Превентивные меры: 

  • Заблокировать сетевой доступ из сети Интернет в ЛВС по портам UDP 137, 138 и TCP 139, 445. Предварительно необходимо убедиться, что данная блокировка не нарушит критичные бизнес-процессы организации.
  • До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам UDP 137, 138 и TCP 139, 445. Данная мера позволит снизить риск распространения вредоносного ПО «WannaCry» внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.
  • Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010).
  • В случае невозможности установки обновлений безопасности (см.п3) – отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах в соответствии с инструкцией.
  • Убедиться, что на всех рабочих станциях и серверах установлено антивирусное ПО, и базы сигнатур обновлены до последней версии.
  • На серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО), обязательно включив в список файлы со следующими расширениями: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc; также рекомендуется включить все файлы баз данных и иные критичные для организации файлы, не перечисленные выше.

Рекомендации по факту заражения:

Рекомендуется выполнить следующий перечень действий – самостоятельно, либо обратившись к дежурному администратору.

  • Отключить зараженную машину от сети.
  • В случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса.
  • Установить обновление безопасности Windows KB4013389.
  • Произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера.
  • Восстановить данные из резервной копии.


Материалы по теме
  • Истории из практики…Удаленный доступ

    Как правило, в рамках проведения своих проектов, мы встречаем удаленные подключения к внутренним ресурсам, организованные через VPN, использования Remote Desktop Gateway (RDP) или решение класса VDI (например, Ctirix XenApps).

  • Комплексный подход к организации удаленного доступа

    В современном мире недостаточно просто настроить VPN для удаленного подключения сотрудника к ресурсам компании.

  • Переход на Windows 10 с Solution Assessment

    14 января 2020 года закончилась поддержка ОС Windows 7. Чтобы избежать необоснованных затрат компания Информзащита совместно с Microsoft предлагает вам произвести миграцию на Windows 10.