Как защититься от wcrypt (Wanna Cry)?

#безопасность #вирусы #wcrypt #wannacry

В свете текущих новостей решил задать вопрос по теме того, как обезопасить свой компьютер
от популярного wcrypt (Wanna Cry/Wana Decrypt0r). У кого есть данные по этой теме?
    

Ответы

Ответ 1

Обновление Windows MS17-010

Вирус использует эксплоит ETERNALBLUE, которую закрывает выпущенное в марте обновление
безопасности Microsoft MS17-010. Рекомендую проверить в центре обновления наличие такого
обновления (по коду) на вашем компьютере (например, код для Windows 7 будет KB4012212
или KB4012215, или любой другой ежемесячный набор исправлений качества системы безопасности
начиная с мартовского (2017 год)).

Если обновления не установлены, скачать их можно с официального сайта Microsoft:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Для старых систем (Windows XP, Windows Server 2003R2) Microsoft выпустил специальные
патчи:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Закрываем порты 135 и 445

По отчетам антивирусных компаний, wcrypt проникает на компьютеры через порты SMB
(Server Message Block). Для предотвращения проникновения, блокируем порты 135 и 445,
через которые проникает вирус (в большинстве случаев они не используются обычными пользователями).

Для этого открываем консоль с правами администратора (cmd.exe -> запуск от имени
администратора). И выполняем в ней поочередно 2 команды (после каждой команды должен
быть статус OK)

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135
name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445
name="Block_TCP-445"


Отключение поддержки SMBv1

Уязвимость также можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно
выполнить следующую команду в командной строке запущенной от имени Администратора (для
Windows 8 и выше):

dism /online /norestart /disable-feature /featurename:SMB1Protocol


Обнаружение антивирусами

Список антивирусов, которые по данным Virus Total от 17.05.2017 обнаруживают wcrypt:

https://virustotal.com/cs/file/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25/analysis/


Ответ 2

Расскажу как я избавился от шифровальщиков в нашей корпоративной сети. 

У нас в фирме около 1000 хостов и периодически компьютеры заражались шифровальщиками.
И если корпоративную почту мы защитили, шифровальщики все равно устанавливались через
личную почту или веб ресурсы.

Решение очень простое в групповых политиках "Конфигурация компьютера/конфигурация
windows/Параметры безопасности/Политики ограниченного использования программ/Дополнительные
правила" выставляем все пути через которые могут запускаться программы (programm files,
Windows...). В назначенные типы файлов удаляем ярлыки и добавляем JS которых по дефолту
почему то нет. И все. Эта политика была применена задолго до эпидемий Wanna Cry/Wana
Decrypt0r и с тех пор ни одного заражения. 

p.s. и конечно пользователи не должны сидеть под админом, ровно как и админы.