Bezprecedensowe pojawienie się trojana ransomware WannaCry masowo uderzyło w użytkowników domowych i firmy. Opublikowaliśmy już kilka podstawowych informacji na temat zagrożenia WannaCry, a dziś przedstawimy kolejne porady, odpowiednie zwłaszcza dla firm. Wiedza odnośnie tego, czym jest WannaCry, jak się rozprzestrzenia, jakie stwarza zagrożenie i jak się przed nim ochronić, jest niezmiernie istotna.
Czy należy wykonać teraz jakieś działania?
Jednym z powodów szybkiego rozprzestrzeniania się trojana jest fakt, że wykorzystuje on znaną lukę w systemie Windows i nie wymaga interakcji ze strony użytkownika (popełnienie błędu). Po zainfekowaniu komputera szkodliwy program próbuje się rozprzestrzenić na pozostałe systemy znajdujące się w sieci lokalnej.
W związku z tym w pierwszej kolejności należy usunąć wspomnianą lukę. Administratorzy systemu powinni zastosować się do poniższych porad:
- Zainstaluj łatę udostępnioną przez firmę Microsoft. Jest ona dostępna nie tylko dla systemu Windows 10, ale także dla wcześniejszych wersji: Windows 8, 7, Vista, a nawet Windows XP czy Server 2003. Poprawka ta eliminuje lukę wykorzystywaną przez ransomware do infekowania systemów znajdujących się w sieci lokalnej.
- Jeśli z jakiegoś powodu zainstalowanie łaty nie jest możliwe, zamknij port 445 przy użyciu zapory sieciowej. Uniemożliwi to atak robaka poprzez sieć i pomoże zapobiec infekcji. Jednak sposób ten należy traktować tylko jako rozwiązanie tymczasowe: zamknięcie wspomnianego portu spowoduje zatrzymanie wielu istotnych usług sieciowych i dlatego nie jest to rozwiązanie idealne.
- Upewnij się, że wszystkie systemy znajdujące się w sieci są chronione. Jest to bardzo ważne: jeśli system nie zostanie załatany lub port 445 nie zostanie zamknięty, jeden zainfekowany komputer może zarazić pozostałe.
- Możesz także użyć darmowego rozwiązania Kaspersky Anti-Ransomware Tool, które skutecznie chroni prze programami typu kryptomalware. Ponadto można z niego skorzystać mimo obecności innych produktów chroniących przed szkodliwymi programami; jest on kompatybilny z większością znanych produktów zabezpieczających i nie wpływa na ich działanie.
A jeśli używasz już produktów Kaspersky Lab…
Użytkownicy naszych produktów są już chronieni przed programami żądającymi okupu, w tym także przed WannaCry. Jednak mimo to zalecamy podjęcie kilku dodatkowych kroków mających na celu zmaksymalizowanie ochrony.
- Sprawdź, czy masz zainstalowaną łatę udostępnioną przez firmę Microsoft.
- Upewnij się, że używany produkt zabezpieczający zawiera moduł Kontrola systemu, który proaktywnie monitoruje zachowanie procesów w systemie, oraz że jest on włączony. Instrukcje znajdziesz tutaj.
- Jeśli w Twojej sieci lokalnej odnotowano przypadki infekcji, uruchom skanowanie obszarów krytycznych. Zadanie to powinno uruchomić się automatycznie, ale im szybciej zadziałasz, tym lepiej. Teoretycznie szkodliwy program może już być zainstalowany w systemie, ale nie rozpoczął jeszcze szyfrowania plików.
- Jeśli podczas skanowania zostanie wykryte zagrożenie MEM:Trojan.Win64.EquationDrug.gen, usuń je i uruchom system ponownie.
Jeśli w sieciach znajdują się systemy osadzone
Systemy osadzone są szczególnie podatne na zagrożenie WannaCry, głównie dlatego, że są one słabiej chronione. Chociaż systemy bankomatów i punktów POS są zazwyczaj chronione przy użyciu wyspecjalizowanych rozwiązań, ich ochrona jako terminali informacyjnych jest pomijana. Z kolei przywrócenie działania takich systemów może kosztować fortunę, zwłaszcza jeśli firma używa ich setki.
Zalecamy korzystanie z produktów, które stosują tryb Odmowy domyślnej. Kaspersky Embedded Systems Security został utworzony specjalnie z myślą o systemach osadzonych oraz zapewnia skuteczną, lecz oszczędzającą zasoby ochronę.
Webinarium na temat zagrożenia WannaCry
Aby pomóc firmom zrozumieć i zwalczyć program żądający okupu WannaCry, nasi eksperci przygotowali nadzwyczajnie seminarium internetowe. Juan Andres Guerrero-Saade, starszy badacz ds. bezpieczeństwa z naszego Globalnego Zespołu ds. Badań i Analiz (GReAT) oraz Matt Suiche z firmy Comae Technologies zaprezentowali najnowsze informacje na temat tego, w jaki sposób omawiane ransomware pokonuje zabezpieczenia, a także kolejne etapy ataku.
Eksperci wyjaśnili również, jak organizacje mogą sprawdzić, czy zostały zainfekowane, a także wymienili najważniejsze działania, jakie trzeba podjąć na rzecz zabezpieczenia sieci i punktów końcowych przed omawianym zagrożeniem. Ponadto omówili możliwe powiązania między zagrożeniem WannaCry a niesławną grupą Lazarus. Nagranie z webinarium jest dostępne po kliknięciu poniższego banneru: