Meniu
AcasăFoto și video

Protecție împotriva ransomware-ului folosind FSRM în Windows Server. Protejați-vă împotriva ransomware-ului cu FSRM pe Windows Server

Noul malware ransomware WannaCry (care are și o serie de alte nume - WannaCry Decryptor, WannaCrypt, WCry și WanaCrypt0r 2.0) s-a făcut cunoscut lumii pe 12 mai 2017, când fișierele de pe computerele din mai multe instituții de sănătate din Marea Britanie au fost criptate. . După cum a devenit clar, companiile din zeci de țări s-au trezit într-o situație similară, iar Rusia, Ucraina, India și Taiwan au avut de suferit cel mai mult. Potrivit Kaspersky Lab, doar în prima zi a atacului, virusul a fost detectat în 74 de țări.

De ce este WannaCry periculoasă? Virusul criptează diferite tipuri de fișiere (folosind extensia .WCRY, făcând fișierele complet ilizibile) și apoi solicită o răscumpărare de 600 USD pentru decriptare. Pentru a accelera procedura de transfer de bani, utilizatorul este intimidat de faptul că în trei zile valoarea răscumpărării va crește și după șapte zile fișierele nu vor mai fi decriptabile.

Calculatoarele care rulează sisteme de operare Windows riscă să fie infectate cu virusul ransomware WannaCry. Dacă utilizați versiuni licențiate de Windows și vă actualizați în mod regulat sistemul, nu trebuie să vă faceți griji că un virus va pătrunde în sistemul dumneavoastră în acest fel.

Utilizatorii MacOS, ChromeOS și Linux, precum și sistemele de operare mobile iOS și Android, nu ar trebui să se teamă deloc de atacurile WannaCry.

Ce să faci dacă ești victima WannaCry?

Agenția Națională a Crimei (NCA) din Marea Britanie recomandă ca întreprinderile mici care au fost victime ale ransomware-ului și sunt îngrijorate de răspândirea virusului online ar trebui să ia următoarele măsuri:

  • Izolați-vă imediat computerul, laptopul sau tableta de rețeaua corporativă/internă. Opriți Wi-Fi.
  • Schimbați driverele.
  • Fără a vă conecta la o rețea Wi-Fi, conectați-vă computerul direct la Internet.
  • Actualizați sistemul de operare și toate celelalte programe software.
  • Actualizați și rulați software-ul antivirus.
  • Reconectați-vă la rețea.
  • Monitorizați traficul de rețea și/sau executați o scanare antivirus pentru a vă asigura că ransomware-ul a dispărut.

Important!

Fișierele criptate de virusul WannaCry nu pot fi decriptate de nimeni, cu excepția atacatorilor. Prin urmare, nu pierdeți timp și bani cu acei „genii IT” care promit să vă salveze de această durere de cap.

Merită să plătiți bani atacatorilor?

Primele întrebări puse de utilizatorii care se confruntă cu noul virus ransomware WannaCry sunt: cum să recuperați fișierele și cum să eliminați un virus. Negăsind soluții gratuite și eficiente, aceștia se confruntă cu o alegere: să plătească bani extortionistului sau nu? Deoarece utilizatorii au adesea ceva de pierdut (documentele personale și arhivele foto sunt stocate pe computer), apare cu adevărat dorința de a rezolva problema cu bani.

Dar NCA îndeamnă cu tărie Nuplăti bani. Dacă decideți să faceți acest lucru, țineți cont de următoarele:

  • În primul rând, nu există nicio garanție că veți avea acces la datele dvs.
  • În al doilea rând, computerul poate fi în continuare infectat cu un virus chiar și după plată.
  • În al treilea rând, cel mai probabil veți da pur și simplu banii infractorilor cibernetici.

Cum să te protejezi de WannaCry?

Vyacheslav Belashov, șeful departamentului de implementare a sistemelor de securitate a informațiilor la SKB Kontur, explică ce acțiuni trebuie întreprinse pentru a preveni infectarea cu virusul:

Particularitatea virusului WannaCry este că poate pătrunde în sistem fără intervenția umană, spre deosebire de alți viruși de criptare. Anterior, pentru ca virusul să funcționeze, era necesar ca utilizatorul să fie neatent - să urmeze un link dubios dintr-un e-mail care nu i-a fost de fapt destinat sau să descarce un atașament rău intenționat. În cazul WannaCry, se exploatează o vulnerabilitate care există direct în sistemul de operare în sine. Prin urmare, computerele bazate pe Windows care nu au instalat actualizările din 14 martie 2017 au fost în primul rând în pericol. O stație de lucru infectată din rețeaua locală este suficientă pentru ca virusul să se răspândească la alții cu vulnerabilități existente.

Utilizatorii afectați de virus au în mod natural o întrebare principală: cum să-și decripteze informațiile? Din păcate, nu există încă o soluție garantată și este puțin probabil să fie prevăzută. Chiar și după achitarea sumei specificate, problema nu este rezolvată. În plus, situația poate fi agravată de faptul că o persoană, în speranța de a-și recupera datele, riscă să folosească decriptoare presupuse „gratuite”, care în realitate sunt și fișiere rău intenționate. Prin urmare, principalul sfat care poate fi dat este să fii atent și să faci tot posibilul pentru a evita o astfel de situație.

Ce anume se poate și trebuie făcut în acest moment:

1. Instalați cele mai recente actualizări.

Acest lucru se aplică nu numai sistemelor de operare, ci și instrumentelor de protecție antivirus. Informații despre actualizarea Windows pot fi găsite aici.

2. Faceți copii de rezervă ale informațiilor importante.

3. Aveți grijă când lucrați cu poșta și internetul.

Trebuie să fiți atenți la e-mailurile primite cu link-uri și atașamente dubioase. Pentru a lucra cu Internetul, este recomandat să utilizați pluginuri care vă permit să scăpați de reclamele inutile și de link-uri către surse potențial rău intenționate.

Una dintre modalitățile de a combate virușii ransomware este interzicerea redenumirii fișierelor. Dacă știm ce extensie va primi fișierul după ce îl criptăm cu un virus, atunci putem interzice pur și simplu crearea de fișiere cu această extensie. De asemenea, vom interzice crearea de fișiere text cunoscute care conțin cereri de ransomware, care la rândul lor vor ajuta la protejarea împotriva virușilor care nu modifică extensia fișierului în timpul criptării.

Instalarea File Server Resource Manager și configurarea șablonului.

Mai întâi, să instalăm rolul „File Server Resource Manager”. Acest lucru se poate face prin Server Manager sau prin Powershell. Să luăm în considerare a doua opțiune:

Instalare-WindowsFeature FS-Resource-Manager -IncludeManagementTools

După instalarea FSRM, asigurați-vă că reporniți serverul.

După repornire Start -> Run -> fsrm.msc

Să creăm un grup Grupuri de fișiere anti-ransomwareși adăugați o extensie pe care vrem să o blocăm.

Adăugarea manuală a totul durează mult timp, așa că automatizăm procesul. Vom prelua lista extensiilor interzise de pe site-ul https://fsrm.experiant.ca

Să creăm și să rulăm un script Powershell ca administrator.

$gr_name = "Grupuri de fișiere anti-Ransomware" $url_site = "https://fsrm.experiant.ca/api/v1/combined" $req=(Invoke-WebRequest -Uri $url_site).conținut | convertfrom-json | % ($_.filters) set-FsrmFileGroup -name $gr_name -IncludePattern @($req)

După executarea scriptului, verificăm grupul Grupuri de fișiere anti-ransomware, ar trebui să apară în el extensiile și numele fișierelor care trebuie blocate.

În setările șablonului, selectați un grup Grupuri de fișiere anti-ransomware presa Bine. În plus, puteți configura o alertă prin e-mail, o intrare în jurnal sau puteți lansa un script sau un program bazat pe un eveniment.

În sfârșit, accesați secțiunea Filtre de blocare a fișierelor.

Aici indicăm calea către directorul care trebuie protejat și șablonul utilizat.

Ca rezultat, atunci când încercați să schimbați extensia fișierului cu ceva care se află în lista noastră Grupuri de fișiere anti-ransomware vom primi o interdicție de înregistrare.

Blocarea utilizatorului infectat.

După detectarea unei infecții, trebuie să luați măsuri la sursa amenințării. Este necesar să interziceți accesul la folderul partajat utilizatorului care a prins ransomware-ul pe computerul său. Pentru a face acest lucru, îl vom plasa pe disc C:\ fişier SmbBlock.ps1 cu urmatorul continut:

Param($nume utilizator = “”) Get-SmbShare -Special $false | Pentru fiecare obiect (Bloc-SmbShareAccess -Nume $_.Nume -Nume cont „$nume utilizator” -Force)

Să revenim la Blocarea tiparelor de filtrareși selectați fila Echipă.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Comandă „& (C:\smbblock.ps1 -nume utilizator ‘’)”

Ca urmare a executării scriptului, utilizatorul infectat primește o interdicție personală de a intra în folder.

Această metodă de protecție nu este o soluție absolută la această problemă deoarece Scriitorii de viruși nu stau pe loc, dar ca una dintre componentele protecției cuprinzătoare este destul de aplicabil.

În această toamnă, Windows 10 a fost actualizat la versiunea 1709, cu numele de cod Fall Creators Update sau Redstone 3. Printre numeroasele modificări, ne-a interesat în primul rând protecția îmbunătățită împotriva programelor malware necunoscute. Microsoft a luat o serie de măsuri pentru a combate troienii și exploatările ransomware. Cât de succes au avut?

Apărător nou vechi
Tot ce este nou este unul vechi bine rebrandat. În „actualizarea de toamnă pentru designeri”, componentele de protecție încorporate au fost combinate în „Centrul de securitate Windows Defender”. Chiar și firewall-ul software a început să fie numit „Windows Defender Firewall”, dar aceste modificări sunt pur cosmetice. Cele mai semnificative privesc noile caracteristici, pe care le vom analiza mai detaliat mai jos.

O altă componentă veche-nouă introdusă în Redstone 3 se numește Exploit Protection. Windows Defender Exploit Guard, sau pur și simplu EG, este activat prin Centrul de securitate Windows Defender din secțiunea Control aplicație și browser.

Din punct de vedere tehnic, Exploit Guard este fostul set de instrumente pentru experiența de atenuare îmbunătățită, cu un set de caracteristici ușor crescut și o interfață nouă. EMET datează din Windows Vista, dar acum a fost întrerupt și Exploit Guard i-a luat locul. Aparține Advanced Threat Protection, împreună cu Device Guard Connected Device Manager și Application Guard. Limbi rele spun că Microsoft a vrut inițial să introducă o componentă comună, Advanced System Security Guard, dar abrevierea s-a dovedit a fi complet disonantă.

Protecție împotriva exploatării
Exploit Guard este doar un instrument de reducere a riscurilor, nu elimină nevoia de a închide vulnerabilitățile din software, dar le face mai dificil de utilizat. În general, principiul de funcționare al Exploit Guard este de a interzice acele operațiuni care sunt cel mai des folosite de malware.

Problema este că multe programe legitime le folosesc și ele. Mai mult, există programe vechi (sau mai bine zis, biblioteci dinamice) care pur și simplu nu vor mai funcționa dacă în Windows sunt activate noi funcții de control al memoriei și alte măsuri moderne de protecție.

Prin urmare, configurarea Exploit Guard este aceeași cu utilizarea EMET anterior. În memoria mea, mulți administratori au petrecut luni de zile analizând complexitatea setărilor și apoi pur și simplu au încetat să mai folosească funcții restrictive din cauza numeroaselor plângeri ale utilizatorilor.

Dacă siguranța este pe primul loc și trebuie să strângeți șuruburile, atunci cele mai populare caracteristici ale Exploit Guard au fost (din zilele EMET) și rămân:

  • DEP(Data Execution Prevention) - împiedicarea execuției datelor. Nu permite executarea unui fragment de cod care ajunge într-o zonă de memorie care nu este destinată acestui scop (de exemplu, ca urmare a unei erori de depășire a stivei);
  • realocare aleatoare a memoriei- previne atacurile la adrese cunoscute;
  • dezactivarea punctelor de expansiune- previne injectarea de DLL-uri în procesele care rulează (vezi articolul despre ocolirea UAC, unde această metodă a fost utilizată pe scară largă);
  • Comanda DisallowChildProcessCreation- interzice aplicației specificate să creeze procese copil;
  • filtrarea tabelelor de adrese de import (IAF) și tabelelor de adrese de export (EAF)- previne un proces (malițios) de la forțarea brută a tabelelor de adrese și accesarea paginii de memorie a bibliotecilor de sistem;
  • Verificare apelant- verifică drepturile de a apela API-uri confidențiale;
  • SimExec- simularea executiei. Verifică înainte de executarea efectivă a codului cui se vor întoarce apelurile API sensibile.
Comenzile pot fi transmise prin PowerShell. De exemplu, interzicerea creării de procese copil arată astfel:

Set-ProcessMitigation -Nume executable.exe
-Activați DisallowChildProcessCreation

Toate procesoarele și chipset-urile x86 din ultimii zece ani suportă DEP la nivel hardware, iar pentru cele foarte vechi este disponibilă o implementare software a acestei funcții. Cu toate acestea, de dragul compatibilității noilor versiuni de Windows cu software mai vechi, Microsoft încă recomandă activarea DEP în modul „numai procesele de sistem”. Din același motiv, a fost posibilă dezactivarea DEP pentru orice proces. Toate acestea au fost folosite cu succes în tehnicile de bypass DEP.

Prin urmare, are sens să utilizați Exploit Guard numai dacă este posibil să utilizați mai multe funcții de protecție simultan fără a provoca o defecțiune cel puțin în funcționarea aplicațiilor principale. În practică, acest lucru este rareori posibil. Iată un exemplu de profil EG convertit din EMET, care, în general, face ca Windows 10 să se blocheze în BSoD. Cândva, Hacker avea o secțiune „Construcții de Vest”, iar Exploit Guard s-ar fi potrivit perfect în ea.

Protecție împotriva ransomware
„Toate fișierele tale au fost criptate. Pentru a le decripta, transferați bitcoinii la adresa specificată,” - probabil ați văzut deja un mesaj similar, dacă nu pe al tău, atunci pe desktopul altcuiva.

Astăzi, ransomware-ul este principala subclasă de troieni ransomware, iar Windows este principala platformă atacată. Prin urmare, Microsoft încearcă să ia măsuri de securitate suplimentare. Problema este că ransomware-ul nu este un virus clasic, iar contracararea eficientă a acestuia necesită abordări fundamental diferite. Aproape orice antivirus poate prinde un troian binecunoscut prin semnătură, dar prinderea unuia nou este o sarcină complet diferită.

O lovitură preventivă a unui antivirus este dificilă, chiar dacă doar pentru că troienii ransomware folosesc criptografie legitimă, ca multe programe populare. De obicei, nu există semne evidente de activitate rău intenționată în codul lor, așa că euristice și alte măsuri de analiză fără semnături eșuează adesea.

Găsirea unor markeri distinctivi de ransomware este o durere de cap pentru toți dezvoltatorii de antivirus. Tot ce pot oferi până acum este să înlocuiască sarcina. În loc să cauți ransomware, concentrează-te pe ținta lor principală și urmărește-l. Adică, controlați accesul la fișierele și directoarele utilizatorului, precum și efectuați în mod regulat copii de rezervă în cazul în care ransomware-ul ajunge la ele.

După cum am aflat într-unul dintre articolele anterioare, în practică aceasta este departe de a fi o abordare ideală. Controlul accesului este din nou un echilibru între securitate și comoditate, puternic înclinat spre disconfort. Conceptual, situația este aceeași ca și atunci când utilizați Exploit Guard: fie regulile restrictive sunt aplicate în totalitate, dar lucrul pe computer devine problematic, fie restricțiile sunt stabilite formal pentru a menține compatibilitatea cu software-ul vechi și confortul utilizatorului.


Un control similar al accesului a apărut de mult în antivirusurile de la terți, dar într-o formă ușor diferită. A avut ca scop siguranța sistemului, nu detectarea amenințărilor. Se presupune că, dacă antivirusul ratează malware-ul, controalele suplimentare vor bloca pur și simplu modificările nedorite în directorul \Windows\ și bootloader-ul.

Deși această abordare este încă potrivită pentru fișierele de sistem, nu este pentru fișierele utilizator. Spre deosebire de directorul de sistem, al cărui conținut este mai mult sau mai puțin același pe computere diferite, directorul de utilizatori poate conține orice. În plus, solicitările de modificare a fișierelor din acesta pot veni din orice program. Adăugați la acest OLE, capacitatea oricărui proces de a apela altul și de a deschide fișiere prin intermediul acestuia și vă faceți o idee despre cum arată naiba pentru un dezvoltator de antivirus.

Deoarece modificarea fișierelor utilizator nu afectează în niciun fel funcționarea sistemului de operare, Windows nu a avut protecție încorporată pentru acestea. Totul s-a schimbat odată cu lansarea versiunii actualizate de Windows 10, în care Defender-ul încorporat a început să monitorizeze documentele, fotografiile și alt conținut de utilizator. Se susține că va împiedica înlocuirea fișierelor cu versiuni criptate, privând autorii troienilor de un motiv pentru a cere o răscumpărare.

Experiment
Pentru a testa, am decis să creăm un folder de testare C:\Docs\ cu diverse tipuri de documente și să-l adăugăm la lista de control al accesului Windows Defender. Apoi am lansat mai mulți troieni ransomware și am văzut dacă Windows Defender îi poate contracara.


În acest test, Windows Defender a gestionat o selecție de troieni mai bine decât multe antivirusuri terțe. Pur și simplu nu a permis copierea niciunui eșantion de pe o unitate de rețea, inclusiv diferite modificări ale WannaCry, Petya, TeslaCrypt, Jigsaw, Locky și Satana. Toate au fost șterse automat, în ciuda extensiei modificate (.tst) și a ambalajului folosind UPX.


Noua componentă Controlled Folder Access face parte din protecția în timp real. Prin urmare, nu veți putea dezactiva scanarea din mers în Windows Defender și nu veți putea testa noua caracteristică separat. Puteți dezactiva complet protecția în timp real, dar rezultatul va fi previzibil.


Am extins selecția de testare a ransomware-ului pentru a include tipuri noi și puțin cunoscute. Cu toate acestea, Windows Defender le-a șters instantaneu pe toate, fără a lăsa de ales. Prin urmare, s-a decis desfășurarea unui experiment model, scriind... nu, nu! Despre ce vorbesti, domnule procuror! Nu un troian, ci un program simplu, inofensiv. Iată codul, bun venit în anii nouăzeci!

@echo dezactivat
echo Deschideți directorul „Docs”.
cd C:\Docs\
dir
echo Conținutul original al fișierului `lenses.txt` este listat mai jos:
Mai mult< lenses.txt
echo Se schimbă textul din fișierul „lenses.txt”...
echo Datele fișierului au fost înlocuite cu acest șir>lenses.txt
ecou Gata!
Mai mult< lenses.txt
Orice ransomware înlocuiește fișierele utilizatorului cu versiunile lor criptate. În esență, trebuie să testăm modul în care caracteristica Acces controlat la foldere blochează operațiunile de suprascriere a fișierelor din directorul unui utilizator. Acest program înlocuiește doar conținutul fișierului din directorul specificat cu linia pe care o specificați. Semnul > redirecționează ieșirea consolei către un fișier, suprascriindu-l complet.

Avantajul acestui fișier batch este că pare suspect (un fișier executabil cu o reputație scăzută) și codul său este cu siguranță necunoscut antivirusului. A fost doar scris și nu a avut timp să apară nicăieri. Fișierul lens.txt a fost specificat ca țintă, deoarece conținutul său este formatat cu caractere de tabulatură și este afișat clar în consolă cu comanda mai mult într-un singur ecran.

Odată lansat, fișierul batch arată conținutul directorului C:\Docs\ și apoi fișierul lenses.txt. Încearcă să-l suprascrie cu șirul Datele fișierului au fost înlocuite cu acest șir și arată din nou conținutul lenses.txt pentru a verifica rezultatul. Fișierul batch în sine este lansat dintr-un alt director - „Descărcări”, simulând obiceiul unui utilizator neexperimentat (descărcând orice și făcând clic pe tot).

Dacă pur și simplu lansăm fișierul batch făcând dublu clic, vom vedea că fișierul lenses.txt rămâne același. Caracteristica Acces controlat la foldere și-a făcut treaba, împiedicând suprascrierea documentului de o comandă dintr-un fișier executabil necunoscut. În acest caz, textul poate fi ușor deschis și editat în Notepad și apoi salvat peste cel vechi, iar acest lucru nu va ridica întrebări. Notepad-ul este un proces de încredere, iar protecția este transparentă pentru utilizator.


Dacă doriți, puteți adăuga o aplicație terță parte la lista de încredere. Da, ai avut perfectă dreptate când ai perceput asta ca un potențial vector de atac.


Dacă mai întâi creștem privilegiile și rulăm fișierul batch cu drepturi de administrator, fișierul lenses.txt va fi suprascris în liniște. Windows Defender nu se va clinti și nici măcar nu va reflecta acest eveniment în jurnal. Nu-i pasă dacă administratorul a emis o comandă sau un fișier lăsat în numele administratorului.


Astfel, prin utilizarea proceselor de (auto-)încredere sau prin prima escaladare a privilegiilor, troienii ransomware vor putea ocoli noua funcție de acces controlat la foldere introdusă în Windows 10 v. 1709. Mai mult, acest lucru se poate face chiar și folosind metode din vremurile MS-DOS. Trăiască compatibilitatea!

Concluzii
Exploit Guard s-a dovedit a fi EMET într-un nou pachet, iar „Controlul accesului” a fost o jumătate de măsură de protecție. Va ajuta la reducerea daunelor cauzate de un simplu ransomware care rulează cu drepturi de utilizator. Dacă autorul următorului ransomware folosește tehnici de escaladare a privilegiilor sau este capabil să trimită o solicitare de modificare a fișierelor printr-un proces de încredere, atunci noile caracteristici ale Windows 10 nu vor salva datele utilizatorului. Doar backup-urile regulate vor ajuta la minimizarea consecințelor infecției. Principalul lucru este că troianul nu poate cripta copiile de rezervă. Prin urmare, este mai bine să le stocați pe un suport extern care nu poate fi scris (sau cel puțin deconectabil) și să aveți un duplicat în cloud.

Articol preluat de pe xakep.ru

Acest articol a fost pregătit în legătură cu un atac masiv de hackeri la scară globală, care te poate afecta și pe tine. Consecințele devin cu adevărat grave. Mai jos veți găsi o scurtă descriere a problemei și o descriere a principalelor măsuri care trebuie luate pentru a vă proteja împotriva familiei de viruși ransomware WannaCry.

Ransomware-ul WannaCry exploatează vulnerabilitatea Microsoft Windows MS17-010 pentru a executa cod rău intenționat și a rula ransomware pe computere vulnerabile, apoi virusul se oferă să plătească atacatorilor aproximativ 300 USD pentru a decripta datele. Virusul s-a răspândit pe scară largă în întreaga lume, primind acoperire activă în mass-media - Fontanka.ru, Gazeta.ru, RBC.

Această vulnerabilitate afectează PC-urile cu sistemul de operare Windows instalat de la XP la Windows 10 și Server 2016 puteți citi informațiile oficiale despre vulnerabilitate de la Microsoft și.

Această vulnerabilitate aparține clasei Executarea codului de la distanță, ceea ce înseamnă că infecția poate fi efectuată de pe un PC deja infectat printr-o rețea cu un nivel de securitate scăzut fără segmentare ME - rețele locale, rețele publice, rețele invitate, precum și prin lansarea de malware primit prin poștă sau ca link.

Măsuri de securitate

Ce măsuri ar trebui identificate ca fiind eficiente pentru combaterea acestui virus:

  1. Asigurați-vă că aveți instalate cele mai recente actualizări Microsoft Windows pentru a elimina vulnerabilitatea MS17-010. Puteți găsi link-uri către actualizări și, de asemenea, rețineți că, din cauza gravității fără precedent a acestei vulnerabilități, actualizări pentru sistemele de operare neacceptate (windowsXP, server 2003, server 2008) au fost lansate pe 13 mai, le puteți descărca.
  2. Când utilizați soluții de securitate de rețea de clasă IPS, asigurați-vă că aveți instalate actualizări care includ detectarea și atenuarea vulnerabilităților rețelei. Această vulnerabilitate este descrisă în baza de cunoștințe Check Point; este inclusă în actualizarea IPS din 14 martie 2017, Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). De asemenea, recomandăm configurarea scanării traficului intern pe segmente cheie de rețea folosind IPS, cel puțin pentru o perioadă scurtă de timp, până când probabilitatea de infecție scade.
  3. Datorită probabilității de modificări ale codului virusului, recomandăm activarea sistemelor AntiBot&Antivirus și emularea lansării fișierelor provenite din surse externe prin poștă sau Internet. Dacă sunteți utilizator Check Point Security Gateway, atunci acest sistem este Threat Emulation. În special pentru companiile care nu au acest abonament, oferim să-l obținem rapid în perioada de probă de 30 de zile. Pentru a solicita o cheie care activează un abonament cu funcții complete pentru poarta Check Point, scrieți la [email protected] Puteți citi mai multe despre sistemele de emulare de fișiere și.
De asemenea, blocați transferul arhivelor de parole și activați semnăturile IPS din listă:

Și mai multe recomandări și un exemplu de raport privind blocarea activității ransomware-ului Wannacry.

Stimați colegi, pe baza experienței de lucru cu atacuri masive anterioare, cum ar fi Heart Bleed, vulnerabilitatea Microsoft Windows MS17-010 va fi exploatată în mod activ în următoarele 30-40 de zile, nu întârziați contramăsurile! Pentru orice eventualitate, verificați funcționarea sistemului dvs. BackUp.

Riscul este chiar mare!

UPD. Joi, 18 mai, la ora 10.00, ora Moscovei, vă invităm la un webinar despre ransomware și metode de protecție.

Webinarul este condus de TS Solution și Sergey Nevstruev, Director de vânzări Check Point Threat Prevention Europa de Est.
Vom acoperi următoarele întrebări:

  • Atacul #WannaCry
  • Domeniul de aplicare și starea actuală
  • Particularități
  • Factori de masă
Recomandări de securitate

Cum să fii cu un pas înainte și să dormi liniștit

  • IPS+AM
  • SandBlast: Emularea amenințărilor și Extracția amenințărilor
  • Agent SandBlast: Anti-Ransomware
  • Agent SandBlast: criminalistică
  • Agent SandBlast: Anti-Bot
Vă puteți înscrie răspunzând la această scrisoare sau urmând linkul de înregistrare