Common articles: Общие статьи

Как защититься от атак WannaCry пользователям продуктов для бизнеса

Статья обновлена: 2019 сен 27 ID: 13698

Мы проанализировали информацию о заражениях программой-шифровальщиком WannaCry, с которыми 12 мая 2017 года столкнулись компании по всему миру.

Атака проходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. На зараженную систему устанавливался руткит, с помощью которого злоумышленники запускали программу-шифровальщика.

Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen, а программы-шифровальщики, которые использовались в этой атаке, как:

Trojan-Ransom.Win32.Scatter.uf
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Fury.fr
Trojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32.Wanna.f
Trojan-Ransom.Win32.Zapchast.i
Trojan.Win64.EquationDrug.gen
PDM:Trojan.Win32.Generic
Intrusion.Win.DoublePulsar.a

Для снижения рисков заражения мы рекомендуем компаниям предпринять следующие меры:

Установите официальный патч от Microsoft, который закрывает уязвимость:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Убедитесь, что включены защитные решения на всех узлах сети.
Обновите антивирусные базы всех используемых продуктов «Лаборатории Касперского».

Мы анализируем образцы вредоносного программного обеспечения для установления возможности расшифровки данных.
Подробную информацию об атаках «WannaCry» смотрите в отчете «Лаборатории Касперского».

Как вылечить зараженную сеть с помощью продуктов «Лаборатории Касперского»

Kaspersky Endpoint Security 8/10

Отключите зараженный хост от корпоративной сети.
Установите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Убедитесь, что компонент Мониторинг cистемы и все его модули включены.

Картинка: Как включить Мониторинг сети

Чтобы узнать, как включить Мониторинг системы, смотрите инструкцию в статье.

Убедитесь, что включен компонент Защита от сетевых атак.
Убедитесь, что включен компонент Файловый антивирус.
Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение.
Перезагрузите систему после детектирования MEM:Trojan.Win64.EquationDrug.gen.
Проведите полную проверку устройств.
Подключите хост обратно к сети.

Kaspersky Security 10 для Windows Server

Отключите зараженный хост от корпоративной сети.
Установите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Убедитесь, что включен компонент Постоянная защита файлов.
Настройте продукт согласно рекомендациям, чтобы защитить сервер от удаленного шифрования с хостов, у которых есть доступ к сетевым ресурсам сервера.
Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение.
Перезагрузите систему после детектирования MEM:Trojan.Win64.EquationDrug.gen.
Выполните полную проверку устройств.
Подключите хост обратно к сети.

Антивирус 8.0 для Windows Servers EE

Отключите зараженный хост от корпоративной сети.
Установите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Убедитесь, что включен компонент Постоянная защита файлов.
Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение.
Перезагрузите систему после детектирования MEM:Trojan.Win64.EquationDrug.gen.
Выполните полную проверку устройств.
Подключите хост к сети.

Как вылечить зараженную сеть, если установлено стороннее защитное решение

Воспользуйтесь бесплатными утилитами «Лаборатории Касперского» для проверки и лечения зараженных компьютеров.

Kaspersky Virus Removal Tool

Локальное выполнение:

Скачайте и установите утилиту Kaspersky Virus Removal Tool.
Отключите зараженный хост от корпоративной сети.
Установите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Запустите сканирование в Kaspersky Virus Removal Tool. Чтобы узнать, как запустить сканирование, смотрите инструкцию в статье.
После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
Выполните полную проверку устройств.
Подключите хост к сети.

Удаленное выполнение:

Установите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Разместите исполняемый файл-утилиту Kaspersky Virus Removal Tool в общедоступной папке.
Выполните запуск утилиты на удаленном хосте через удаленную командную строку, групповую политику или Kaspersky Security Center с помощью BAT-файла. Используйте команду:

\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

где share — имя общедоступной папки.
После выполнения команды на удаленном хосте будет выполнена проверка без лечения и создан лог работы в каталоге \\share\logs\

Для выполнения лечения добавьте к команде параметры -adinsilent -processlevel 1

\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.

Kaspersky Rescue Disk

Скачайте и установите утилиту Kaspersky Rescue Disk.
Отключите зараженный хост от корпоративной сети.
Установите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Загрузите хост с загрузочного диска Kaspersky Rescue Disk. Чтобы узнать, как создать загрузочный диск Kaspersky Rescue Disk, смотрите инструкцию в статье.

Kaspersky Rescue Disk 10 не работает с RAID-массивами. Подробнее смотрите в системных требованиях программы.

Запустите сканирование. Чтобы узнать, как запустить сканирование, смотрите инструкцию в статье.
После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
Выполните полную проверку, чтобы удалить вредоносное программное обеспечение.
Подключите хост к сети.

Как избежать заражения сети

Kaspersky Endpoint Security 10

Установите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Убедитесь, что компонент Мониторинг системы и все его модули включены.

Картинка: Как включить Мониторинг сети

Чтобы узнать, как включить Мониторинг системы, смотрите инструкцию в статье.

Убедитесь, что включен компонент Защита от сетевых атак.
Убедитесь, что включен компонент Файловый антивирус.
Обновите антивирусные базы. Чтобы узнать, как обновить базы, смотрите инструкцию в статье.

Kaspersky Security 10 для Windows Server

Установите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Убедитесь, что включен компонент Постоянная защита файлов.
Настройте продукт согласно рекомендациям, чтобы защитить сервер от удаленного шифрования с хостов, у которых есть доступ к сетевым ресурсам сервера.
Обновите антивирусные базы.

Антивирус 8.0 для Windows Servers EE

Отключите зараженный хост от корпоративной сети.
Установите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Убедитесь, что включен компонент Постоянная защита файлов.
Обновите антивирусные базы. Чтобы узнать, как обновить базы, смотрите инструкцию в статье.

Как распространить обновления от Microsoft с помощью Kaspersky Security Center

Для распространения обновлений от Microsoft с помощью Kaspersky Security Center воспользуйтесь одним из методов:

Основной метод

Загрузите официальный патч от Microsoft:
- Для поддерживаемых ОС .
- Для устаревших ОС .
Создайте на локальном диске временный каталог и поместите в него загруженные файлы (MSU).
Создайте BAT-файл во временном каталоге и пропишите в нем команду вида:

wusa.exe "%cd%\updatename.msu" /quiet /warnrestart

где updatename — имя файла обновления.
Пример команды:

wusa.exe "%cd%\kb4012212-x64.msu" /quiet /warnrestart

Данная команда устанавливает обновления без отображения процесса: она выводит запрос на перезагрузку и дает минуту на сохранение открытых файлов. Отказаться от перезагрузки нельзя.
Если прописать forcerestart вместо warnrestart, компьютер сразу перезагрузится, а открытые программы закроются с потерей данных.

Eсли команду запустить на компьютере, где обновление уже установлено или, наоборот, не может быть установлено из-за проблем совместимости, последствий не будет.

Перейдите в раздел Удаленная установка\Инсталляционные пакеты и выберите опцию Создать инсталляционный пакет для программы, указанной пользователем.

Картинка: Создание инсталляционного пакета в KSC

Создайте инсталляционный пакет, который будет вызывать созданный BAT-файл. При этом обязательно установите флажок Копировать всю папку в инсталляционный пакет, чтобы MSU-файлы были включены в пакет.

В BAT-файле вы можете указать установку нескольких обновлений и поместить их во временный каталог, при этом размер инсталляционного пакета увеличится.

Установите инсталляционный пакет на компьютер привычным способом:
- В контекстном меню группы устройств выберите Установить программу и запустите установку.
- В разделе Управляемые ПК выберите корень списка или определенную группу, перейдите на вкладку Задачи и создайте задачу по установке.
- Установите пакет локально на каждое устройство.

Альтернативный метод

Условия работы:

Наличие расширенной лицензии на продукт.
Использование задачи Поиска уязвимостей и обновлений для ПО Microsoft. Подробную информацию смотрите в статье.

Выполнение:

Перейдите в раздел Дополнительно → Управление программами → Обновление.
Найдите необходимое обновление Microsoft в строке поиска .
Выберите Установить обновление в контекстном меню обновления .
Выполните установку на необходимые хосты.

Как безопасно включить хосты, если обновления от Microsoft не установлены

Была ли информация полезна?

Да Нет

Полезные ссылки:

Как защититься от атак WannaCry пользователям домашних продуктов
Защитные решения от программ-шифровальщиков
WannaCry: Что делать бизнесу?
Эпидемия шифровальщика WannaCry: что произошло и как защититься

Common articles: Общие статьи

Как защититься от атак WannaCry пользователям продуктов для бизнеса