего, через электронную почту, благодаря открытию вложенного в СПАМ-письмо архива или другого документа. Заразив ПК, шифровальщик активизирует свою деятельность, криптует файлы, а после принудительной перезагрузки, блокирует ПК и демонстрирует требования выкупа за возврат данных, который, к слову, довольно редко происходит. В основном деньги отправляются, в виде биткоинов, но расшифровки не происходит. Всему виной невнимательность и игнорирование базовых правил кибербезопасности.

КАКИЕ ДЕЙСТВИЯ ПРЕДПРИНЯТЬ ДЛЯ ЗАЩИТЫ ОТ WANNACRY

Заражение локальных сетей вредоносным ПО WannaCry производится двумя транспортными протоколами:

1. Спам рассылка по электронной почте.
   1. Пользователь получает письмо с присоединённым JS файлом, архивом в котором содержится JS файл или ссылкой на скомпрометированный сайт. После активации скрипт загружает исполняемый файл и инфицирует систему.
   2. Пользователь получает письмо с документом MS Office, содержащим макрос. Макрос после запуска пользователем загружает из сети исполняемый файл и активирует его.
2. Зараженный ПК в сети сканирует сетевое окружение и, используя уязвимость EternalBlue заражает остальные ПК в сети.

При отсутствии прав администратора троянская программа шифрует файлы на дисках компьютера, к которым может получить доступ. При наличии прав администратора троянская программа заражает MBR загрузочного жёсткого диска и после перезагрузки компьютера (выполняемой принудительно) шифрует содержимое жёсткого диска.

МЕТОДЫ ПРОТИВОДЕЙСТВИЯ ЗАРАЖЕНИЮ WANNACRY:

1. Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
2. Установка обновлений безопасности операционной системы Windows из Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
3. Если есть возможность отказаться от использования в локальной сети протокола NetBios (не используются для организации работы сетевые папки и сетевые диски), в Брандмауэре локальных ПК и сетевого оборудования заблокировать TCP/IP порты 135, 139 и 445
4. Блокирование возможности открытия JS файлов, полученных по электронной почте
5. Блокирование открытия файлов, присоединённых к письмам электронной почты в ZIP архивах

Идентификаторы компрометации:

1. Обращение зараженных систем на WEB-ресурсы
   1. coffeinoffice.xyz
   2. french-cooking.com
2. Создание в системе файла C:\WINDOWS\perfc.dat