
Новый зловред-шифровальщик: как не стать жертвой
24 октября 2017 года началась массовая вирусная атака, к которой, увы, применим термин «очередная», – шифровальщик BadRabbit заблокировал работу многих пользователей в России, Украине, Турции, Японии, Болгарии и Германии. По имеющимся данным, нарушен ряд сервисов в киевском метрополитене и ряде других организаций.
Несмотря на аналогии с предыдущими атаками WannaCry и NotPetya, для распространения BadRabbit не использует уязвимость EternalBlue из арсенала спецслужб. Вместо этого злоумышленники взломали несколько популярных сайтов, с которых под видом обновления AdobeFlashPlayer доставляется вредоносный код. Далее следует повышение привилегий, распространение по сети на соседние хосты с подбором паролей и, собственно, шифрование данных с требованием выкупа на биткоин-кошелек.
Антивирусные вендоры достаточно оперативно добавили сигнатуры нового зловреда в свои базы, некоторые заявляют и о детектировании сразу в момент появления эвристическими методами.
Что следует сделать сейчас, чтобы не пополнить число жертв атаки BadRabbit?
- Обновите используемый антивирус.
- Заблокируйте исполнение файла c:\windows\infpub.dat, с:\windows\cscc.dat.
- Запретите (если это возможно) использование сервиса WMI.
- Поменяйте пароли на сложные (9 и более символов, с использованием цифр, спецсимволов и сменой регистров).
- Включите блокировку всплывающих окон на хостах пользователей.
- Для проверки защищенности от данных атак рекомендуем проведение бесплатного хелсчека от Softline (предложение действует в случае заключения договора на техническую поддержку систем кибербезопасности).
Если атака уже началась – отключите компьютер от сети и обратитесь в корпоративную службу кибербезопасности или напрямую в Softline.
Чтобы быть готовыми к появлению подобных зловредных программ, рекомендуется следующее:
- Создание системы повышения осведомленности пользователей (все 3 упомянутых вируса-шифровальщика скрываются под легитимные файлы обновлений или документы).
- Мы рекомендуем решение на базе технологий PhishMan.
- Подключение к SOC (в дальнейшем для крупных компаний и холдингов создание собственного), что обеспечивает оперативное реагирование экспертного уровня и возможность блокировки начавшейся атаки.
- Создание системы резервного копирования.
- В качестве основы мы рекомендуем продукты следующих производителей: Veritas, HP и Veeam.
- Создание надежной системы обновления используемого ПО.
- Для проверки установки соответствующих патчей мы рекомендуем системы управления уязвимостями на основе Positive Technologies MaxPatrol.
- Для многих организаций целесообразно создание систем защиты от целевых атак (антиAPT), которые обнаруживают новые ранее неизвестные атаки.
- Мы рекомендуем решения Kaspersky КАТА и CheckPoint SandBlast, а также GroupIB.
- Полностью убедиться в надежности защитных мер можно, заказав в Softline аудит кибербезопасности вашей компании.
Подпишитесь на нашу рассылку последних новостей и событий
Подписаться