WannaCry: Эпидемия шифровальщика

22. 05. 2017
12 мая была обнаружена масштабная атака вымогателя WannaCryptor (WannaCry), который шифрует все данные на ПК и ноутбуках под управлением ОС Windows. О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего WannaCry был обнаружен в 74 странах. 
 
Немного теории. WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло. WannaCry шифрует файлы различных типов, среди которых офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY и становятся полностью нечитаемыми. После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. В итоге все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. 

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его. Поэтому первым делом нужно закрыть уязвимость в операционной системе. Для этого ваши системные администраторы должны:
  • Установить патч от Microsoft. Он доступен не только для Windows 10, но и для более ранних версий системы — Windows 8, 7, Vista, а также Windows XP и Server. Этот патч закрывает уязвимость, через которую шифровальщик распространяется по локальной сети.
  • Если накатить патч по каким-либо причинам невозможно, следует закрыть порт 445 при помощи файервола. Это позволит заблокировать сетевую атаку червя и предотвратит заражение. Однако это временная мера, целесообразная только в том случае, если эпидемия уже добралась до вашей сети. Закрытие этого порта приведет к неработоспособности некоторых критически важных сетевых сервисов.
  • Убедиться, что на всех машинах в вашей сети стоят защитные решения. 
  • Воспользоваться бесплатной утилитой Kaspersky Anti-Ransomware Tool, которая надежно защищает от заражения шифровальщиками. Ее можно использовать, даже если на устройстве установлено антивирусное ПО другого производителя – она совместима с большинством современных защитных решений разных вендоров и не мешает их работе.
Если у вас уже стоят защитные решения «Лаборатории Касперского» рекомендовано предпринять несколько превентивных защитных шагов:
  • Еще раз убедиться в том что у вас установлен патч от Microsoft
  • Убедиться в том, что в вашей версии защитного решения есть инструмент проактивного поведенческого детектирования, System Watcher. А также проверить, что он включен
  • Если в вашей сети были случаи заражения — нелишне запустить «задачу сканирования критических областей». 
  • Если сканирование выявит угрозу MEM: Trojan.WinEquationDrug.gen — перезагрузить компьютер