Епідемія зараженя пов'язана з діяльністю WannaCry
Сьогоднішня епідемія заражень пов'язана з дією шкідливого ПЗ WannaCry.
WannaCry - відомий українцям по весняній епідемії. Він використовує уразливість операційної системи Windows. Кілька місяців тому постраждали тисячі користувачів, проте вирішення проблеми було знайдено оперативно - оновлення операційної системи, патч, встановивши який, WannaCry більше не може атакувати комп'ютери. Сьогоднішні «жертви», швидше за все, просто проігнорували його встановлення. Що стосується корпоративного сегмента, то це сфера відповідальності адміністраторів або служби кібербезпеки, які повинні уважно ставиться до рекомендацій компаній і лабораторій, що працюють в сфері кіберзахисту, наприклад, негайно закрити TCP-порти 1024-1035, 135, 139 і 445.
Перше зараження трояном WannaCry користувачів сталося швидше за все, через електронну пошту, завдяки відкриттю вкладеного в СПАМ-лист архіву або іншого документа. Заразивши ПК, шифрувальник активізує свою діяльність, крипує файли, а після примусового перезавантаження, блокує ПК і демонструє вимоги викупу за повернення даних, який, до слова, досить рідко відбувається. В основному гроші відправляються, у вигляді біткоінів, але розшифрування не відбувається. Таким чином епідемію спровокувала неуважність і ігнорування базових правил кібербезпеки.
ЯКІ ДІЇ ЗРОБИТИ ДЛЯ ЗАХИСТУ ВІД WANNACRY
Зараження локальних мереж шкідливим ПЗ WannaCry проводиться двома транспортними протоколами:
1. Спам розсилка по електронній пошті.
a. Користувач отримує лист з приєднаним JS файлом, архівом в якому міститься JS файл або посиланням на скомпрометований сайт. Після активації скрипт завантажує виконуваний файл і інфікує систему.
b. Користувач отримує лист з документом MS Office, що містить макрос. Макрос після запуску користувачем завантажує з мережі виконуваний файл і активує його.
2. Заражений ПК в мережі сканує мережеве оточення і, використовуючи вразливість EternalBlue заражає інші ПК в мережі.
При відсутності прав адміністратора троянська програма шифрує файли на дисках комп'ютера, до яких може отримати доступ. При наявності прав адміністратора троянська програма заражає MBR завантажувального жорсткого диска і після перезавантаження комп'ютера (виконуваної примусово) шифрує вміст жорсткого диска.
МЕТОДИ ПРОТИДІЇ ЗАРАЖЕННЮ WANNACRY:
1. Відключення застарілого протоколу SMB1. Інструкція по відключенню SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
2. Встановлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
3. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовуються для організації роботи мережеві папки і мережеві диски), в брандмауер локальних ПК і мережевого устаткування заблокувати TCP / IP порти 135, 139 і 445
4. Блокування можливості відкриття JS файлів, отриманих по електронній пошті
5. Блокування відкриття файлів, приєднаних до листів електронної пошти в ZIP архівах
Ідентифікатори компрометації:
1. Звернення заражених систем на WEB-ресурси
a. coffeinoffice.xyz
b. french-cooking.com
2. Створення в системі файлу C: \ WINDOWS \ perfc.dat