Программы вымогатели стали самой быстрорастущей угрозой вредоносного ПО, ориентированной на всех, от домашних пользователей до систем здравоохранения и корпоративных сетей. Анализ отслеживания показывает, что с 1 января 2016 года ежедневно совершалось в среднем более 4000 нападений с целью выкупа.
12 мая FortiGuard Labs начала отслеживать новый вариант ransomware, который быстро распространился в течение дня. Этим вирусом были поражены самые крупные структуры по всему миру такие, как МВД России, китайские университеты, венгерские и испанские телекоммуникационные компании, а также больницы и клиники, управляемые британскими национальными службами здравоохранения. Его требования выкупа поддерживают более двух десятков языков.
Эта программа-вымогатель носит несколько названий: WCry, WannaCry, WanaCrypt0r, WannaCrypt или Wana Decrypt0r. Она распространяется через предполагаемый эксплойт NSA под названием ETERNALBLUE, который был запущен онлайн в прошлом месяце хакерской группировкой The Shadow Brokers. ETERNALBLUE использует уязвимость в протоколе Message Block 1.0 (SMBv1) сервера Microsoft.
Microsoft выпустила критический патч для этой уязвимости в марте в бюллетене Microsoft Security Bulletin MS17-010. В том же месяце Fortinet выпустила сигнатуру IPS для обнаружения и блокирования этой уязвимости. 12 мая были также выпущены новые сигнатуры AV, чтобы также обнаружить и остановить эту атаку. Стороннее тестирование подтверждает, что Fortinet Anti-Virus и FortiSandbox эффективно блокируют это вредоносное ПО.
Fortinet настоятельно рекомендует всем клиентам выполнить следующие действия:
-
Применить патч, опубликованный Microsoft на всех уязвимых узлах сети.
-
Убедиться, что сигнатуры Fortinet AV и IPS, а также механизмы веб-фильтрации включены, чтобы предотвратить загрузку вредоносного ПО, и чтобы веб-фильтрация блокировала связь с серверами команд и контроля.
- Изолировать связь с портами UDP 137/138 и TCP 139/445.
Fortinet также рекомендует пользователям и организациям принять следующие предупредительные меры:
-
Установите регулярную процедуру для исправления операционных систем, программного обеспечения и прошивки на всех устройствах. Для крупных организаций с большим количеством развернутых устройств рассмотрите возможность внедрения централизованной системы управления исправлениями.
-
Разверните технологии IPS, AV и Web Filtering и обновите их.
-
Регулярно создавайте резервные копии данных. Проверьте целостность этих резервных копий, зашифруйте их и протестируйте процесс восстановления, чтобы убедиться, что он работает правильно.
-
Проверяйте всю входящую и исходящую электронную почту для обнаружения угроз и профильтруйте исполняемые файлы от конечных пользователей.
-
Установите автоматическое проведение регулярных проверок антивирусными программами.
-
Отключите макро скрипты в файлах, передаваемых по электронной почте.
-
Создайте стратегию обеспечения непрерывности бизнеса и реагирования на инциденты и проводить регулярные оценки уязвимости.
Если ваша организация пострадала от вымогательства, выполните следующие действия:
-
Немедленно изолируйте зараженные устройства, удалите их из сети как можно скорее, чтобы предотвратить распространение вымогателей на сеть или общие диски.
-
Если ваша сеть была заражена, немедленно отключите все подключенные устройства. Это может обеспечить время для очистки и восстановления данных.
-
Резервные копии данных должны храниться в автономном режиме. Если обнаружено заражение, отсканируйте резервные копии, чтобы убедиться, что они свободны от вредоносного ПО.
-
Немедленно обратитесь в правоохранительные органы, чтобы сообщить о любых событиях, связанных с вымогательством, и получить помощь.
