14.05.2017

Рекомендации по нейтрализации угрозы, связанной с ВПО “WannaCry”

Вечером 12 мая появилась информация об атаках хакеров на сети российских телекоммуникационных компаний. Эксперты «Информзащиты» подготовили рекомендации для защиты от вируса-шифровальщика семейства WannaCry.

Примечание: Описание уязвимости, используемой вредоносным ПО «WannaCry», а также соответствующий перечень рекомендаций был опубликован 17.04.17 на сайте «Информзащита».

Данный документ является дополнением к публикации от 17.04, для конкретной реализации эксплойта в ВПО «WannaCry».

I. Превентивные меры:

  1. Заблокировать сетевой доступ из сети Интернет в ЛВС по портам UDP 137, 138 и TCP 139, 445. Предварительно необходимо убедиться, что данная блокировка не нарушит критичные бизнес-процессы организации.
  2.   До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам UDP 137, 138 и TCP 139, 445. Данная мера позволит снизить риск распространения вредоносного ПО «WannaCry» внутри сети.  Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.
  3. Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010).
  4. В случае невозможности установки обновлений безопасности (см.п3) – отключить протокол SMB v1/v2/v3  на рабочих станциях и серверах в соответствии с инструкцией.
  5. Убедиться, что на всех рабочих станциях и серверах установлено антивирусное ПО, и базы сигнатур обновлены до последней версии.
  6. На серверах  и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО), обязательно включив в список файлы со следующими расширениями: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc; также рекомендуется включить все файлы баз данных и иные критичные для организации файлы, не перечисленные выше.

Примечание: На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:

II. Рекомендации по факту заражения:

Рекомендуется выполнить следующий перечень действий – самостоятельно, либо обратившись к дежурному администратору.

  1. Отключить зараженную машину от сети
  2. В случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса.
  3. Установить обновление безопасности Windows KB4013389 
  4. Произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера.
  5. Восстановить данные из резервной копии.