Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.
Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру, Газета.ру, РБК.
Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать здесь и здесь.
Эта уязвимость относится к классу Remote code execution, что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ — локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.
Меры безопасности
Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:
- Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь.
- Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана здесь, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
- В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation. Специально для компаний, не имеющих данной подписки, мы предлагаем быстро оформить её в триальный период 30 дней. Для того чтобы запросить ключ активирующий полнофункциональную подписку для вашего шлюза Check Point — напишите на почту SOS@TSSOLUTION.RU Подробнее про системы эмуляции файлов вы можете прочитать здесь, здесь и здесь.
Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:
Microsoft Windows EternalBlue SMB Remote Code Execution
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0144)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0145)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0146)
Microsoft Windows SMB Information Disclosure (MS17-010: CVE-2017-0147)
Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry тут.
Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.
Риск действительно большой!
UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.
Вебинар проводит компания TS Solution и Сергей Невструев, Check Point Threat Prevention Sales Manager Eastern Europe.
Мы затронем следующие вопросы:
- Атака #WannaCry
- Масштаб и текущее состояние
- Особенности
- Факторы массовости
Рекомендации по безопасности
Как быть на шаг впереди и спать спокойно
- IPS + AM
- SandBlast: Threat Emulation и Threat Extraction
- SandBlast Agent: Anti-Ransomware
- SandBlast Agent: Forensics
- SandBlast Agent: Anti-Bot
Зарегистрировать можно, ответив на это письмо, либо пройдя по ссылке на регистрацию здесь.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (50)
MBZimin
15.05.2017 11:34+11) Если вы оказались заражены вирусом (без разницы, кто использует Check Point или нет) – можно писать на emergency-response@checkpoint.com
2) Есть видео, показывающее определение WannaCry by SandBlast Agent
https://youtu.be/0jb8zd7H634
3) Если кто-то получил сомнительный имейл с какими-то вложениями – нужно отправить его вложением к письму на incident@checkpoint.com
или проверьте файл в песочнице
http://threatemulation.checkpoint.com/teb/upload.jsp
Настойчиво НЕ рекомендуется платить злоумышленникам, если уж файлы зашифрованы – деньги уходят от вас (владельцы вируса просят небольшую сумму, в районе 300 долларов), а в итоге вы НЕ получаете и никогда НЕ получите свои файлы. Проверено лабораторией Check Point, которая ждет доступ к тестовым файлам еще с пятницы.
danfe
16.05.2017 16:19владельцы вируса просят небольшую сумму, в районе 300 долларов
Для многих людей в России эта сумма сравнима с их месячной зарплатой. (Называется, почувствуй себя нищебродом. ;-)
300 долларов
небольшую
Throwable
15.05.2017 11:41+1У нас пострадали в основном крупные компании.
http://www.elmundo.es/tecnologia/2017/05/12/59158a8ce5fdea194f8b4616.html
В пятницу их работники получали уведомление отключить все персональные компьютеры до выяснения обстоятельств, что практически парализовало работу многих служб. Вобщем-то это говорит о низком уровне корпоративной политики безопасности.
MBZimin
15.05.2017 11:51+2Вобщем-то это говорит о низком уровне корпоративной политики безопасности.
Скорее о полном раздолбайстве.))
Сигнатуры еще в марте были опубликованы…
Kandelyabr
15.05.2017 17:40Обновления для win7 ещё в марте были выпущены, только у меня и у многих других они почему-то отсутствуют в обязательных к установке. https://social.technet.microsoft.com/Forums/en-US/8b072af3-42b0-46b2-84e9-742c1a2fb099/ransomware-wannacry-kb4012212-or-kb4012215-is-not-installed-?forum=w7itprosecurity
Sniker
16.05.2017 07:52Та же ситуация. При автообновлении win7 заплатка не установилась. Только вручную.
Xanter
16.05.2017 12:25Это говорит о низкой зарплате либо отсутствии вообще ИТ специалиста в штате.
Жалко денег на систему бэкапов, лицензионные системы и антивирусы.
В общем: «волки — санитары леса»
cooper051
16.05.2017 12:31Т.е. если специалисту мало платят, то он может плохо работать? У нас рабство давно отменили. Если не устраивает ЗП, ищи другую работу. Но если ты соглашаешься работать на таких условиях, то будь добр относиться добросовестно к своей работе.
NiTr0_ua
16.05.2017 17:32+1если специалисту мало платят — специалист уходит, а приходит эникей который изображает бурную деятельность…
Pakos
17.05.2017 10:18если специалисту мало платят, то он может плохо работать
Рабство отменили (вроде, не уверен), если специалисту мало платят, то он увольняется, если мало платят, то он не пойдёт на эту работу, а штатная единица есть и работник должен быть, потому берут не специалиста, а могущего слово конпутер без ошибок написать.
будь добр относиться добросовестно к своей работе
Вы кому это написали? Те "специалисты" про хабр не знают и никогда этого не прочтут.
mtivkov
16.05.2017 16:46+1Не обязательно.
Представьте ситуацию — корпоративные политики безопасности в порядке, в смысле — регламенты написаны замечательно.
Но после "оптимизации" (см статью) в наличии есть менее 10 сисадминов, а железных и виртуальных серверов — несколько тысяч. Причём никто чётко не знает, какие из них в какое время можно перезагружать. Или даже знает что перезагружать нежелательно. Или перезагрузка требует длительного согласования.
Короче, начнёшь перезагрузками системы принудительно дергать — жди увольнения. Да кому нужен такой энтузиазм и самопожертвование.
Вот и довели ситуацию до...
to2n
15.05.2017 12:24А сквозь nat на роутере оно может пролезть?
MBZimin
15.05.2017 12:29Если у вас static nat или настроен DMZ (часто в домашних роутерах, на пример, это FULL static NAT на конкретный ПК в сети), то ваш ПК и вся сеть в зоне риска.
Вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). Поэтому неплохой идеей (если ваши процессы допускают это) было бы заблокировать доступ по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе.
Так что порты точно надо закрыть.
Главное вдумчиво подойдите, на заблокируйте полностью работу SMB между локальными сетями.Markscheider
15.05.2017 16:54или настроен DMZ
У меня на роутере DMZ настроен на единственный внутренний IP адрес. На нем линуксовая машина. Я в безопасности?MBZimin
15.05.2017 22:07В относительной, конечно, но безопасности. На линукс, при должном желании, можно запустить вирус под WINE. Так же при наличие папок общего доступа на этом линукс сервере, данные на них могут быть зашифрованы с зараженной виндовой машины, при условии наличия доступа.
opanas
15.05.2017 12:45В копилку коллективной безопасности: SOC Prime выпустила бесплатный юзкейс WannaCry Detector для SIEM ArcSight. Версии под IBM QRadar & Splunk будут выпущены сегодня. Пока основной вектор детектирорования — это отслеживание коммуникации с командными центрами + факт использования ТОR-сети (в основном именно через нее коммуникации происходят). Будем признательны за обратную связь и доп.идеи.
SIEM Use Case Library https://my.socprime.com/en/ucl/opanas
15.05.2017 12:51Update: Используемые признаки компрометации (IOCs) по состоянию на 12:45 MSK 15.05.2017:
— MD5s of malicious processes on host
— Names of malicious processes on host
— Command-line parameters of WannaCry worm, including ones called out by cmd.exe
— File paths identified
— IP addresses and ports reported in OSINT as command centers
http2
15.05.2017 20:41-2Так опишите нормально, как он распространяется.
Где-то говорят, что по почте.
Это как он может исполниться в почте? В Аутглюке?
Где-то говорят, что на почту приходят exe.
Но их же олень должен сам запустить.
Где-то говорят, что через шары.
Капец, почему шары до сих пор по-умолчанию открыты? 21 век на дворе. Уже ж не в первой вирусня тудой льется.
П.С.
Ну когда сделают дружелюбный линукс, а то сижу на XP. Хз, что делать после 19-го года. :)MBZimin
15.05.2017 22:11Извините за copy\past, но вот
1. WannaCryptor – Direct infection utilizing SMB as delivery method – Multiple samples have been identified including copy cats and variants. All tested samples have been detected and blocked by SandBlast Anti-Ransomware and/or Threat Emulation
2. Hostile links within an email
3. Hostile attachments that contain a hostile link within a PDF
4. Hostile attachments that are password encrypted ZIP file which contains a PDF which starts the infection chain.
5. Brute force login attacks against RDP servers which then plant ransomware
Так что вы, http2, почти все вектора и назвали.
cooper051
15.05.2017 22:34Самое интересное, что защитой на сетевом оборудовании здесь не обойтись, как некоторые предлагали (заблокировав нужные порты списками доступа). Если заразить один компьютер (с помощью email с файлом или ссылки на файл или даже с флешки), то из него можно сделать бота, который начнет «лезть» на соседние компы в этом же сегменте. Т.е. на сетевом оборудовании (L3) вы этот трафик даже не увидите, блокируй не блокируй.
Areso
16.05.2017 07:59Linux Mint вполне себе дружелюбен.
cooper051
16.05.2017 08:07+1В корпоративном секторе будет преобладать Windows, пока для Linux-а не появится полноценная замена AD и нативная поддержка Office. Ну либо когда все окончательно перекочует в облако (Google Docs, Office 365) и для работы нужен будет только браузер, который можно запускать хоть на линуксе, хоть на андройде…
dronab
16.05.2017 07:52Интересное предположение, если буква не назначена диску в системе — будет ли заражены файлы на диске? Гипотетически — сложить бекапы на диск, снять с него назначенную букву диска.
sirinbird
16.05.2017 09:11
если у тебя нет файлов, то заражать будет нечего.
а серьезно, то возможно винда не будет знать, то и вирь не узнает о этих дисках/разделах.dronab
16.05.2017 10:04Не ну я вполне серьезно, паттерн поиска файлов как правило шарится в диске C:\ D:\ и т.д. собсно нет буквы — как бы и диска нема.
mtivkov
16.05.2017 09:08А почему никто не советует для начала остановить и заблокировать запуск в Windows сервиса "Сервер"?
Ну хотя бы на домашнем компе? Хотя бы на компах, которые не расшаривают свои папки?
IvUyr
16.05.2017 09:42Потому что сервис «Сервер» отвечает не только за шаринг.
http2
16.05.2017 09:47Обеспечивает поддержку общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение.
Вы уверены, что кому-то нужны именованные каналы (хз вообще что это :) )?Spaceoddity
16.05.2017 10:12Ну как-то ещё на ХР «облегчал систему» отключением всех ненужных мне служб. Без «Сервера» инета не было — ставил в автозагрузку (вообще там в районе 6-8 служб всего было).
mtivkov
16.05.2017 11:27Без «Сервера» инета не было
Вот сейчас пишу с компа, где "Сервер" остановлен.
Очевидно, у вас причина была в чем-то другом.Spaceoddity
16.05.2017 11:343G-модем был.
mtivkov
16.05.2017 12:00Все равно не должно быть такого.
У меня нормально работал комп с USB 3G/4G модемом и остановленным "Сервером".
Впрочем, проприетарный кривой софт оператора может хотеть странного. Кто же ему запретит.
mtivkov
16.05.2017 11:30Вот именно.
Ну может они и нужны, но оставлять к ним доступ "через сетевое подключение" у домашнего компа… да многим ли это надо?
deadmemoras
Ставлю линукс
worldxaker
https://twitter.com/hackerfantastic/status/863359375787925505 так-то и на нем можно запустить)
sirinbird
может заразиться только то, что под wine работает, судя по комментам.
так что… лучше линух
jok40
Анекдот про неуловимого индейца Джо помните?
garrettus
к сожалению в компании с большим кол-вом сотрудников не является возможным перевод всех пользователей (особенно слабо технически грамонтных) на другую ОС
vektory79
Ну либо вам повезёт, либо вот он шанс...
garrettus
У нас заразилось 4 компьютера из 24 потенциально имеющих возможность заразится (только на 24 отсутствуют нужные KB которые вроде как «Лечат» данную дыру) на что начальство сказало: «Мы не ведем переговоров с террористами» (с) и компьютеры ощутили /diskpart /select disk 0 /clean. Да и пользователи настолько слабо технически подкованы, что я сомневаюсь что компания будет обучать 1500+ пользователей работе в другой/непривычной им ОС
Pakos
Шанс не работать? Если софт только под Win, то тысячи (или десятки тысяч) рабочих мест перевести не так просто, даже не вспоминая про время и деньги на переписывания систем, разрабатываемых десяток-другой лет. И да, клиентам не повезло (интранет, но первый залетевший дятел начал интенсивно рушить цивилизацию и его не остановить — киллсвич он не увидит даже в той версии, в которой он есть).
vektory79
Софт — да проблема. И да, насколько она велика конкретно у вас мне не известно. Ну как показывает хоть и скромная, но практика, если внимательно посмотреть инфраструктуру, то оказывается:
Впрочем согласен, что везде по разному...
Pakos
Не всем, но тысячи рабочих мест в нескольких критически важных структурах страны — этого достаточно. И оно критическое, но если что — "денег нет, но вы держитесь", потому пластырь и костыли — всё на что хватает бюджета.
а ему и не надо, SMBv1 и привет, грабли наступлены автоматически, ведомственная сеть без выхода в инет и не очень квалифицированные админы — и нет обновлений, даже killswitch не сработает — как уже сказал без инета, и про админов сказал — сделать такой домен внутри им сложно (они вообще могут про него не знать, хабр не для них).
Никто не говорил о психологическом барьере, барьер чисто технический. И это не только драйвера устройств (некоторые чуть более уникальны, чем мышка или принтер и нельзя пойти в магазин за заменой), но и всё "нажитое непосильным трудом" — сотни тысяч строк кода на разных языках, зачастую с привязкой к платформе, гвоздями, поскольку писалось ещё очень-очень давно — потому нельзя взять gcc и пересобрать под нужную, некоторым алгоритмам может потребоваться реверс, потому как документация не у всех не всегда идеальная. Я проработал в нескольких конторах, делавших такой софт для совершенно разных организаций и нигде нельзя "просто взять и переписать", теоретиком быть хорошо, но жизнь сурова и несправедлива.
fpir
Да попробуйте перевести одного, и Вы увидите обратную взаимосвязь: чем слабее «технически грамотный» (менее компетентен в IT или попросту в «компьютерах»), тем легче пользователь переносит смену ОС. В пределе пользователь замечает только смену обоев. И наоборот.