Fortinet: как защитить организации от WCry Ransomware

Программы вымогатели стали самой быстрорастущей угрозой вредоносного ПО, ориентированной на всех, от домашних пользователей до систем здравоохранения и корпоративных сетей. Анализ отслеживания показал, что с 1 января 2016 года ежедневно совершалось в среднем более 4000 нападений с целью выкупа.

12 мая FortiGuard Labs начала отслеживать новый вариант ransomware, который быстро распространился в течение дня. Этим вирусом были поражены самые крупные структуры по всему миру такие, как МВД России, китайские университеты, венгерские и испанские телекоммуникационные компании, а также больницы и клиники, управляемые британскими национальными службами здравоохранения. Его требования выкупа поддерживают более двух десятков языков.

Эта программа-вымогатель носит несколько названий: WCry, WannaCry, WanaCrypt0r, WannaCrypt или Wana Decrypt0r. Она распространяется через предполагаемый эксплойт NSA под названием ETERNALBLUE, который был запущен онлайн в прошлом месяце хакерской группировкой The Shadow Brokers. ETERNALBLUE использует уязвимость в протоколе Message Block 1.0 (SMBv1) сервера Microsoft.

Microsoft выпустила критический патч для этой уязвимости в марте в бюллетене Microsoft Security Bulletin MS17-010. В том же месяце Fortinet выпустила сигнатуру IPS для обнаружения и блокирования этой уязвимости. 12 мая были также выпущены новые сигнатуры AV, чтобы также обнаружить и остановить эту атаку. Стороннее тестирование подтверждает, что Fortinet Anti-Virus и FortiSandbox эффективно блокируют это вредоносное ПО.

Fortinet рекомендует всем клиентам выполнить следующие действия: применить патч, опубликованный Microsoft на всех уязвимых узлах сети; убедиться, что сигнатуры Fortinet AV и IPS, а также механизмы веб-фильтрации включены, чтобы предотвратить загрузку вредоносного ПО, и чтобы веб-фильтрация блокировала связь с серверами команд и контроля; изолировать связь с портами UDP 137/138 и TCP 139/445.

Также рекомендуется пользователям и организациям принять следующие предупредительные меры:

• установите регулярную процедуру для исправления операционных систем, программного обеспечения и прошивки на всех устройствах. Для крупных организаций с большим количеством развернутых устройств рассмотрите возможность внедрения централизованной системы управления исправлениями;
• разверните технологии IPS, AV и Web Filtering и обновите их;
• регулярно создавайте резервные копии данных. Проверьте целостность этих резервных копий, зашифруйте их и протестируйте процесс восстановления, чтобы убедиться, что он работает правильно;
• проверять всю входящую и исходящую электронную почту для обнаружения угроз и профильтруйте исполняемые файлы от конечных пользователей;
• установите автоматическое проведение регулярных проверок антивирусными программами;
• отключите макро скрипты в файлах, передаваемых по электронной почте;
• создайте стратегию обеспечения непрерывности бизнеса и реагирования на инциденты и проводить регулярные оценки уязвимости.

Если ваша организация пострадала от вымогательства, выполните следующие действия: немедленно изолируйте зараженные устройства, удалите их из сети как можно скорее, чтобы предотвратить распространение вымогателей на сеть или общие диски; если ваша сеть была заражена, немедленно отключите все подключенные устройства (это может обеспечить время для очистки и восстановления данных; резервные копии данных должны храниться в автономном режиме (если обнаружено заражение, отсканируйте резервные копии, чтобы убедиться, что они свободны от вредоносного ПО); немедленно обратитесь в правоохранительные органы, чтобы сообщить о любых событиях, связанных с вымогательством, и получить помощь.