Как защищаться от атаки вируса-шифровальщика WannaCry

По всему миру прокатилась волна нового вируса-шифровальщика WannaCry (другие названия Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), который зашифровывает документы на компьютере и вымогает 300-600 USD за их декодирование. Как узнать, заражен ли компьютер? Что надо сделать, чтобы не стать жертвой? И что сделать, чтобы вылечиться?

Ошибка длиной в десятилетия

Как выяснилось, проблема была в уязвимости программного кода операционной системы Windows. Ошибка, которую допустили программисты Microsoft еще в прошлом десятилетии, "аукнулась" пользователям лишь сейчас.

Программная уязвимость позволяет вирусу просто сканировать сети на предмет "открытых" компьютеров, после чего внедряться в них и шифровать информацию с целью требования выкупа.

"Особенность данной атаки в том, что пользователю не требовалось кликать ни на какие ссылки или открывать зараженные файлы. Червь работает автоматически — сам сканирует сеть в поисках жертвы, сам проникает на компьютер", — рассказали в компании Cezurity, занимающейся защитой информации.

По данным других экспертов, вирус распространялся через электронную почту в виде вложений, и для его активации требовалось кликнуть по файлу, чтобы запустить вредоносную программу. Хакеры могли использовать оба пути распространения. Поэтому не стоит забывать — получив по почте письмо от незнакомого человека с непонятными прикрепленными файлами, лучше просто удалить его. Пока вы не скачали файл на компьютер и не открыли его — ничего страшного не произошло.

Меры безопасности

Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

  1. Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь.
  2. Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана здесь, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
  3. В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Подробнее про системы эмуляции файлов вы можете прочитать здесь.

Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:

  • Microsoft Windows EternalBlue SMB Remote Code Execution
  • Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
  • Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0144)
  • Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0145)
  • Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0146)
  • Microsoft Windows SMB Information Disclosure (MS17-010: CVE-2017-0147)
Читайте также:  10 причин отказаться от антивирусов в 2020 году

Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry здесь.

Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы. Риск действительно большой!

По материалам сайта

Настройка безопасности ПК от вирусов-шифровальщиков

Чтобы защитить ПК от вирусов-шифровальщиков, необходимо следовать инструкциям.

Кликаем «Win+R» и вводим «».

Откроется редактор локальной групповой политики. Переходим по адресу: «Конфигурация компьютера», «Конфигурация Windows», «Параметры безопасности», «Политика ограниченного использования программ». Открываем файл «Назначенные типы файлов».

Удаляем ярлык LNK.

Далее добавляем нужные расширения файлов. Для этого вводим в поле назначение и жмём «Добавить».

После добавления расширений переходим в папку «Политика ограниченного использования» и далее в «Дополнительные правила».

В папке «Дополнительные правила» жмём правой кнопкой мыши на пустом месте и выбираем «Создать правило для пути».

На диске «D» создаём папку «Install». В диалоговом окне «Создать правило для пути» вводим адрес папки «D:\Install». Ставим неограниченный уровень безопасности, кликаем «Применить» и «ОК».

Теперь вновь создаём новое правило для пути. Только вместо названия ставим * и уровень безопасности назначаем «Запрещено». Кликаем «Применить» и «ОК».

Перезагружаем «ПК».

Теперь запускаем Winrar не ниже третей версии. Кликаем «Параметры» и «Установки».

Переходим во вкладку «Безопасность». Проставляем весь список наших расширений и ставим отметку «Предлагать выбор антивирусного сканера».

Перезагружаем ПК. Теперь ваш компьютер полностью защищён от вирусов-шифровальщиков.

Шифровальщики: что это такое?

Сначала давайте разберемся, о чем идет речь. Шифровальщик (он же вымогатель) — это вредоносная программа, которая тем или иным образом проникает на устройство, после чего зашифровывает все или некоторые файлы и требует выкуп за возможность восстановить доступ к ценной информации.

Зловред может заразить ваш компьютер, например, если вы подключите к устройству незнакомый USB-носитель, откроете вредоносный сайт, запустите вредоносный файл из Интернета или вложение из письма. Кроме того, шифровальщик можно подцепить, даже не делая ничего особенно опасного: иногда достаточно, чтобы ваш компьютер находился в одной сети с уже зараженным. А одна из разновидностей этих зловредов и вовсе маскируется под обновление Windows.

Вымогатели требуют оплаты в биткойнах или другой криптовалюте, так что отследить платеж и найти злоумышленников очень сложно, а иногда и просто невозможно.

Платить или не платить?

Вымогатели обещают вернуть ваши файлы, если вы им заплатите. В действительности же выкуп ничего не гарантирует. Как показало наше исследование, из тех, кто заплатил вымогателям, 20% так и не получили обратно свои файлы.

Вот яркий пример: после того как больница Kansas Heart заплатила выкуп, вымогатели восстановили часть файлов, а затем потребовали еще денег за расшифровку оставшихся.

В среднем за восстановление файлов вымогатели требуют порядка 300 долларов США. Учитывая, что файлы могут и не восстановить, мы рекомендуем хорошенько подумать, прежде чем платить.

Что будет, если я подхвачу шифровальщик?

Готовы ли вы встретить угрозу лицом к лицу? Пройдите наш тест и узнайте:

Как можно защититься? Бесплатные средства защиты от шифровальщиков

Устранить последствия атаки шифровальщика может оказаться очень сложно. Поэтому лучше всего просто не допускать заражения. Не загружайте подозрительные файлы, не переходите по подозрительным ссылкам, не открывайте вложения из писем, которых вы не ждали, и писем от незнакомых отправителей.

Читайте также:  Клонирование диска с установленным на него VMware ESXi

Регулярно делайте резервные копии файлов. В таком случае, даже если на ваш компьютер попадет шифровальщик, вы сможете восстановить файлы, не выплачивая выкуп. Как делать резервные копии, можно узнать из нашего поста про бэкапы.

Пользуйтесь надежными защитными решениями. Бесплатная версия Kaspersky Security Cloud — Free защищает устройства не только от шифровальщиков, но и от множества иных угроз. А утилита Kaspersky Anti-Ransomware Tool for Business, тоже бесплатная, может работать наряду с другими защитными решениями и не конфликтует с ними.

На мое устройство попал шифровальщик. Как восстановить файлы? Бесплатные декрипторы

Бесплатные утилиты для дешифровки можно найти на сайте , который постоянно обновляется. Если там есть подходящий вам декриптор, воспользуйтесь им. Если нет, мы все равно не советуем платить вымогателям. Если есть возможность подождать — не торопитесь и следите за новостями: эксперты по безопасности могут написать новый декриптор именно для того шифровальщика, с которым вы столкнулись.

Тестирование

VeraCrypt необходимо протестировать созданную конфигурацию. Нажимаем кнопку «Test». Появится окно с сообщением о перезагрузке ОС. Соглашаемся:

Скриншот №10. Перезапуск ОС

Переходим в панель управления облачным сервером, подключаемся через web-интерфейс. Система попросит ввести пароль, придуманный на этапе конфигурирования шифрования, а также запросит PIM-код. Мы его не создавали, поэтому просто нажмем «Enter»:

Скриншот №11. Подключение к серверу

Далее гипервизор продолжит конфигурирование операционной системы. Процесс займет максимум 10 минут. По его окончании сервер будет перезагружен. Переподключимся к серверу и увидим сообщение VeraCrypt об успешном окончании тестирования.

Следуя подсказкам мастера, подтверждаем операцию шифрования выбранного системного диска. Процедура длительная и может занимать несколько часов. Администратор в любой момент может выключить сервер, а после включения шифрование продолжится с момента остановки — программа сохраняет процесс в режиме реального времени.

Важно! Выключать оборудование следует только через пункт «По питанию». В противном случае прогресс не сохранится.

Файлы на компьютере зашифрованы в xtbl

Один из последних вариантов вируса-вымогателя шифрует файлы, заменяя их на файлы с расширением .xtbl и именем, состоящим из случайного набора символов.

Заодно на компьютере размещается текстовый файл с примерно следующим содержанием: «Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код на электронный адрес [email protected], [email protected] или [email protected] Далее вы получите все необходимые инструкции. Попытки расшифровать файлы самостоятельно приведут к безвозвратной потере информации» (адрес почты и текст могут отличаться).

К сожалению, способа расшифровать .xtbl на данный момент нет (как только он появится, инструкция будет обновлена). Некоторые пользователи, у которых на компьютере была действительно важная информация, сообщают на антивирусных форумах, что отправили авторам вируса 5000 рублей или другую требуемую сумму и получили дешифратор, однако это очень рискованно: вы можете ничего не получить.

Что делать, если файлы были зашифрованы в .xtbl? Мои рекомендации выглядят следующим образом (но они отличаются от тех, что есть на многих других тематических сайтах, где, например, рекомендуют немедленно выключить компьютер из электросети или не удалять вирус. На мой взгляд — это лишнее, а при некотором стечении обстоятельств может быть даже вредным, однако решать вам.):

  1. Если умеете, прервать процесс шифрования, сняв соответствующие задачи в дисптечере задач, отключив компьютер от Интернета (это может быть необходимым условием шифрования)
  2. Запомнить или записать код, который злоумышленники требуют выслать на электронный адрес (только не в текстовый файл на компьютере, на всякий случай, чтобы он тоже не оказался зашифрован).
  3. С помощью Malwarebytes Antimalware, пробной версии Kaspersky Internet Security или Cure It удалить вирус, шифрующий файлы (все перечисленные инструменты с этим хорошо справляются). Я советую по очереди использовать первый и второй продукт из списка (правда, если у вас установлен антивирус, установка второго «сверху» нежелательна, так как может привести к проблемам в работе компьютера.)
  4. Ожидать, когда появится дешифратор от какой-либо антивирусной компании. В авангарде тут Kaspersky Lab.
  5. Можно так же отправить пример зашифрованного файла и требуемый код на [email protected], если у вас есть копия этого же файла в незашифрованном виде, пришлите ее тоже. В теории, это может ускорить появление дешифратора.
Читайте также:  Как удалить папку в Linux через терминал (консоль)

Чего делать не следует:

  • Переименовывать зашифрованные файлы, менять расширение и удалять их, если они вам важны.

Это, пожалуй, всё, что я могу сказать по поводу зашифрованных файлов с расширением .xtbl на данный момент времени.

Автоматическая блокировка доступа пользователя, зараженного шифровальщиком

Осталось настроить действие, которое FSRM будет выполнять при обнаружении файлов, созданных шифровальщиками. Мы воспользуемся готовым скриптом: Protect your File Server against Ransomware by using FSRM and Powershell (-your-File-Server-f3722fce). Что делает этот скрипт? При попытке записать «запрещенный» тип файла в сетевой каталог, FSRM запускает данный скрипт, который анализирует журнал событий и на уровне шары запрещает запись пользователю, из-под осуществлялась попытка записать запрещенный тип файла. Таким образом, мы заблокируем доступ зараженного пользователя к сетевой папке.

Скачайте указанный скрипт и распакуйте его в корень каталога C:\ на файловом сервере. В эту же папку скопируйте утилиту (нужна для изменения разрешений на сетевой каталог). В каталоге должны оказаться следующие файлы:

Автоматическая блокировка доступа пользователя, зараженного шифровальщиком

Примечание . В PS скрипте пришлось изменить строки:

$SubinaclCmd = «C:\subinacl /verbose=1 /share \\127.0.0.1\» + «$SharePart» + » /deny=» + «$BadUser»

if ($Rule -match «Crypto-Files»)

Осталось в настройках шаблона “Block crypto files” на вкладке Command указать, что должна запуститься командная строка с аргументом :

Run this command or script : c:\windows\system32\

Автоматическая блокировка доступа пользователя, зараженного шифровальщиком

Command arguments : /c “c:\”

Команда должна выполняться с правами локальной системы (Local System ).

Автоматическая блокировка доступа пользователя, зараженного шифровальщиком

Осталось настроить действие, которое FSRM будет выполнять при обнаружении файлов, созданных шифровальщиками. Мы воспользуемся готовым скриптом: Protect your File Server against Ransomware by using FSRM and Powershell (-your-File-Server-f3722fce). Что делает этот скрипт? При попытке записать «запрещенный» тип файла в сетевой каталог, FSRM запускает данный скрипт, который анализирует журнал событий и на уровне шары запрещает запись пользователю, из-под осуществлялась попытка записать запрещенный тип файла. Таким образом, мы заблокируем доступ зараженного пользователя к сетевой папке.

Скачайте указанный скрипт и распакуйте его в корень каталога C:\ на файловом сервере. В эту же папку скопируйте утилиту (нужна для изменения разрешений на сетевой каталог). В каталоге должны оказаться следующие файлы:

Автоматическая блокировка доступа пользователя, зараженного шифровальщиком

Примечание . В PS скрипте пришлось изменить строки:

$SubinaclCmd = «C:\subinacl /verbose=1 /share \\127.0.0.1\» + «$SharePart» + » /deny=» + «$BadUser»

if ($Rule -match «Crypto-Files»)

Осталось в настройках шаблона “Block crypto files” на вкладке Command указать, что должна запуститься командная строка с аргументом :

Run this command or script : c:\windows\system32\

Автоматическая блокировка доступа пользователя, зараженного шифровальщиком

Command arguments : /c “c:\”

Команда должна выполняться с правами локальной системы (Local System ).