Сьогоднішня епідемія заражень пов'язана з дією шкідливого ПО WannaCry.

WannaCry - відомий українцям по весняній епідемії. Він використовує уразливість операційної системи Windows. Кілька місяців тому постраждали тисячі користувачів, проте вирішення проблеми було оперативно придумано - оновлення операційної системи, патч, встановивши який, WannaCry більше не могла атакувати комп'ютери. Сьогоднішні «жертви», швидше за все, просто проігнорували його установку. Що стосується корпоративного сегмента, то це сфера відповідальності адміністраторів або служби кібербезпеки, які повинні уважно ставиться до рекомендацій компаній і лабораторій, що працюють в сфері кіберзахисту, наприклад, негайно закрити TCP-порти 1024-1035, 135, 139 і 445.

Спочатку зараження трояном WannaCry користувачів сталося, швидше за все, через електронну пошту, завдяки відкриттю вкладеного в СПАМ-лист архіву або іншого документа. Заразивши ПК, шифрувальник активізує свою діяльність, крипти файли, а після примусового перезавантаження, блокує ПК і демонструє вимоги викупу за повернення даних, який, до слова, досить рідко відбувається. В основному гроші відправляються, у вигляді біткоіни, але розшифровки не відбувається. Всьому виною неуважність і ігнорування базових правил кібербезпеки.

ЯКІ ДІЇ ЗРОБИТИ ДЛЯ ЗАХИСТУ ВІД WANNACRY

Зараження локальних мереж шкідливим ПЗ WannaCry проводиться двома транспортними протоколами:

1. Спам розсилка по електронній пошті.
   1. Користувач отримує лист з приєднаним JS файлом, архівом в якому міститься JS файл або посиланням на скомпрометований сайт. Після активації скрипт завантажує виконуваний файл і інфікує систему.
   2. Користувач отримує лист з документом MS Office, що містить макрос. Макрос після запуску користувачем завантажує з мережі виконуваний файл і активує його.
2. Заражений ПК в мережі сканує мережеве оточення і, використовуючи вразливість EternalBlue заражає інші ПК в мережі.

При відсутності прав адміністратора троянська програма шифрує файли на дисках комп'ютера, до яких може отримати доступ. При наявності прав адміністратора троянська програма заражає MBR завантажувального жорсткого диска і після перезавантаження комп'ютера (виконуваної примусово) шифрує вміст жорсткого диска.

МЕТОДИ ПРОТИДІЇ ЗАРАЖЕННЯ WANNACRY:

1. Відключення застарілого протоколу SMB1. Інструкція по відключенню SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
2. Установка оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
3. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовуються для організації роботи мережеві папки і мережеві диски), в брандмауер локальних ПК і мережевого устаткування заблокувати TCP / IP порти 135, 139 і 445
4. Блокування можливості відкриття JS файлів, отриманих по електронній пошті
5. Блокування відкриття файлів, приєднаних до листів електронної пошти в ZIP архівах

Ідентифікатори компрометації:

1. Звернення заражених систем на WEB-ресурси
   1. coffeinoffice.xyz
   2. french-cooking.com
2. Створення в системі файлу C: \ WINDOWS \ perfc.dat