Как защититься от wcrypt (Wanna Cry)?

#безопасность #вирусы #wcrypt #wannacry

В свете текущих новостей решил задать вопрос по теме того, как обезопасить свой компьютер
от популярного wcrypt (Wanna Cry/Wana Decrypt0r). У кого есть данные по этой теме?
    

Ответы

Ответ 1

Обновление Windows MS17-010

Вирус использует эксплоит ETERNALBLUE, которую закрывает выпущенное в марте обновление
безопасности Microsoft MS17-010. Рекомендую проверить в центре обновления наличие такого
обновления (по коду) на вашем компьютере (например, код для Windows 7 будет KB4012212
или KB4012215, или любой другой ежемесячный набор исправлений качества системы безопасности
начиная с мартовского (2017 год)).

Если обновления не установлены, скачать их можно с официального сайта Microsoft:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Для старых систем (Windows XP, Windows Server 2003R2) Microsoft выпустил специальные
патчи:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Закрываем порты 135 и 445

По отчетам антивирусных компаний, wcrypt проникает на компьютеры через порты SMB
(Server Message Block). Для предотвращения проникновения, блокируем порты 135 и 445,
через которые проникает вирус (в большинстве случаев они не используются обычными пользователями).

Для этого открываем консоль с правами администратора (cmd.exe -> запуск от имени
администратора). И выполняем в ней поочередно 2 команды (после каждой команды должен
быть статус OK)

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135
name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445
name="Block_TCP-445"


Отключение поддержки SMBv1

Уязвимость также можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно
выполнить следующую команду в командной строке запущенной от имени Администратора (для
Windows 8 и выше):

dism /online /norestart /disable-feature /featurename:SMB1Protocol


Обнаружение антивирусами

Список антивирусов, которые по данным Virus Total от 17.05.2017 обнаруживают wcrypt:

https://virustotal.com/cs/file/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25/analysis/


Ответ 2

Расскажу как я избавился от шифровальщиков в нашей корпоративной сети. 

У нас в фирме около 1000 хостов и периодически компьютеры заражались шифровальщиками.
И если корпоративную почту мы защитили, шифровальщики все равно устанавливались через
личную почту или веб ресурсы.

Решение очень простое в групповых политиках "Конфигурация компьютера/конфигурация
windows/Параметры безопасности/Политики ограниченного использования программ/Дополнительные
правила" выставляем все пути через которые могут запускаться программы (programm files,
Windows...). В назначенные типы файлов удаляем ярлыки и добавляем JS которых по дефолту
почему то нет. И все. Эта политика была применена задолго до эпидемий Wanna Cry/Wana
Decrypt0r и с тех пор ни одного заражения. 

p.s. и конечно пользователи не должны сидеть под админом, ровно как и админы.

Как защититься от вирусов-вымогателей Petya и Misha?

Прочитал, что предотвратить шифрование данных вирусом можно с помощью создания файла perfc:


  Специалисты Positive Technologies нашли локальный “kill switch” для
  Petya, остановить шифровальщика можно создав файл C:\Windows\perfc
  (perfc — файл без расширения).


а также установкой патчей с сайта Microsoft.

Существуют ли еще какие-либо превентивные меры, кроме само собой разумеющихся (не открывать непонятные ссылки/письма и т.д.)?
    

Ответы

Ответ 1

Создаем файл perfc

В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.

Чтобы создать такой файл для защиты от Petya можно использовать обычный "Блокнот"
Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.

WMIC и PSEXEC

Вирус распространяется через службы WMIC и PSEXEC. Чтобы отключить службу WMIC выполняем в командной строке (cmd.exe) следующую команду:

net stop winmgmt


Более подробно: https://msdn.microsoft.com/ru-ru/enus/library/aa826517(v=vs.85).aspx

Поставить патчи безопасности

Вирус также распространяется через уязвимости Windows CVE-2017-0199  и CVE-2017-0144. Рекомендуется поставить патчи безопасности, которые их закрывают:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0144

Надо поставить патчи безопасности не только для Windows, но и для Microsoft Office.

Также необходимо поставить патчи, закрывающие ранее эксплуатируемую уязвимость для WannaCry:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Обновить сигнатуры антивирусов

База сигнатур антивирусного ПО должна быть обновлена от 27.06.2017 не ранее 20:00.

Отключить TCP-порты

Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445.

Отключить протокол SMB

В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах.

Подробнее: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

Настроить блокировку атак

В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010).

Если заражение все же произошло

Отключение системы

Если заражение все же произошло, то по некоторым публикациям в сети помогает экстренно
отключение машины сразу как только появится сообщение от вируса. В этом случае он не успеет зашифровать файлы на компьютере.

Подробнее: https://twitter.com/hackerfantastic/status/879775570766245888

Не переводить деньги

Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.


Ответ 2

Добавлю рекомендации для тех, у кого AD

Смените пароль администраторам домена и не вводите его больше на компьютерах пользователей

Один из путей распространения вируса - через сохраненный в системе хеш пароля администратора домена.

Выключите уже наконец протокол NTLM

До тех пор, пока злоумышленник может выбирать между NTLM и Kerberos - вся продвинутая безопасность последнего не имеет смысла.

Как защититься от вирусов-вымогателей Petya и Misha?

Прочитал, что предотвратить шифрование данных вирусом можно с помощью создания файла perfc
Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл C:\Windows\perfc (perfc — файл без расширения).
а также установкой патчей с сайта Microsoft
Существуют ли еще какие-либо превентивные меры, кроме само собой разумеющихся (не открывать непонятные ссылки/письма и т.д.)?

Ответ

Создаем файл perfc
В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.
Чтобы создать такой файл для защиты от Petya можно использовать обычный "Блокнот". Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.
WMIC и PSEXEC
Вирус распространяется через службы WMIC и PSEXEC. Чтобы отключить службу WMIC выполняем в командной строке (cmd.exe) следующую команду:
net stop winmgmt
Более подробно: https://msdn.microsoft.com/ru-ru/enus/library/aa826517(v=vs.85).aspx
Поставить патчи безопасности
Вирус также распространяется через уязвимости Windows CVE-2017-0199 и CVE-2017-0144. Рекомендуется поставить патчи безопасности, которые их закрывают:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0144
Надо поставить патчи безопасности не только для Windows, но и для Microsoft Office
Также необходимо поставить патчи, закрывающие ранее эксплуатируемую уязвимость для WannaCry:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Обновить сигнатуры антивирусов
База сигнатур антивирусного ПО должна быть обновлена от 27.06.2017 не ранее 20:00.
Отключить TCP-порты
Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445.
Отключить протокол SMB
В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах.
Подробнее: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
Настроить блокировку атак
В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010).
Если заражение все же произошло
Отключение системы
Если заражение все же произошло, то по некоторым публикациям в сети помогает экстренное отключение машины сразу как только появится сообщение от вируса. В этом случае он не успеет зашифровать файлы на компьютере.
Подробнее: https://twitter.com/hackerfantastic/status/879775570766245888
Не переводить деньги
Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.

Как защититься от вирусов-вымогателей Petya и Misha?

Прочитал, что предотвратить шифрование данных вирусом можно с помощью создания файла perfc
Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл C:\Windows\perfc (perfc — файл без расширения).
а также установкой патчей с сайта Microsoft
Существуют ли еще какие-либо превентивные меры, кроме само собой разумеющихся (не открывать непонятные ссылки/письма и т.д.)?

Ответ

Создаем файл perfc
В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.
Чтобы создать такой файл для защиты от Petya можно использовать обычный "Блокнот". Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.
WMIC и PSEXEC
Вирус распространяется через службы WMIC и PSEXEC. Чтобы отключить службу WMIC выполняем в командной строке (cmd.exe) следующую команду:
net stop winmgmt
Более подробно: https://msdn.microsoft.com/ru-ru/enus/library/aa826517(v=vs.85).aspx
Поставить патчи безопасности
Вирус также распространяется через уязвимости Windows CVE-2017-0199 и CVE-2017-0144. Рекомендуется поставить патчи безопасности, которые их закрывают:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0144
Надо поставить патчи безопасности не только для Windows, но и для Microsoft Office
Также необходимо поставить патчи, закрывающие ранее эксплуатируемую уязвимость для WannaCry:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Обновить сигнатуры антивирусов
База сигнатур антивирусного ПО должна быть обновлена от 27.06.2017 не ранее 20:00.
Отключить TCP-порты
Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445.
Отключить протокол SMB
В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах.
Подробнее: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
Настроить блокировку атак
В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010).
Если заражение все же произошло
Отключение системы
Если заражение все же произошло, то по некоторым публикациям в сети помогает экстренное отключение машины сразу как только появится сообщение от вируса. В этом случае он не успеет зашифровать файлы на компьютере.
Подробнее: https://twitter.com/hackerfantastic/status/879775570766245888
Не переводить деньги
Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.