На прошлой неделе информационные системы организаций России, Украины и ряда европейских стран поразила новая вирусная эпидемия. Криптолокер Petya распространялся аналогично ранее ставшему популярным вирусу WannaCry. Однако отличие было в том, что даже при оплате выкупа можно было забыть о потерянных данных – новое кибероружие не имеет механизмов дешифровки. Именно поэтому потери от атаки оказались (и окажутся) намного серьезнее.
Среди жертв кибератаки оказались сети российских «Башнефти», «Роснефти», на Украине были атакованы правительственные компьютеры, Киевский метрополитен, магазины «Ашан», операторы связи, Приватбанк, Чернобыльская АЭС и аэропорт Борисполь.
Эксперты «Кода безопасности» перечислили ряд общих мер по предотвращению заражения, а также дали рекомендации по применению продуктов компании для обеспечения защиты от вируса.
В качестве общих профилактических мер борьбы с любым вирусным заражением рекомендуется своевременная установка обновлений для операционных систем и внимательность при получении по электронной почте файлов от незнакомых адресатов. Если же компьютеры оказались заражены - ни в коем случае не следует платить злоумышленникам. Это не поможет вернуть данные.
Предложенные специалистами лаборатории сетевой безопасности компании «Кода безопасности» определили ряд мер по настройке сетевой защиты Для их реализации достаточно иметь развернутый Secret Net Studio или Trust Access и нет необходимости устанавливать дополнительные модули или патчи.
Превентивную защиту от вируса на уровне рабочих станций и серверов обеспечивает Secret Net Studio; на уровне сети - Детектор атак «Континент» 3.7 (исполнение 2). Он обнаруживает в сетевом трафике используемый вирусом эксплоит и может его заблокировать до попадания на уязвимые рабочие станции и серверы.
Более подробная информация о способах защиты приведена по ссылке. Описанные в документе рекомендации будут обновляться и дополняться при появлении критичной информации.
Для защиты необходимо:
- Установить обновление Microsoft Security Bulletin MS17-010 – Critical Security Update for Microsoft Windows SMB Server (4013389).
- Запретить использование утилиты PsExec.
- Заблокировать возможность передачи файла perfc.dat по протоколу SMBv2.
- Своевременно выполнять резервное копирование элементов ИТ-инфраструктуры и хранить резервные копии в недоступном по сети месте.
Специалисты лаборатории сетевой безопасности компании убеждены, что для обеспечения защиты необходимо не только применять экстренные временные меры, но и не забывать о превентивном подходе при формировании ИБ-стратегии. Только в этом случае можно будет не допустить возможности заражения в дальнейшем.