15 мая 2017

WannaCry: Что делать бизнесу?

Бизнес

Эпидемия трояна-шифровальщика WannaCry накрыла практически весь мир. Что это такое, как оно распространяется и чем опасно, хорошо описано вот в этом посте. Мы же перейдем сразу к советам.

Для встраиваемых систем WannaCry представляет особую опасность

Что мне делать прямо сейчас?!

Основная причина столь масштабной эпидемии — метод распространения троянца при помощи эксплойта: заразив один компьютер, он пытается добраться до всех остальных машин в локальной сети. Поэтому первым делом нужно закрыть уязвимость в операционной системе. Для этого ваши системные администраторы должны:

  • Установить патч от Microsoft. Он доступен не только для Windows 10, но и для более ранних версий системы — Windows 8, 7, Vista, а также Windows XP и Server Этот патч закрывает уязвимость, через которую шифровальщик распространяется по локальной сети.
  • Если накатить патч по каким-либо причинам невозможно, следует закрыть порт 445 при помощи файервола. Это позволит заблокировать сетевую атаку червя и предотвратит заражение. Однако это нельзя считать панацеей — это временная мера, целесообразная только в том случае, если эпидемия уже добралась до вашей сети. Закрытие этого порта приведет к неработоспособности некоторых критически важных сетевых сервисов.
  • Убедиться, что на всех машинах в вашей сети стоят защитные решения. Это важно: если вы не успели поставить патчи везде и не закрыли порт 445, то один зараженный компьютер может заразить все остальные.
  • Воспользоваться бесплатной утилитой Kaspersky Anti-Ransomware Tool, которая надежно защищает от заражения шифровальщиками. Ее можно использовать, даже если на устройстве установлено антивирусное ПО другого производителя – она совместима с большинством современных защитных решений разных вендоров и не мешает их работе.

Если у вас уже стоят защитные решения «Лаборатории Касперского»

В целом ваши компьютеры уже защищены от шифровальщиков, в том числе и от WannaCry. Однако мы рекомендуем предпринять несколько превентивных защитных шагов.

  • Еще раз убедиться в том что у вас установлен патч от Microsoft.
  • Убедиться в том, что в вашей версии защитного решения есть инструмент проактивного поведенческого детектирования, System Watcher. А также проверить, что он включен. Как именно проверить это – можно посмотреть вот тут.
  • Если в вашей сети были случаи заражения — нелишне запустить «задачу сканирования критических областей». Разумеется, эта задача запустится и автоматически, однако чем раньше получится обезвредить угрозу, тем лучше. Дело в том, что теоретически вредонос мог уже проникнуть на машину, но еще не приступить к шифрованию.
  • Если сканирование выявит угрозу MEM: Trojan.WinEquationDrug.gen — перезагрузить компьютер.

Если в вашей инфраструктуре работают embedded-системы

Для встраиваемых систем WannaCry представляет особую опасность. И в первую очередь потому, что защите этих систем традиционно уделяется гораздо меньше внимания. Если в банкоматы и платежных терминалы ставятся какие-то решения, обеспечивающие кибербезопасность, то о информационных терминалах и табло чаще всего забывают. Разумеется, никто не будет платить выкуп за восстановление данных с такой машины, но расходы на то, чтобы привести ее обратно в рабочий вид, могут влететь в копеечку – особенно если у вас сотни таких устройств.

Для защиты embedded-систем логичнее применять решения, позволяющие работать в режиме Default Deny (запрет по умолчанию). В частности, специально для защиты таких встраиваемого оборудования мы рекомендуем использовать Kaspersky Embedded Systems Security — неприхотливое в плане ресурсоемкости и при этом эффективное решение.