Protecție împotriva ransomware-ului folosind FSRM în Windows Server. Protejați-vă împotriva ransomware-ului cu FSRM pe Windows Server
Noul malware ransomware WannaCry (care are și o serie de alte nume - WannaCry Decryptor, WannaCrypt, WCry și WanaCrypt0r 2.0) s-a făcut cunoscut lumii pe 12 mai 2017, când fișierele de pe computerele din mai multe instituții de sănătate din Marea Britanie au fost criptate. . După cum a devenit clar, companiile din zeci de țări s-au trezit într-o situație similară, iar Rusia, Ucraina, India și Taiwan au avut de suferit cel mai mult. Potrivit Kaspersky Lab, doar în prima zi a atacului, virusul a fost detectat în 74 de țări.
De ce este WannaCry periculoasă? Virusul criptează diferite tipuri de fișiere (folosind extensia .WCRY, făcând fișierele complet ilizibile) și apoi solicită o răscumpărare de 600 USD pentru decriptare. Pentru a accelera procedura de transfer de bani, utilizatorul este intimidat de faptul că în trei zile valoarea răscumpărării va crește și după șapte zile fișierele nu vor mai fi decriptabile.
Calculatoarele care rulează sisteme de operare Windows riscă să fie infectate cu virusul ransomware WannaCry. Dacă utilizați versiuni licențiate de Windows și vă actualizați în mod regulat sistemul, nu trebuie să vă faceți griji că un virus va pătrunde în sistemul dumneavoastră în acest fel.
Utilizatorii MacOS, ChromeOS și Linux, precum și sistemele de operare mobile iOS și Android, nu ar trebui să se teamă deloc de atacurile WannaCry.
Ce să faci dacă ești victima WannaCry?
Agenția Națională a Crimei (NCA) din Marea Britanie recomandă ca întreprinderile mici care au fost victime ale ransomware-ului și sunt îngrijorate de răspândirea virusului online ar trebui să ia următoarele măsuri:
- Izolați-vă imediat computerul, laptopul sau tableta de rețeaua corporativă/internă. Opriți Wi-Fi.
- Schimbați driverele.
- Fără a vă conecta la o rețea Wi-Fi, conectați-vă computerul direct la Internet.
- Actualizați sistemul de operare și toate celelalte programe software.
- Actualizați și rulați software-ul antivirus.
- Reconectați-vă la rețea.
- Monitorizați traficul de rețea și/sau executați o scanare antivirus pentru a vă asigura că ransomware-ul a dispărut.
Important!
Fișierele criptate de virusul WannaCry nu pot fi decriptate de nimeni, cu excepția atacatorilor. Prin urmare, nu pierdeți timp și bani cu acei „genii IT” care promit să vă salveze de această durere de cap.
Merită să plătiți bani atacatorilor?
Primele întrebări puse de utilizatorii care se confruntă cu noul virus ransomware WannaCry sunt: cum să recuperați fișierele și cum să eliminați un virus. Negăsind soluții gratuite și eficiente, aceștia se confruntă cu o alegere: să plătească bani extortionistului sau nu? Deoarece utilizatorii au adesea ceva de pierdut (documentele personale și arhivele foto sunt stocate pe computer), apare cu adevărat dorința de a rezolva problema cu bani.
Dar NCA îndeamnă cu tărie Nuplăti bani. Dacă decideți să faceți acest lucru, țineți cont de următoarele:
- În primul rând, nu există nicio garanție că veți avea acces la datele dvs.
- În al doilea rând, computerul poate fi în continuare infectat cu un virus chiar și după plată.
- În al treilea rând, cel mai probabil veți da pur și simplu banii infractorilor cibernetici.
Cum să te protejezi de WannaCry?
Vyacheslav Belashov, șeful departamentului de implementare a sistemelor de securitate a informațiilor la SKB Kontur, explică ce acțiuni trebuie întreprinse pentru a preveni infectarea cu virusul:
Particularitatea virusului WannaCry este că poate pătrunde în sistem fără intervenția umană, spre deosebire de alți viruși de criptare. Anterior, pentru ca virusul să funcționeze, era necesar ca utilizatorul să fie neatent - să urmeze un link dubios dintr-un e-mail care nu i-a fost de fapt destinat sau să descarce un atașament rău intenționat. În cazul WannaCry, se exploatează o vulnerabilitate care există direct în sistemul de operare în sine. Prin urmare, computerele bazate pe Windows care nu au instalat actualizările din 14 martie 2017 au fost în primul rând în pericol. O stație de lucru infectată din rețeaua locală este suficientă pentru ca virusul să se răspândească la alții cu vulnerabilități existente.
Utilizatorii afectați de virus au în mod natural o întrebare principală: cum să-și decripteze informațiile? Din păcate, nu există încă o soluție garantată și este puțin probabil să fie prevăzută. Chiar și după achitarea sumei specificate, problema nu este rezolvată. În plus, situația poate fi agravată de faptul că o persoană, în speranța de a-și recupera datele, riscă să folosească decriptoare presupuse „gratuite”, care în realitate sunt și fișiere rău intenționate. Prin urmare, principalul sfat care poate fi dat este să fii atent și să faci tot posibilul pentru a evita o astfel de situație.
Ce anume se poate și trebuie făcut în acest moment:
1. Instalați cele mai recente actualizări.
Acest lucru se aplică nu numai sistemelor de operare, ci și instrumentelor de protecție antivirus. Informații despre actualizarea Windows pot fi găsite aici.
2. Faceți copii de rezervă ale informațiilor importante.
3. Aveți grijă când lucrați cu poșta și internetul.
Trebuie să fiți atenți la e-mailurile primite cu link-uri și atașamente dubioase. Pentru a lucra cu Internetul, este recomandat să utilizați pluginuri care vă permit să scăpați de reclamele inutile și de link-uri către surse potențial rău intenționate.
Una dintre modalitățile de a combate virușii ransomware este interzicerea redenumirii fișierelor. Dacă știm ce extensie va primi fișierul după ce îl criptăm cu un virus, atunci putem interzice pur și simplu crearea de fișiere cu această extensie. De asemenea, vom interzice crearea de fișiere text cunoscute care conțin cereri de ransomware, care la rândul lor vor ajuta la protejarea împotriva virușilor care nu modifică extensia fișierului în timpul criptării.
Instalarea File Server Resource Manager și configurarea șablonului.
Mai întâi, să instalăm rolul „File Server Resource Manager”. Acest lucru se poate face prin Server Manager sau prin Powershell. Să luăm în considerare a doua opțiune:
Instalare-WindowsFeature FS-Resource-Manager -IncludeManagementTools
După instalarea FSRM, asigurați-vă că reporniți serverul.
După repornire Start -> Run -> fsrm.msc
Să creăm un grup Grupuri de fișiere anti-ransomwareși adăugați o extensie pe care vrem să o blocăm.
Adăugarea manuală a totul durează mult timp, așa că automatizăm procesul. Vom prelua lista extensiilor interzise de pe site-ul https://fsrm.experiant.ca
Să creăm și să rulăm un script Powershell ca administrator.
$gr_name = "Grupuri de fișiere anti-Ransomware" $url_site = "https://fsrm.experiant.ca/api/v1/combined" $req=(Invoke-WebRequest -Uri $url_site).conținut | convertfrom-json | % ($_.filters) set-FsrmFileGroup -name $gr_name -IncludePattern @($req)
După executarea scriptului, verificăm grupul Grupuri de fișiere anti-ransomware, ar trebui să apară în el extensiile și numele fișierelor care trebuie blocate.
În setările șablonului, selectați un grup Grupuri de fișiere anti-ransomware presa Bine. În plus, puteți configura o alertă prin e-mail, o intrare în jurnal sau puteți lansa un script sau un program bazat pe un eveniment.
În sfârșit, accesați secțiunea Filtre de blocare a fișierelor.
Aici indicăm calea către directorul care trebuie protejat și șablonul utilizat.
Ca rezultat, atunci când încercați să schimbați extensia fișierului cu ceva care se află în lista noastră Grupuri de fișiere anti-ransomware vom primi o interdicție de înregistrare.
Blocarea utilizatorului infectat.
După detectarea unei infecții, trebuie să luați măsuri la sursa amenințării. Este necesar să interziceți accesul la folderul partajat utilizatorului care a prins ransomware-ul pe computerul său. Pentru a face acest lucru, îl vom plasa pe disc C:\ fişier SmbBlock.ps1 cu urmatorul continut:
Param($nume utilizator = “”) Get-SmbShare -Special $false | Pentru fiecare obiect (Bloc-SmbShareAccess -Nume $_.Nume -Nume cont „$nume utilizator” -Force)
Să revenim la Blocarea tiparelor de filtrareși selectați fila Echipă.
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Comandă „& (C:\smbblock.ps1 -nume utilizator ‘’)”
Ca urmare a executării scriptului, utilizatorul infectat primește o interdicție personală de a intra în folder.
Această metodă de protecție nu este o soluție absolută la această problemă deoarece Scriitorii de viruși nu stau pe loc, dar ca una dintre componentele protecției cuprinzătoare este destul de aplicabil.
Acest articol a fost pregătit în legătură cu un atac masiv de hackeri la scară globală, care te poate afecta și pe tine. Consecințele devin cu adevărat grave. Mai jos veți găsi o scurtă descriere a problemei și o descriere a principalelor măsuri care trebuie luate pentru a vă proteja împotriva familiei de viruși ransomware WannaCry.
Ransomware-ul WannaCry exploatează vulnerabilitatea Microsoft Windows MS17-010 pentru a executa cod rău intenționat și a rula ransomware pe computere vulnerabile, apoi virusul se oferă să plătească atacatorilor aproximativ 300 USD pentru a decripta datele. Virusul s-a răspândit pe scară largă în întreaga lume, primind acoperire activă în mass-media - Fontanka.ru, Gazeta.ru, RBC.
Această vulnerabilitate afectează PC-urile cu sistemul de operare Windows instalat de la XP la Windows 10 și Server 2016 puteți citi informațiile oficiale despre vulnerabilitate de la Microsoft și.
Această vulnerabilitate aparține clasei Executarea codului de la distanță, ceea ce înseamnă că infecția poate fi efectuată de pe un PC deja infectat printr-o rețea cu un nivel de securitate scăzut fără segmentare ME - rețele locale, rețele publice, rețele invitate, precum și prin lansarea de malware primit prin poștă sau ca link.
Măsuri de securitate
Ce măsuri ar trebui identificate ca fiind eficiente pentru combaterea acestui virus:
- Asigurați-vă că aveți instalate cele mai recente actualizări Microsoft Windows pentru a elimina vulnerabilitatea MS17-010. Puteți găsi link-uri către actualizări și, de asemenea, rețineți că, din cauza gravității fără precedent a acestei vulnerabilități, actualizări pentru sistemele de operare neacceptate (windowsXP, server 2003, server 2008) au fost lansate pe 13 mai, le puteți descărca.
- Când utilizați soluții de securitate de rețea de clasă IPS, asigurați-vă că aveți instalate actualizări care includ detectarea și atenuarea vulnerabilităților rețelei. Această vulnerabilitate este descrisă în baza de cunoștințe Check Point; este inclusă în actualizarea IPS din 14 martie 2017, Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). De asemenea, recomandăm configurarea scanării traficului intern pe segmente cheie de rețea folosind IPS, cel puțin pentru o perioadă scurtă de timp, până când probabilitatea de infecție scade.
- Datorită probabilității de modificări ale codului virusului, recomandăm activarea sistemelor AntiBot&Antivirus și emularea lansării fișierelor provenite din surse externe prin poștă sau Internet. Dacă sunteți utilizator Check Point Security Gateway, atunci acest sistem este Threat Emulation. În special pentru companiile care nu au acest abonament, oferim să-l obținem rapid în perioada de probă de 30 de zile. Pentru a solicita o cheie care activează un abonament cu funcții complete pentru poarta Check Point, scrieți la [email protected] Puteți citi mai multe despre sistemele de emulare de fișiere și.
Și mai multe recomandări și un exemplu de raport privind blocarea activității ransomware-ului Wannacry.
Stimați colegi, pe baza experienței de lucru cu atacuri masive anterioare, cum ar fi Heart Bleed, vulnerabilitatea Microsoft Windows MS17-010 va fi exploatată în mod activ în următoarele 30-40 de zile, nu întârziați contramăsurile! Pentru orice eventualitate, verificați funcționarea sistemului dvs. BackUp.
Riscul este chiar mare!
UPD. Joi, 18 mai, la ora 10.00, ora Moscovei, vă invităm la un webinar despre ransomware și metode de protecție.
Webinarul este condus de TS Solution și Sergey Nevstruev, Director de vânzări Check Point Threat Prevention Europa de Est.
Vom acoperi următoarele întrebări:
- Atacul #WannaCry
- Domeniul de aplicare și starea actuală
- Particularități
- Factori de masă
Cum să fii cu un pas înainte și să dormi liniștit
- IPS+AM
- SandBlast: Emularea amenințărilor și Extracția amenințărilor
- Agent SandBlast: Anti-Ransomware
- Agent SandBlast: criminalistică
- Agent SandBlast: Anti-Bot