Страницы

Поиск по вопросам

среда, 27 ноября 2019 г.

Как защититься от wcrypt (Wanna Cry)?

#безопасность #вирусы #wcrypt #wannacry


В свете текущих новостей решил задать вопрос по теме того, как обезопасить свой компьютер
от популярного wcrypt (Wanna Cry/Wana Decrypt0r). У кого есть данные по этой теме?
    


Ответы

Ответ 1



Обновление Windows MS17-010 Вирус использует эксплоит ETERNALBLUE, которую закрывает выпущенное в марте обновление безопасности Microsoft MS17-010. Рекомендую проверить в центре обновления наличие такого обновления (по коду) на вашем компьютере (например, код для Windows 7 будет KB4012212 или KB4012215, или любой другой ежемесячный набор исправлений качества системы безопасности начиная с мартовского (2017 год)). Если обновления не установлены, скачать их можно с официального сайта Microsoft: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Для старых систем (Windows XP, Windows Server 2003R2) Microsoft выпустил специальные патчи: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ Закрываем порты 135 и 445 По отчетам антивирусных компаний, wcrypt проникает на компьютеры через порты SMB (Server Message Block). Для предотвращения проникновения, блокируем порты 135 и 445, через которые проникает вирус (в большинстве случаев они не используются обычными пользователями). Для этого открываем консоль с правами администратора (cmd.exe -> запуск от имени администратора). И выполняем в ней поочередно 2 команды (после каждой команды должен быть статус OK) netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445" Отключение поддержки SMBv1 Уязвимость также можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора (для Windows 8 и выше): dism /online /norestart /disable-feature /featurename:SMB1Protocol Обнаружение антивирусами Список антивирусов, которые по данным Virus Total от 17.05.2017 обнаруживают wcrypt: https://virustotal.com/cs/file/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25/analysis/

Ответ 2



Расскажу как я избавился от шифровальщиков в нашей корпоративной сети. У нас в фирме около 1000 хостов и периодически компьютеры заражались шифровальщиками. И если корпоративную почту мы защитили, шифровальщики все равно устанавливались через личную почту или веб ресурсы. Решение очень простое в групповых политиках "Конфигурация компьютера/конфигурация windows/Параметры безопасности/Политики ограниченного использования программ/Дополнительные правила" выставляем все пути через которые могут запускаться программы (programm files, Windows...). В назначенные типы файлов удаляем ярлыки и добавляем JS которых по дефолту почему то нет. И все. Эта политика была применена задолго до эпидемий Wanna Cry/Wana Decrypt0r и с тех пор ни одного заражения. p.s. и конечно пользователи не должны сидеть под админом, ровно как и админы.

Комментариев нет:

Отправить комментарий