Как защититься от вируса WannaCry

12 мая миллионы компьютеров по всему миру подверглись атаке вируса WannaCry. Кибератака затронула более 150 стран. Глава Европола Роб Уэйнрайт сообщил, что речь идет о более чем 200 тыс. пострадавших: «Многие из этих жертв — компании, включая крупные корпорации». Ранее «Лаборатория Касперского» распространила информацию, что зафиксировала около 45 тыс. атак программой-шифровальщиком WannaCry в 74 странах по всему миру.

Руководитель российской практики услуг по информационной безопасности PwC в России Роман Чаплыгин рассказал, что представляет из себя вирус и как с ним справиться:

 — WannaCry представляет собой классический вирус-вымогатель, который атакует все, до чего может дотянуться. Изначально его целью стали правительственные и коммерческие учреждения, но сейчас уже есть информация о том, что жертвами становятся и обычные пользователи. Вирус проверяет все логические диски, а так же подключенные сетевые диски и пытается зашифровать данные. Делает он это с правами пользователя system, поэтому ущерб, наносимый вирусом, весьма значителен. Далее атака заменяет изображение на рабочем столе на инструкцию от злоумышленника, которая объясняет, что необходимо заплатить 300 долларов в биткойнах, для того чтобы расшифровать данные. На этом действие вируса не заканчивается: он ищет все доступные узлы в локальной сети, проверяет открыта ли на них служба SMB (port 445) и далее, воспользовавшись уязвимостью MS17-010, пытается  заразить все возможные узлы. Известно о двух методах распространения вируса: через интернет и электронную почту, посредством исполняемого файла.

В интернете вирус угрожает в следующих случаях:

- доступ к узлу возможен из сети интернет, и узел имеет открытый порт 445;
- узел находится под управлением ОС семейства Windows, без установленного обновления от 14 марта 2017 г. (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx).

Что делать если вы стали жертвой?

- необходимо изолировать зараженный компьютер (т.е. отключить его от сети передачи данных);
- если вы своевременно заметили заражение, и вирус еще не затронул основную часть файлов, рекомендуется выключить компьютер, чтобы не потерять дополнительных данных;
- есть  ряд способов отключить вирус, но делать этого не рекомендуется, так как все ваши файлы останутся зашифрованными, и есть небольшой риск того, что после удаления всех файлов вируса, вы в дальнейшем не сможете восстановить собственную информацию.

По словам Романа Чаплыгина, сейчас силы многих лабораторий кибербезопасности, и нашей в том числе, сфокусированы на том, чтобы разработать средство по расшифровке данных, и опыт подсказывает, что весьма вероятно такой способ будет найден, поэтому не стоит поддаваться панике.  

Эксперт отметил, что благодаря своевременным действиям одной из вирусных лабораторий, активная фаза распространения вируса была приостановлена, но спустя некоторое время вышла новая версия вируса, которая стала эффективно заражать узлы, поэтому необходимо принять защитные меры, которые с высокой вероятностью помогут защититься от вируса:

а) установить обновление Windows от 14 марта 2017 г. (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx);
б) заблокировать все взаимодействия по порту 445, как на конечных станциях так и на сетевом оборудовании;
в) провести полное сканирование всех хостов с помощью антивирусных программ;
г) оповестить пользователей о возможной атаке, ее последствиях и возможных путях распространения.

— Напоследок хотелось бы указать, что недавно были найдены еще несколько критических уязвимостей в OS Windows, например, в Windows Defender (CVE-2017-0290), что грозит еще более серьезными проблемами для владельцев уязвимых версий Windows, — подчеркнул Роман Чаплыгин. — В данном случае рекомендуется наладить процесс управления обновлениями или максимально сократить время от появления обновления до его установки.