Контрмеры против заражения новым шифровальщиком WannaCry: рекомендации McAfee и БАКОТЕК
bakotech
  
Новости
Контрмеры против заражения новым шифровальщиком WannaCry: рекомендации McAfee и БАКОТЕК
13 май 2017
 
Всем пользователям решений McAfee.
 
12 мая 2017 года произошло массовое заражение компьютеров под управлением ОС Windows  новым образцом ransomware – шифровальщиком WannaCry (wanna decrypt0r, wanna crtyptor). Причиной столь массового и стремительного распространения вредоноса стало использование эксплойта Eternalblue (уязвимости протокола SMB). Если предыдущие образцы шифровали только локальные файлы и подключенные сетевые диски, то использование этой уязвимости позволяет WannaCry распространяться по сети на все незащищенные системы.
 
Компания McAfee отреагировала оперативно и предоставила рекомендации по усилению защиты с помощью правил Access Protection для VSE и ENS.
Информация обновляется. 
Обратите внимание на то, что внизу статьи опубликованы дополнительные сигнатуры (extra.DAT). Добавьте их в вашу консоль McAfee ePolicy Orchestrator (ePO), чтобы модули защиты на конечных точках смогли нейтрализовать уже изученных образцов WannaCry.
Часть полученных индикаторов компрометации (IOC) доступны в статье An Analysis of the WANNACRY Ransomware outbreak.
 
На текущий момент известно следующее:
  1. Одна из основных точек входа – фишинг со ссылкой на JS dropper, который активирует загрузку payload. Возможно, в процессе анализа вскроются дополнительные детали.
  2. Обновления из бюллетеня MS17-010, которые закрывают уязвимость Eternalblue, защищают только от распространения, но никак не от начального заражения системы.
  3. В связи с непрекращающимся потоком различного рода рассылок (и данной атакой в частности), организациям рекомендуется принять следующие меры по усилению защиты:
  • На уровне конечных точек – блокировать создание и запуск файлов *.exe, *.js*, *.vbs из %AppData%;
  • На уровне почтового шлюза – блокировать сообщения с активным содержимым (*.vbs , *.js, *.jse, *.exe);
  • На уровне proxy – блокировать загрузку архивов содержащих активное содержимое (*.vbs , *.js, *.jse);
  • Для своевременного обнаружения и блокирования атак на ранних стадиях рассмотреть вариант внедрения комплекса, состоящего из «песочницы» McAfee Advanced Threat Defense, модулей McAfee Active Response и Endpoint Security Adaptive Threat Protection; 
  • Проводить регулярные разъяснительные беседы с пользователями на тему фишинга и социальной инженерии с примерами недавних атак.
К списку новостей      >