# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Шифровальщики  >  Защита от вымогателя WannaCry – методы предотвращения заражения

## olejah

Вымогатель WannaCry стал необычайно популярен за последние несколько дней. Экспертов поразила скорость распространения этой вредоносной программы. Вымогатель атаковал самые крупные структуры по всему миру, такие как МВД России, китайские университеты, венгерские и испанские телекоммуникационные компании, а также больницы и клиники, управляемые британскими национальными службами здравоохранения. Его требования выкупа поддерживают более двух десятков языков.

Этот вредонос известен под несколькими именами: WCry, WannaCry, WanaCrypt0r, WannaCrypt или Wana Decrypt0r. По данным FortiGuard Labs, он распространяется через предполагаемый эксплойт NSA под названием ETERNALBLUE, который был запущен онлайн в прошлом месяце хакерской группировкой The Shadow Brokers. ETERNALBLUE использует уязвимость в протоколе Message Block 1.0 (SMBv1) сервера Microsoft.

Благодаря активности WannaCry злоумышленники получили с пользователей 42 тысячи долларов. Несмотря на то, что одному программисту удалось на днях найти способ остановить атаку, это представляет собой лишь временное решение. Масштабы распространения вредоноса настолько велики, что InfoWatch представил обзор атаки WannaCry.

По данным «Лаборатории Касперского», за выходные дни (13-14 мая) появились две крупные модификации вымогателя WannaCry. Эксперты полагают, что ни один из этих вариантов не был создан авторами оригинального вымогателя.

Первая из двух упомянутых модификаций зловреда начала распространяться рано утром в воскресенье, приблизительно в 4 часа по московскому времени. «Лаборатория Касперского» сообщила о том, что обнаружила жертв этого варианта вымогателя в России и Бразилии.



Другая модификация, по всей видимости, умеет обходить так называемый киллсвитч (killswitch), который помог остановить первую волну атак. По словам исследователей, этот вариант не получил распространение, возможно, из-за ошибки в коде.

В марте Microsoft выпустила критический патч в бюллетене Microsoft Security Bulletin MS17-010, в нем устранялась уязвимость, используемая WannaCry.

Для противодействия этому вымогателю (защиты от WannaCry, WCry, WannaCrypt, Wana Decrypt0r) пользователям настоятельно рекомендуется выполнить следующие шаги:
Применить патч, опубликованный Microsoft на всех уязвимых узлах сети.Изолировать связь с портами UDP 137/138 и TCP 139/445.Регулярно создавать резервные копии данных. Проверять целостность этих резервных копий.Проверять всю входящую и исходящую электронную почту на предмет наличия вредоносного содержимого.Установить автоматическое проведение регулярных проверок антивирусными программами.Отключить макроскрипты в файлах, передаваемых по электронной почте.
Если ваша организация стала жертвой вымогателя WannaCry, выполните следующие действия:
Немедленно изолируйте зараженные устройства, удалите их из сети как можно скорее, чтобы предотвратить распространение вымогателей на сеть или общие диски.Если ваша сеть была заражена, немедленно отключите все подключенные устройства. Это может обеспечить время для очистки и восстановления данных.Резервные копии данных должны храниться в автономном режиме. Если обнаружено заражение, отсканируйте резервные копии, чтобы убедиться, что они свободны от вредоносного ПО.Немедленно обратитесь в правоохранительные органы, чтобы сообщить о любых событиях, связанных с вымогательством, и получить помощь.

----------

Val_Ery,  *Дeнис*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## mike 1

Шифровальщик WannaCry решительно внес корректировки в выходные дни планы работ ИТ и ИБ специалистов по всему миру. Ключевым вопросом после "что происходит" стал "как защититься от шифровальщика WannaCry". Об этом много написано, но остается вопрос - как защитить инфраструктуру компании и личные компьютеры пользователей от WannaCry быстро и эффективно. В моем понимании это означает автоматизировано. Далее опишу созданный для этих целей набор скриптов WannaCryDefender.




Если убрать шелуху то защита узла от WannaCry сводится к 2 базовым задачам:

*Установка обновлений или экстренных патчей Microsoft И / ИЛИ**Отключение протокола SMB 1*

Если в инфраструктуре нет XP/2003 то достаточно на всех узлах отключить SMB 1. Но далее буду рассматривать сложный вариант инфраструктуры, с зоопарком операционных систем и отсутствием надежных систем централизованного контроля узлов.
Получается такой набор задач:


При установке патчей следует учитывать, что для каждой ОС патч свой. Кроме того, патчи для x86 и x64 версий различаются. 

*Алгоритм защиты*
Исходя из описанной задачи алгоритм выглядит следующим образом:

*Определить версию ОС**Определить разрядность ОС**В зависимости от версии и разрядности ОС выбрать патч**Проверить, установлен ли этот патч в ОС**Если патч не установлен - установить.**В зависимости от версии ОС отключить (или не отключать) SMB 1 тем или иным образом.**Сохранить результаты работы программы**Сохранить результаты установки патча в ОС (eventlog)*

*Реализация:*
Получившийся набор скриптов состоит из:

*WannaCryDefender.bat* - скрипт для запуска в корпоративном домене*WannaCryDefenderLocal.bat* - скрипт для запуска на автономных персональных компьютерах*RunWannaCryDefender.ps1* - дополнительный скрипт для принудительного запуска на всех/части компьютерах домена*EnableSMB1.bat* - дополнительный скрипт для включения SMB 1, на случай проблем с принтерами и сетевыми папками*Distr* - каталог с патчами MS*Logs* - каталог с логами работы скрипта и Eventlog событий установки патчей

*Запуск в доменной инфраструктуре*
Скрипты, патчи и логи размещаются в доступной всем компьютерам сетевой папке. Права для папки Logs на запись а остальное на чтение.

Через GPO настраивается запуск скрипта из сетевой папки на всех компьютерах при их включении.

Для срочного запуска скрипта на всех или части компьютеров используется RunWannaCryDefender.ps1, который берет все компьютеры из нужного юнита AD и запускает на них WannaCryDefender.bat через psexec.

Работу с серверными ОС рекомендую проводить хоть и с использованием скрипта в полу-ручном режиме, с постоянным тестированием работоспособности. Патчи MS от WannaCry, как показала практика, могут приводить к выходу серверных компонент из строя.

После первого запуска скрипта в домене в папке Logs появляются записи по каждому компьютеру об успешном отключении SMB 1 и файлы eventlog событий установки патчей. При повторном запуске скрипта в логах появляется информация о уже установленных на компьютере патчах.

Если остается ощущение что где то остались непропатченые компьютеры, то можно еще пройтись скриптом - сканером от RVision.

*Запуск на автономных компьютерах*
Под автономными компьютерами в данном контексте следует понимать не только корпоративные узлы, не входящие в доменную инфраструктуру, но и личные компьютеры ваших сотрудников, клиентов, родителей и знакомых. Ведь защита от WannaCry нужна всем.

Из набора нужен только скрипт WannaCryDefenderLocal.bat и папка с дистрибутивами. Различия в скрипте от корпоративного только в том, что он сохраняет логи не на сетевую папку, а в свою корневую.
Для запуска на Win 10 папка с дистрибутивами не нужна вовсе, т.к. в данной реализации скрипт на Win 10 только отключает SMB 1.

Для облегчения использования скрипта пользователями сделана максимально простая инструкция: Инструкция по защите компьютера от атак вируса шифровальщика WannaCry 

В конечном счете пользователю отправляется только ссылка на инструкцию, из которой уже он получает ссылку на скрипт.

Если речь идет о внешних компьютерах, подключающихся к корпоративной сети по VPN, то перед подключением пользователи предоставляют результаты работы скрипта (log файлы) как подтверждение защищенности своего компьютера от WannaCry.

*Оригинальные патчи MS*
Если ваша паранойя находится на правильном уровне то вы не будете использовать патчи, которые я разместил в комплекте с скриптами, а скачаете их с сайта MS. Сам бы так сделал. Вот тут есть подборка прямых ссылок. Обращаю внимание что патчи нужно переименовать по шаблону для правильной работы скрипта.

*Скачать*
Версия для доменной инфраструктуры (194 мб)
Версия для личных компьютеров пользователей (120 мб)
Версия без патчей (1 мб)

Буду рад если этот набор скриптов окажется полезен и убережет вас, ваши инфраструктуры и близких от технических потерь и плохого настроения.

*Автор статьи:* Николай Казанцев 
*Ссылка на первоисточник статьи:* http://spbsecurity.blogspot.ru/2017/...yDefender.html

----------

