Как защититься от вирусных атак WannaCry пользователям продуктов для бизнеса. Рекомендации ТП Лаборатории Касперского

Мы проанализировали информацию о заражениях программой-шифровальщиком, получившей название «WannaCry», с которыми 12 мая 2017 года столкнулись компании по всему миру.

Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, с помощью которого злоумышленники запускали программу-шифровальщик.

Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen, а программы-шифровальщики, которые использовались в этой атаке, как:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • PDM:Trojan.Win32.Generic (для детектирования компонент Мониторинг системы должен быть включен)
  • Intrusion.Win.DoublePulsar.a (для детектирования компонент Защита от сетевых атак должен быть включен).

Для снижения рисков заражения мы рекомендуем компаниям предпринять следующие меры:

  1. Установите официальный патч от Microsoft, который закрывает используемую в атаке уязвимость:
  2. Убедитесь, что включены защитные решения на всех узлах сети.
  3. Обновите базы всех используемых продуктов «Лаборатории Касперского».

Подробные инструкции для решений «Лаборатории Касперского» смотрите в разделе Как избежать заражения сети.

Наши эксперты анализируют образцы вредоносного ПО для установления возможности расшифровки данных.

Более подробную информацию об атаках «WannaCry» вы можете найти в отчете «Лаборатории Касперского».

 

Как вылечить зараженную сеть, если установлено решение «Лаборатории Касперского»

Kaspersky Endpoint Security 8/10:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что компонент Мониторинг cистемы и все его модули включены:

Картинка: Как включить Мониторинг сети

  1. Если вы не знаете, как включить Мониторинг системы, смотрите инструкцию в статье.
  1. Убедитесь, что включен компонент Защита от сетевых атак.
  2. Убедитесь, что включен компонент Файловый антивирус.
  3. Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение как можно раньше.
  4. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  5. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  6. Подключите хост к сети.

Kaspersky Security 10 для Windows Server:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Постоянная защита файлов.
  4. Настройте продукт согласно рекомендациям из статьи — данные рекомендации позволят защитить сервер от удаленного шифрования с хостов, у которых есть доступ к сетевым ресурсам сервера.
  5. Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение как можно раньше.
  6. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  7. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  8. Подключите хост к сети.

Антивирус 8.0 для Windows Servers EE:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Постоянная защита файлов.
  4. Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение как можно раньше.
  5. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  6. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  7. Подключите хост к сети.

Антивирус Касперского 6.0 R2 для Windows Workstations:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Файловый антивирус.
  4. Убедитесь, что включен компонент Анти-Хакер.
  5. Запустите задачу Полная проверка, чтобы обнаружить возможное заражение как можно раньше.
  6. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  7. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  8. Подключите хост к сети.

 

Как вылечить зараженную сеть, если установлено стороннее защитное решение

Воспользуйтесь бесплатными программами «Лаборатории Касперского» для проверки и лечения зараженных компьютеров.

Использование Kaspersky Virus Removal Tool

Локальное выполнение:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Запустите задачу сканирования в Kaspersky Virus Removal Tool. Если вы не знаете, как запустить сканирование, смотрите инструкцию в статье.
  4. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  5. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  6. Подключите хост к сети.

Удаленное выполнение:

  1. Установите официальный патч от Microsoft:
  2. Разместите исполняемый файл-утилиту Kaspersky Virus Removal Tool в общедоступной папке.
  3. Выполните запуск утилиты на удаленном хосте (через удаленную командную строку, групповую политику или Kaspersky Security Center с помощью BAT-файла) командой:

\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

  1. share — имя общедоступной папки.
  2. После выполнения данной команды на удаленном хосте будет выполнена проверка БЕЗ лечения и создан лог работы в каталоге \\share\logs\
  1. Для выполнения лечения добавьте к команде параметры -adinsilent -processlevel 1

\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

  1. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.

Использование Kaspersky Rescue Disk

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Загрузите хост с загрузочного диска Kaspersky Rescue Disk. Если вы не знаете, как создать загрузочный диск Kaspersky Rescue Disk, смотрите инструкцию в статье.

Kaspersky Rescue Disk 10 не работает с RAID-массивами. Подробнее смотрите в системных требованиях к программе.

  1. Запустите задачу сканирования. Если вы не знаете, как запустить сканирование, смотрите инструкцию в статье.
  2. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
  3. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
  4. Подключите хост к сети.

 

Как избежать заражения сети

Kaspersky Endpoint Security 8/10:

  1. Установите официальный патч от Microsoft:
  2. Убедитесь, что компонент Мониторинг системы и все его модули включены:

Картинка: Как включить Мониторинг сети

  1. Если вы не знаете, как включить Мониторинг системы, смотрите инструкцию в статье.
  1. Убедитесь, что включен компонент Защита от сетевых атак.
  2. Убедитесь, что включен компонент Файловый антивирус.
  3. Обновите антивирусные базы. Если вы не знаете, как обновить базы, смотрите инструкцию в статье.

Kaspersky Security 10 для Windows Server:

  1. Установите официальный патч от Microsoft:
  2. Убедитесь, что включен компонент Постоянная защита файлов.
  3. Настройте продукт согласно рекомендациям из статьи — данные рекомендации позволят защитить сервер от удаленного шифрования с хостов, у которых есть доступ к сетевым ресурсам сервера.
  4. Обновите антивирусные базы.

Антивирус 8.0 для Windows Servers EE:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Постоянная защита файлов.
  4. Обновите антивирусные базы. Если вы не знаете, как обновить базы, смотрите инструкцию в статье.

Антивирус Касперского 6.0 R2 для Windows Workstations:

  1. Отключите зараженный хост от корпоративной сети.
  2. Установите официальный патч от Microsoft:
  3. Убедитесь, что включен компонент Файловый антивирус.
  4. Убедитесь, что включен компонент Анти-Хакер.
  5. Обновите антивирусные базы.

 

Как распространить обновления от Microsoft с помощью Kaspersky Security Center

Для распространения обновлений от Microsoft с помощью Kaspersky Security Center воспользуйтесь одним из методов:

Основной метод

  1. Загрузите необходимые обновления с ресурсов Microsoft:
  2. Создайте на локальном диске временный каталог и поместите туда загруженные файлы (MSU).
  3. Во временном каталоге создайте BAT-файл и пропишите в нем команду вида:

wusa.exe «%cd%\updatename.msu» /quiet /warnrestart

  1. updatename — имя файла обновления.
  2. Пример команды:

wusa.exe «%cd%\kb4012212-x64.msu» /quiet /warnrestart

  1. Данная команда предписывает провести установку обновления, не показывая процесс пользователю, но потом выводит запрос на перезагрузку и дает около минуты на сохранение открытых файлов (отказаться от перезагрузки нельзя).
    Если прописать forcerestart вместо warnrestart — то ПК будет незамедлительно перезагружен, а открытые приложения — закрыты с потерей данных.
  2. В итоге во временном каталоге должен быть BAT-файл и необходимые файлы MSU.

Eсли команду запустить на ПК, где обновление уже установлено или оно не подходит — последствий не будет.

  1. В Kaspersky Security Center перейдите в раздел Удаленная установка\Инсталляционные пакеты и выберите опцию Создать инсталляционный пакет для программы, указанной пользователем.

Картинка: Создание инсталляционного пакета в KSC

  1. Создайте инсталляционный пакет, который будет вызывать созданный BAT-файл, при этом обязательно установите флажок копировать всю папку в инсталляционный пакет — чтобы MSU-файлы были включены в пакет.

В BAT-файле вы можете указать установку нескольких обновлений и поместить их все во временный каталог, но размер установочного пакета увеличится.

  1. Созданный пакет установите на ПК. Это можно сделать из выборки ПК по типу ОС (в контекстном меню любой группы ПК выберите Установить программу), можно создать задачу для группы ПК (в Управляемые ПКвыберите корень списка или определенную группу, перейдите на вкладку Задачи и создайте задачу по установке), либо другим привычным вам способом.
    Пакет также можно установить локально.

Альтернативный метод

Условия работы:

  1. Наличие расширенной лицензии на продукт.
  2. Использование задачи Поиска уязвимостей и обновлений для ПО Microsoft. Подробнее о задаче смотрите в статье.

Выполнение:

  1. Перейдите в раздел Дополнительно → Управление программами → Обновление.
  2. В строке поиска найдите необходимое обновление Microsoft.
  3. В контекстном меню обновления выберите Установить обновление.
  4. Выполните установку на необходимые хосты.

Как безопасно включить хосты, если обновления от Microsoft не установлены

Для безопасного включения компьютеров:

  1. Отключите компьютер от сети организации (отключите сетевой кабель).
  2. В настройках сервисов отключите службу Сервер: в выпадающем списке Тип запуска выберите Отключена.

Картинка: Отключение службы Server

  1. Подключите сетевой шнур и обновите ОС со всеми перезагрузками.

Убедитесь, что система больше не предлагает установить обновления.

  1. Включите службу Сервер.
  2. Убедитесь, что в Kaspersky Endpoint Security включены компоненты:
    • Файловый антивирус.
    • Мониторинг системы.
    • Защита от сетевых атак.

Источникhttp://support.kaspersky.ru/general/products/13698

Показать связанные сообщения

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *