16 мая 2017 г.
Начиная с пятницы масштабная атака с требованием выкупа под названием WannaCry инфицировала компьютерные системы в 150 странах, сообщает BBC. По оценке фирмы кибербезопасности Kaspersky Lab, от атаки пострадали не менее 200 тысяч компьютеров — главным образом организации в секторе здравоохранения и компании телекоммуникационных услуг. За разблокирование атакующие требуют выкуп в биткоинах в размере 300 долл.
Специалисты кибербезопасности дают совет, как защититься от атаки WannaCry. Вот те основные шаги, которые нужно предпринять.
Установить обновления!
Первое, что необходимо сделать, это немедленно установить все обновления на системы с Windows, говорит фирма кибербезопасности Cybereason. В марте Microsoft выпустила патч для уязвимости «Eternalblue», ведущей свое происхождение из Агентства национальной безопасности США (NSA), которая, по-видимому, и используется вирусом WannaCry.
В частности, вирус использует дефект в блоке серверных сообщений (SMB) в Windows, который может разрешить удаленное выполнение кода, говорит Cylance. Организации, не установившие своевременно обновления или использующие устаревшие версии операционной системы, в частности, Windows XP, будут подвержены атаке, если не установят все обновления, говорит Cylance.
Microsoft в виде особого исключения уже выпустила специальный патч для Windows XP, блокирующий атаку WannaCry.
Специалисты кибербезопасности говорят также, что помимо установки патчей в операционную систему организациям следует установить обновления на используемые ими сторонние приложения, чтобы надежнее защититься от атаки.
Сохраняйте резервные копии
Всегда говорилось, что организациям следует регулярно обновлять резервные копии своих файлов, и эти резервные копии должны храниться на устройствах, не имеющих постоянного подключения к компьютерам в локальной сети, говорит Kaspersky Lab. Если есть текущие резервные копии, то «заражение шифровальщиком не станет катастрофой», говорят специалисты. «Вы можете потратить несколько часов на переустановку операционной системы и приложений, а потом восстановить свои файлы и продолжить работу».
Межсетевой экран + защищенная почта
Фирма KnowBe4, которая обучает мерам кибербезопасности, напоминает, что организациям следует проверить конфигурацию межсетевого экрана, обеспечив, что даже если вредоносное ПО проникнет в локальную сеть, его исходящий трафик будет блокирован. Кроме того, следует также отключить блок серверных сообщений SMB1 (Server Message Block), в котором и содержится используемая уязвимость), пишет фирма.
Организации могут также уменьшить риск инфицирования, установив шлюз защиты электронной почты, который фильтрует URL-адреса, пишет KnowBe4.
Обнаружить, удалить и переустановить
Есть инструменты для обнаружения программ-вымогателей как на самих клиентских системах, так и при попытках распространения в локальной сети. Некоторые инструменты могут также автоматически предотвратить шифрование файлов. Если инфицирование шифровальщиком всё же произошло, следует полностью стереть с жесткого диска (или SSD) всё содержимое и заново переустановить из образа на «голом железе», говорит KnowBe4. (Образ должен быть предварительно сохранен.)
Обучайте пользователей!
Специалисты кибербезопасности напоминают, что атаки с требованием выкупа распространяются во многом так же, как и другие кибератаки, — посредством фишинга через почту, инфицированных баннеров и методами «социальной инженерии». Ответственные за безопасность в организациях должны подчеркнуть (или вновь напомнить), что нельзя трогать непонятные ссылки, вложения в почте и подозрительные исполнимые (.exe) файлы, пишет Cybereason. Не лишним был бы также специальный тренинг для сотрудников, моделирующий типичные приемы социальной инженерии, говорит KnowBe4.
© 2017. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Кайл Олспак, CRN/США