Рекомендації щодо захисту від вірусу Wanna Cry

Про вірус
Рекомендації щодо захисту мережі
Налаштування Ideco ICS
Захист кінцевих пристроїв
Якщо ви використовуєте Windows в якості інтернет-шлюзу

Глобальна хакерська атака в даний час торкнулася безліч комп'ютерів в Росії і за кордоном, включаючи мережі великих телекомунікаційних компаній, силових відомств і медичних установ.

Наші технологічні партнери з Лабораторії Касперського за вчорашній день, 12 травня, зафіксували 45 тис. Спроб злому в 74 країнах.

Про вірус

Програма-шифрувальник, що розповсюджується в мережі, отримала назву WannaCry (він же Wana Decryptor, WanaCrypt0r і Wana Decrypt0r). На відміну від інших програм подібного типу, даний шифрувальник поєднує в собі функції вірусного, троянського ПЗ і мережевих черв'яків. Як механізми проникнення використовує як електронну пошту (цей механізм дозволяє йому долати захисні міжмережеві екрани), так і опубліковану 14 березня цього року мережеву вразливість протоколу SMB: Microsoft Security Bulletin MS17-010 . Дана уразливість дозволяє вірусу розповсюджуватися всередині зараженої мережі і вражати максимальне число вразливих пристроїв.

Microsoft не має поширює автоматично оновлення безпеки для ОС Windows XP і Windows 2003, тому користувачі, які використовують застаріле ПЗ, найбільш уразливі.

Заражаючи пристрій, вірус зашифровує всі призначені для користувача дані на жорсткому диску і вимагає викуп за їх розшифровку.

Рекомендації щодо захисту мережі

Ideco ICS заснований на ядрі Linux, всі порти на зовнішні інтерфейси за замовчуванням закриті, тому він захищений від атак, що використовують уразливі місця, подібні до тих, що використовує даний вірус. Технологія NAT також надійно захищає всі мережеві пристрої від підключень ззовні. Серед варіантів поширення вірусу: електронна пошта, можливо, заражені сайти і флеш-диски, також вірус може бути принесений співробітниками разом з використовуваними в інших мережах ноутбуками. Всі механізми поширення вірусу поки не вивчені і можуть бути доповнені зловмисниками для посилення атаки в найближчому майбутньому.

Налаштування Ideco ICS

Захист периметра мережі в період епідемії повинна бути максимально ефективною:
Оновлення шлюз безпеки Ideco ICS до актуальної версії 7.0.2, так ви отримаєте максимальний ефект від описаних нижче дій з налаштування системи безпеки.
Увімкніть на Ideco ICS систему запобігання вторгнень .
Як мінімум активуйте наступні групи правил системи: "Запити на скомпрометовані ресурси", "Чорний список IP-адрес". Блокування ресурсів з цих категорій допоможе заблокувати командні центри вірусу, і заражені системи не зможуть отримувати команди на спрацьовування, обмінюватися ключами для зашифровуваної файлів, передавати інформацію з заражених комп'ютерів зловмисникам. Вже встановлено, що спілкування з командними центрами вірусів відбувається через мережу TOR, яка буде заблокована системою запобігання вторгнень.
Рекомендується активувати всі групи правил системи запобігання вторгнень. У разі помилкових спрацьовувань правила можна додати в виключення системи.
На Ideco ICS включите антивірусну перевірку веб-трафіку. Рекомендується використовувати антивірус Касперського, але якщо ваша ліцензія це не дозволяє, включите антивірус ClamAV.
Передача потокового перевірка веб-трафіку на віруси дозволяє заблокувати загрози ще до їх проникнення на робочі комп'ютери.
За допомогою розширеного контент-фільтра заблокуйте для всіх користувачів такі категорії сайтів: ботнети, центри поширення шкідливого ПЗ, фішинг / шахрайство.
Або аналогічні категорії стандартного контент-фільтра, але він менш ефективний для захисту від нових загроз.
Якщо ваша мережа розділена на кілька локальних сегментів, пов'язаних через Ideco ICS, ви можете заблокувати 135 і 445 TCP порти системним фаєрволом.
Це запобіжить можливому розповсюдженню вірусу між локальними підмережами:

Захист кінцевих пристроїв

Встановіть патч для закриття експлуатованої вірусом уразливості: MS17-010 .
Заблокуйте використання протоколу SMBv1, виконавши наступну команду на комп'ютерах і Windows-серверах:
dism / online / norestart / disable-feature / featurename: SMB1Protocol
Переконайтеся, що антивірусне ПЗ на всіх комп'ютерах встановлено, працює і використовує актуальні бази сигнатур.
На комп'ютери із застарілими ОС Windows XP і Windows 2003 необхідно встановити патчі безпеки вручну, скачавши їх за прямими посиланнями:
kb4012598 для Windows XP SP3
kb4012598 для Windows Server 2003 x86
kb4012598 для Windows Server 2003 x64

Якщо ви використовуєте Windows в якості інтернет-шлюзу

Ми не рекомендуємо використовувати будь-які версії Windows на серверах, підключених безпосередньо до інтернету. За останній час було опубліковано інформацію про велику кількість вразливостей, не всі з яких закриті існуючими оновленнями систем безпеки даних ОС. Зараження подібним WannaCry вірусом безпосередньо інтернет-шлюзу може привести до зараження всіх хостів мережі, втрат комерційної інформації, а також участі мережі, як частини ботнету, в атаках на інші ресурси, серед яких можуть виявитися і урядові.

Програмне забезпечення, що використовує Windows як платформу, також не може забезпечити необхідний рівень безпеки, тому що ядро системи все одно буде вразливим. Якщо ви використовуєте таке ПО, як Microsoft TMG , Kerio Winroute, Traffic Inspector , UserGate Proxy & Firewall , Ми рекомендуємо якнайшвидше мігрувати на більш безпечні та сучасні рішення.

Шлюз безпеки Ideco ICS зручний тим, що може бути використаний не тільки в якості програмно-апаратного комплексу, а й встановлюватися безпосередньо на наявний сервер або може бути розгорнуто в якості віртуальної машини на гіпервізора.

30-й денна повнофункціональна версія Ideco ICS дозволяє почати використання шлюзу безпеки негайно, після установки. Установка Ideco ICS займає близько 15 хвилин. Безпосередня настройка (в разі використання авторизації користувачів по IP або настройки інтеграції з Active Directory ) - не більше півгодини.