РЕШЕНИЯ И УСЛУГИ

Вирус шифровальщик WannaCry - быстр и опасен

13/05/2017
Антон Марков

Что произошло

Update 14.05.2017 12:00 : Обнаружена новая разновидность WannaCry 2.0 уже без встроенной функции самоостановки распространения (как в прошлой версии). Число зараженных компьютеров за последние часы выросло со 100 000 до 213 000. 

В эти выходные в IT-мире произошло событие, не оставшееся без внимания ведущих новостных агентств мира. От Forbes до Первого канала – все говорят о вирусе-вымогателе WannaCry, буквально за несколько часов поразившем более ста тысяч компьютеров по всему миру.

wannacry_1.jpg

Под ударом оказались национальная медицинская служба Великобритании, ведущий немецкий железнодорожный концерн Deutsche Bahn, испанский телеком-гигант Telefonica и МВД России. Сотовый оператор Мегафон был вынужден приостановить работу колл-центра, многие банкоматы Сбербанка неработоспособны, а раздражённые пользователи антивирусов звонят в техническую поддержку и требуют помощи, которую антивирусные компании не могут им дать: расшифровать зашифрованные данные, насколько это известно в настоящее время, могут лишь авторы вируса, а для этого придётся платить. Всего за несколько часов WannaCry стал наиболее распространённым вирусом-вымогателем в истории.

wannacry_2.jpg

Особенность

«Изюминкой» новой заразы стало то, что она работает «по старинке», как в середине 2000-х годов, заражая компьютеры не путём обмана пользователей, как это делает большинство современных вирусов, а сетевыми атаками, размножаясь от компьютера к компьютеру. Уязвимыми к атаке оказались все операционные системы Windows, на которых не были установлены обновления безопасности от 14 марта 2017 года. Классические антивирусы в начале распространения заразы оказались традиционно бессильны по своей натуре: чтобы остановить вирус, обычному антивирусу нужно знать о нём, и в первые часы размножения вируса он не может быть пойман обычными антивирусными средствами.

wannacry_3.jpg

Как обезопасить себя

О том, что можно сделать прямо сейчас для того, чтобы уберечься от коварного зловреда, уже сказано много слов и написано много статей, как правильных, так и спорных. Мы приведём здесь несколько наиболее действенных рекомендаций:

  1. Установите критические обновления безопасности на ОС Windows, перечисленные в этой статье, если они по какой-то причине не установлены. Эти обновления помогут остановить распространение вируса, поскольку они закрывают уязвимость, позволяющую атаковать ещё не заражённые компьютеры;
  2. Обновите свой антивирус. Убедитесь, что он находится в исправном состоянии и охватывает все компьютеры компании;
  3. На компьютерах, на которых по какой-то странной причине нельзя установить критические обновления, следует закрыть доступ к 445 порту посредством брандмауэра. Антивирус сам по себе вовсе не обязательно защитит от этого вируса, если заражение всё же произойдёт, так что главный акцент следует сделать именно на предотвращении заражения;
  4. И проверьте, исправна ли ваша система резервного копирования. Делается ли резервное копирование критически важных данных, все ли данные копируются, проверяются ли резервные копии. Если же у вас нет резервных копий, бросайте чтение этого материала и бегите делать их, вне зависимости от того, выполнены ли предыдущие пункты!

Как обезопасить себя впредь

Итак, как же впредь предотвратить подобный катаклизм? Ответов на этот вопрос два.

Первый ответ – своевременная установка обновлений.

windows_is_up_to_date.jpg

Сложность современных программ головокружительна и написать их без ошибок решительно невозможно.

Обновления Windows - то самое, что так не любят пользователи и то, за что все, от рядовых клерков до топ-менеджеров так ругают ИТ-отдел и компанию Microsoft. Однако, эта нелюбовь сродни нелюбви детей к прививкам: всё-таки лучше потерпеть укол, чем тяжело заболеть.

Все современные программы содержат массу ошибок, и эти ошибки исправляются по мере обнаружения. Процесс установки исправлений – это как раз тот самый процесс обновления, требующий у вас перезагрузить компьютер. Вирус WannaCry, являющийся причиной написания этой статьи, использует уязвимости, закрытые обновлениями двухмесячной давности.

Предшественник WannaCry, печально известный Kido/Conficker, заразивший за год более 12 миллионов компьютеров, также использовал уязвимости, более месяца как закрытые соответствующими обновлениями, что не помешало его триумфальному шествию по планете.

Kido сорвал учения французских ВВС через три месяца после начала эпидемии и поразил армию Израиля через четыре месяца после её начала, то есть даже факт эпидемии не заставил эти бюрократические структуры ускорить установку обновлений. В России ситуация, впрочем, не лучше: в крупнейшей энергетической компании развёртывание закрывающего используемую Kido уязвимость обновления начали «всего» через полгода после его выпуска! Это недопустимо. Обновления – это своеобразные прививки, и прививаться необходимо перед эпидемиями, а не через месяцы после их начала.

Второй ответ – антивирусные средства нового поколения.

Классические антивирусы, такие как Symantec или Kaspersky, опираются на списки известных им вирусов, то есть зловред должен сначала попасть в антивирусную лабораторию, где на его основе создадут описание, которое потом будет скачано антивирусом, после чего антивирус наконец сможет находить новую заразу. Пока это не произошло, антивирус бессилен перед свежими образцами вирусов, и всё, на что вы можете рассчитывать – что вам повезёт, и во время начала эпидемии вы не окажетесь под ударом. Как видно, иногда может не повезти сразу сотням тысяч или даже миллионам. Антивирусные решения нового поколения, такие как Palo Alto TRAPS или Check Point Endpoint Protection действуют по-другому, анализируя деятельность исполняемых компьютером программ и записывая их. Если какая-то программа ведёт себя подобно вирусу (к примеру, начинает вдруг шифровать файлы), антивирус прерывает её работу и откатывает её действия назад, убирая нанесённый ею ущерб. Всё это называется поведенческим анализом, и за ним – настоящее и будущее защиты от вирусов.

Конечно же, на любой щит может найтись свой меч. Когда-нибудь может появиться столь же массовый зловред, использующий незакрытую уязвимость и обходящий даже антивирусы нового поколения. Поэтому последним шансом, спасательным кругом должно являться старое доброе резервное копирование. Им нельзя пренебрегать, какие бы прочие меры ни были приняты. Делайте резервные копии. Храните их отдельно от основной инфраструктуры. Проверяйте их. И помните: большинство компаний, у которых была уничтожена ИТ-инфраструктура, уже не могут оправиться от нанесённого удара и прекращают существование.

Чем специалисты 4x4 могут помочь Вам

Проактивная защита

Компания 4х4 является партнёром Palo Alto Networks и Check Point – ведущих разработчиков решений в области информационной безопасности. Обе компании производят межсетевые экраны и антивирусы нового поколения, способные эффективно очищать трафик от неизвестных угроз, а также находить и обезвреживать неизвестные вирусы на компьютерах. Решения от Palo Alto и Check Point, правильно внедрённые нашими специалистами, позволят вам не беспокоиться о заражении как вымогателями, подобными WannaCry, так и практически любыми другими вирусами. 

Автоматизация установки обновлений

Наша компания также предлагает решения по автоматизации установки обновлений безопасности. Мы предлагаем как относительно «тяжёлые» программные комплексы (к примеру, Microsoft System Center Configuration Manager в сочетании с Secunia Corporate Software Inspector, незаменимое для крупных компаний решение, позволяющее отыскивать необновлённые компьютеры, принудительно обновлять их, и сообщать о возможных сбоях обновлений), так и легковесные решения, подходящие для компаний малого и среднего бизнеса, от Ninite, Ivanti и других ведущих игроков этого рынка. Своевременное обновление программного обеспечения решает массу проблем, и сегодняшняя эпидемия WannaCry является жестокой демонстрацией необходимости такого обновления.

Резвное копирование

Мы многое знаем о резервном копировании. Мы умеем делать его эффективным, быстрым, надёжным и недорогим. Если у вас ещё не внедрено резервное копирование всей важной информации, обратитесь к нам – и мы поможем реализовать его.

Аудит безопасности

Наконец, мы имеем опыт аудита безопасности инфраструктур. Если у вас нет уверенности в том, что ваша компьютерная сеть защищена, мы можем дать вам эту уверенность, обследовав её и, при необходимости, выдав рекомендации по устранению небезопасных конфигураций.

Демонстрация заражения вирусом

и еще одна

Администрация
сайта

Тема: Вирус шифровальщик WannaCry - быстр и опасен

Задайте мне Ваш вопрос