Новый зловред-шифровальщик: как не стать жертвой

24 октября 2017 года началась массовая вирусная атака, к которой, увы, применим термин «очередная», – шифровальщик BadRabbit заблокировал работу многих пользователей в России, Украине, Турции, Японии, Болгарии и Германии. По имеющимся данным, нарушен ряд сервисов в киевском метрополитене и ряде других организаций.

Несмотря на аналогии с предыдущими атаками WannaCry и NotPetya, для распространения BadRabbit не использует уязвимость EternalBlue из арсенала спецслужб. Вместо этого злоумышленники взломали несколько популярных сайтов, с которых под видом обновления AdobeFlashPlayer доставляется вредоносный код. Далее следует повышение привилегий, распространение по сети на соседние хосты с подбором паролей и, собственно, шифрование данных с требованием выкупа на биткоин-кошелек.

Антивирусные вендоры достаточно оперативно добавили сигнатуры нового зловреда в свои базы, некоторые заявляют и о детектировании сразу в момент появления эвристическими методами.

Что следует сделать сейчас, чтобы не пополнить число жертв атаки BadRabbit?

• Обновите используемый антивирус.
• Заблокируйте исполнение файла c:\windows\infpub.dat, с:\windows\cscc.dat.
• Запретите (если это возможно) использование сервиса WMI.
• Поменяйте пароли на сложные (9 и более символов, с использованием цифр, спецсимволов и сменой регистров).
• Включите блокировку всплывающих окон на хостах пользователей.
• Для проверки защищенности от данных атак рекомендуем проведение бесплатного хелсчека от Softline (предложение действует в случае заключения договора на техническую поддержку систем кибербезопасности).

Если атака уже началась – отключите компьютер от сети и обратитесь в корпоративную службу кибербезопасности или напрямую в Softline.

Чтобы быть готовыми к появлению подобных зловредных программ, рекомендуется следующее:

• Создание системы повышения осведомленности пользователей (все 3 упомянутых вируса-шифровальщика скрываются под легитимные файлы обновлений или документы).
• Мы рекомендуем решение на базе технологий PhishMan.
• Подключение к SOC (в дальнейшем для крупных компаний и холдингов создание собственного), что обеспечивает оперативное реагирование экспертного уровня и возможность блокировки начавшейся атаки.
• Создание системы резервного копирования.
• В качестве основы мы рекомендуем продукты следующих производителей: Veritas, HP и Veeam.
• Создание надежной системы обновления используемого ПО.
• Для проверки установки соответствующих патчей мы рекомендуем системы управления уязвимостями на основе Positive Technologies MaxPatrol.
• Для многих организаций целесообразно создание систем защиты от целевых атак (антиAPT), которые обнаруживают новые ранее неизвестные атаки.
• Мы рекомендуем решения Kaspersky КАТА и CheckPoint SandBlast, а также GroupIB.
• Полностью убедиться в надежности защитных мер можно, заказав в Softline аудит кибербезопасности вашей компании.