Вечером 12 мая появилась информация об атаках хакеров на сети российских телекоммуникационных компаний. Эксперты «Информзащиты» подготовили рекомендации для защиты от вируса-шифровальщика семейства WannaCry.
Превентивные меры:
- заблокировать сетевой доступ из сети Интернет в ЛВС по портам UDP 137, 138 и TCP 139, 445. Предварительно необходимо убедиться, что данная блокировка не нарушит критичные бизнес-процессы организации;
- до момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам UDP 137, 138 и TCP 139, 445. Данная мера позволит снизить риск распространения вредоносного ПО WannaCry внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации;
- установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно по ссылке;
- в случае невозможности установки обновлений безопасности (см. п. 3) — отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах в соответствии с инструкцией;
- убедиться, что на всех рабочих станциях и серверах установлено антивирусное ПО, и базы сигнатур обновлены до последней версии;
- на серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО), обязательно включив в список файлы со следующими расширениями: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc; также рекомендуется включить все файлы баз данных и иные критичные для организации файлы, не перечисленные выше.
На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам: Windows XP SP3; Windows Server 2003×86; Windows Server 2003×64.
Рекомендации по факту заражения:
- отключить зараженную машину от сети;
- в случае наличия резервной копии данных — произвести удаление вредоносного ПО средствами антивируса;
- установить обновление безопасности Windows KB4013389;
- произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера;
- восстановить данные из резервной копии.