Как защититься от атак WannaCry пользователям продуктов для бизнеса
Мы проанализировали информацию о заражениях программой-шифровальщиком WannaCry, с которыми 12 мая 2017 года столкнулись компании по всему миру.
Атака проходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. На зараженную систему устанавливался руткит, с помощью которого злоумышленники запускали программу-шифровальщика.
Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen, а программы-шифровальщики, которые использовались в этой атаке, как:
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- PDM:Trojan.Win32.Generic
- Intrusion.Win.DoublePulsar.a
Для снижения рисков заражения мы рекомендуем компаниям предпринять следующие меры:
- Установите официальный патч от Microsoft, который закрывает уязвимость:
- Убедитесь, что включены защитные решения на всех узлах сети.
- Обновите антивирусные базы всех используемых продуктов «Лаборатории Касперского».
Мы анализируем образцы вредоносного программного обеспечения для установления возможности расшифровки данных.
Подробную информацию об атаках «WannaCry» смотрите в отчете «Лаборатории Касперского».
Как вылечить зараженную сеть с помощью продуктов «Лаборатории Касперского»
Kaspersky Endpoint Security 8/10
- Отключите зараженный хост от корпоративной сети.
- Установите официальный патч от Microsoft:
- Убедитесь, что компонент Мониторинг cистемы и все его модули включены.
- Чтобы узнать, как включить Мониторинг системы, смотрите инструкцию в статье.
- Убедитесь, что включен компонент Защита от сетевых атак.
- Убедитесь, что включен компонент Файловый антивирус.
- Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение.
- Перезагрузите систему после детектирования MEM:Trojan.Win64.EquationDrug.gen.
- Проведите полную проверку устройств.
- Подключите хост обратно к сети.
Kaspersky Security 10 для Windows Server
- Отключите зараженный хост от корпоративной сети.
- Установите официальный патч от Microsoft:
- Убедитесь, что включен компонент Постоянная защита файлов.
- Настройте продукт согласно рекомендациям, чтобы защитить сервер от удаленного шифрования с хостов, у которых есть доступ к сетевым ресурсам сервера.
- Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение.
- Перезагрузите систему после детектирования MEM:Trojan.Win64.EquationDrug.gen.
- Выполните полную проверку устройств.
- Подключите хост обратно к сети.
Антивирус 8.0 для Windows Servers EE
- Отключите зараженный хост от корпоративной сети.
- Установите официальный патч от Microsoft:
- Убедитесь, что включен компонент Постоянная защита файлов.
- Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение.
- Перезагрузите систему после детектирования MEM:Trojan.Win64.EquationDrug.gen.
- Выполните полную проверку устройств.
- Подключите хост к сети.
Как вылечить зараженную сеть, если установлено стороннее защитное решение
Воспользуйтесь бесплатными утилитами «Лаборатории Касперского» для проверки и лечения зараженных компьютеров.
Kaspersky Virus Removal Tool
Локальное выполнение:
- Скачайте и установите утилиту Kaspersky Virus Removal Tool.
- Отключите зараженный хост от корпоративной сети.
- Установите официальный патч от Microsoft:
- Запустите сканирование в Kaspersky Virus Removal Tool. Чтобы узнать, как запустить сканирование, смотрите инструкцию в статье.
- После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
- Выполните полную проверку устройств.
- Подключите хост к сети.
Удаленное выполнение:
- Установите официальный патч от Microsoft:
- Разместите исполняемый файл-утилиту Kaspersky Virus Removal Tool в общедоступной папке.
- Выполните запуск утилиты на удаленном хосте через удаленную командную строку, групповую политику или Kaspersky Security Center с помощью BAT-файла. Используйте команду:
\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%
- где share — имя общедоступной папки.
- После выполнения команды на удаленном хосте будет выполнена проверка без лечения и создан лог работы в каталоге \\share\logs\
- Для выполнения лечения добавьте к команде параметры -adinsilent -processlevel 1
\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%
- После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
Kaspersky Rescue Disk
- Скачайте и установите утилиту Kaspersky Rescue Disk.
- Отключите зараженный хост от корпоративной сети.
- Установите официальный патч от Microsoft:
- Загрузите хост с загрузочного диска Kaspersky Rescue Disk. Чтобы узнать, как создать загрузочный диск Kaspersky Rescue Disk, смотрите инструкцию в статье.
Kaspersky Rescue Disk 10 не работает с RAID-массивами. Подробнее смотрите в системных требованиях программы.
- Запустите сканирование. Чтобы узнать, как запустить сканирование, смотрите инструкцию в статье.
- После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
- Выполните полную проверку, чтобы удалить вредоносное программное обеспечение.
- Подключите хост к сети.
Как избежать заражения сети
Kaspersky Endpoint Security 10
- Установите официальный патч от Microsoft:
- Убедитесь, что компонент Мониторинг системы и все его модули включены.
- Чтобы узнать, как включить Мониторинг системы, смотрите инструкцию в статье.
- Убедитесь, что включен компонент Защита от сетевых атак.
- Убедитесь, что включен компонент Файловый антивирус.
- Обновите антивирусные базы. Чтобы узнать, как обновить базы, смотрите инструкцию в статье.
Kaspersky Security 10 для Windows Server
- Установите официальный патч от Microsoft:
- Убедитесь, что включен компонент Постоянная защита файлов.
- Настройте продукт согласно рекомендациям, чтобы защитить сервер от удаленного шифрования с хостов, у которых есть доступ к сетевым ресурсам сервера.
- Обновите антивирусные базы.
Антивирус 8.0 для Windows Servers EE
- Отключите зараженный хост от корпоративной сети.
- Установите официальный патч от Microsoft:
- Убедитесь, что включен компонент Постоянная защита файлов.
- Обновите антивирусные базы. Чтобы узнать, как обновить базы, смотрите инструкцию в статье.
Как распространить обновления от Microsoft с помощью Kaspersky Security Center
Основной метод
- Загрузите официальный патч от Microsoft:
- Создайте на локальном диске временный каталог и поместите в него загруженные файлы (MSU).
- Создайте BAT-файл во временном каталоге и пропишите в нем команду вида:
wusa.exe "%cd%\updatename.msu" /quiet /warnrestart
-
где updatename — имя файла обновления.
-
Пример команды:
wusa.exe "%cd%\kb4012212-x64.msu" /quiet /warnrestart
- Данная команда устанавливает обновления без отображения процесса: она выводит запрос на перезагрузку и дает минуту на сохранение открытых файлов. Отказаться от перезагрузки нельзя.
Если прописать forcerestart вместо warnrestart, компьютер сразу перезагрузится, а открытые программы закроются с потерей данных.
Eсли команду запустить на компьютере, где обновление уже установлено или, наоборот, не может быть установлено из-за проблем совместимости, последствий не будет.
- Перейдите в раздел Удаленная установка\Инсталляционные пакеты и выберите опцию Создать инсталляционный пакет для программы, указанной пользователем.
- Создайте инсталляционный пакет, который будет вызывать созданный BAT-файл. При этом обязательно установите флажок Копировать всю папку в инсталляционный пакет, чтобы MSU-файлы были включены в пакет.
В BAT-файле вы можете указать установку нескольких обновлений и поместить их во временный каталог, при этом размер инсталляционного пакета увеличится.
- Установите инсталляционный пакет на компьютер привычным способом:
- В контекстном меню группы устройств выберите Установить программу и запустите установку.
- В разделе Управляемые ПК выберите корень списка или определенную группу, перейдите на вкладку Задачи и создайте задачу по установке.
- Установите пакет локально на каждое устройство.
Альтернативный метод
Условия работы:
- Наличие расширенной лицензии на продукт.
- Использование задачи Поиска уязвимостей и обновлений для ПО Microsoft. Подробную информацию смотрите в статье.
Выполнение:
- Перейдите в раздел Дополнительно → Управление программами → Обновление.
- Найдите необходимое обновление Microsoft в строке поиска .
- Выберите Установить обновление в контекстном меню обновления .
- Выполните установку на необходимые хосты.
Как безопасно включить хосты, если обновления от Microsoft не установлены
Для безопасного включения компьютеров:
- Отключите компьютер от сети организации (отключите сетевой кабель).
- Отключите службу Сервер в настройках сервисов. Для этого в выпадающем списке Тип запуска выберите Отключена → ОК.
- Подключите сетевой шнур и обновите операционную систему.
Убедитесь, что система больше не предлагает установить обновления и перезагрузить компьютер.
- Включите службу Сервер.
- Убедитесь, что в Kaspersky Endpoint Security включены компоненты:
- Файловый антивирус;
- Мониторинг системы;
- Защита от сетевых атак.