Некоторые
клиенты Microsoft по всему миру стали жертвами программый-шантажиста
WannaCrypt.
Ключевое отличие этой программы-шантажиста от других в том, что вирус
проникает
на компьютеры без соответствующих обновлений самостоятельно, без
поддержки
пользователя. Другие программы подобного типа обычно проникали в
систему за
счет неаккуратных действий пользователя (посещение недоверенного сайта,
запуск
подозрительного почтового вложения и т.д.). В данном же случае вирус
действует
самостоятельно атакует необновлённые компьютеры, устанавливается, ищет
последующие цели для атаки с зараженного компьютера и шифрует файлы
определенных расширений.
Детальное
описание природы и механики работы вируса можно прочесть на странице в
блоге Microsoft:
https://habrahabr.ru/company/microsoft/blog/328910.
Пользователи
обновленных поддерживаемых версии Windows защищены от атак данного
вируса. Вам
необходимо убедиться, что в системе установлено обновление MS17-010:
https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.
Атака не была таргетирована на пользователей Windows 10. Бесплатная
версия
антивируса Microsoft Defender также распознает все известные на данный
момент
реализации вируса.
Компания
Microsoft предприняла все возможные действия, чтобы защитить
пользователей,
использующих более старые версии продуктов: были выпущены обновления
для
неподдерживаемых систем Windows XP, Windows 8 и Windows Server 2003.
С
дополнительной информацией можно ознакомиться:
• В
блоге Microsoft Security Response
Center приведены ссылки для скачивания обновлений для всех
платформ,
находящихся в зоне риска: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks.
• Эта
же статья на русском языке: https://blogs.windows.com/russia/2017/05/17/customer-guidance-for-wannacrypt-attacks.
• Необходимость
срочных коллективных
действий для сохранения безопасности онлайн: уроки кибератак,
произошедших на
прошлой неделе https://news.microsoft.com/ru-ru/lessons-last-weeks-cyberattack.
Базовые
рекомендации для
защиты
Обращаем
ваше внимание, что за последние годы появилось огромное количество
различных
семейств вирусов-шифровальщиков. Ведущие антивирусные компании считают,
что
этот тренд будет сохраняться в ближайшие годы. Поэтому важно обратить
внимание
на базовые рекомендации и инструменты защиты, которые позволят
значительно
снизить риски дальнейшего заражения:
• Своевременная
установка обновления
закрывает многие векторы атак. В случае с WannaCrypt компьютеры, с
установленными обновлениями не подвержены атаке.
• Регулярность
создания резервных
копий позволит не потерять данные в случае заражения.
• Обычные
компьютеры в сети не должны
иметь возможности соединяться друг с другом без необходимости. В случае
с
WannaCry, данная настройка значительно снизила бы темпы распространения
вируса
внутри корпоративной среды.
• С
учетом того, что другие семейства
шифровальщиков устанавливаются за счет неаккуратных действий со стороны
некоторых пользователей, необходимо постоянно обучать сотрудников
основам
информационной безопасности.
• Необходимо
выводить из эксплуатации
программные продукты, вышедшие из цикла поддержки. Риск успешности
атаки
помогает снижать также своевременное отключение неиспользуемых
протоколов и
других программных интерфейсов. Например, в случае с WannaCrypt помогло
бы
отключение первой версии SMB: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1.
• Несмотря
на то, что антивирусы не
всегда помогают вовремя идентифицировать атаку, все компьютеры должны
быть
снабжены работающим и обновленным антивирусом.
• Дополнительную
информацию по общим
рекомендациям можно найти на странице: https://support.microsoft.com/ru-ru/help/4013550/windows-protect-your-pc-from-ransomware.
Дополнительные
инструменты
защиты
· Cервис
Exchange Advanced Threat
Protection сначала запускает каждое вложение в почте в отдельной
изолированной среде, тем самым выявляя, анализируя и своевременно
реагируя на
атаки повышенной сложности, о которых еще неизвестно антивирусам. Пробная
версия доступна всем пользователям Office 365 в рамках плана Е5
через
панель администрирования.
· Поведенческая
аналитика с помощью
сервиса Windows Defender
Advanced Threat Protection.
Сервис обнаруживает атаки, которым
удалось миновать все другие уровни защиты и дает простой способ
расследования
масштабов вторжения или анализа подозрительного поведения по данным,
собранным
со всех компьютеров, зарегистрированных в организации. Пробная версия: https://www.microsoft.com/ru-ru/windowsforbusiness/windows-atp.
· Operations
Management Suite –
оперативная оценка состояния
инфраструктуры. В частности, с помощью OMS можно настроить
мониторинг
ключевых индикаторов компрометации (изложенных в статье https://habrahabr.ru/company/microsoft/blog/328910).
Пробная версия: https://www.microsoft.com/ru-ru/cloud-platform/operations-management-suite-trial.
· Подробнее
о технологиях обеспечения
безопасности на https://www.microsoft.com/ru-ru/security.