В начале мая 2017 года появился новый вирус-шифратор, который носит название WanaCrypt0r 2.0 (или в прошлом WCry, WannaCry).
Он действует по такому же принципу, что и все остальные шифраторы:
- На компьютер руками самого пользователя (через письмо в почте, ссылку на сайте, через макросы в документах и т.д.) скачивается и запускается загрузчик, который в свою очередь запускает загрузку механизма шифрования, предварительно отключив защиту вашего компьютера.
- Далее происходит шифрование всех основных пользовательских документов и, что достаточно необычно для шифраторов, этот повреждает базы данных Microsoft Exchange, SQL. Процесс шифрования данных затронет не только локальный компьютер, но и всё, что было доступно с этого компьютера по локальной сети через общедоступные ресурсы (SMB).
- Когда вирус зашифрует всё, до чего сможет добраться, он оставит сообщение о необходимости оплатить расшифровку и полностью удалится с вашего компьютера.
Сообщение от шифратора
— Что нужно сделать, чтобы защитить свои данные от нового вируса WanaCrypt0r 2.0?
1. Резервные копии
Первое и самое важное, нужно позаботиться о резервных копиях ваших данных. Для этого подойдет:
- Любой облачный сервис наподобие Yandex Disk, Google Disk, Dropbox, Onedrive и т.д.
- Резервное копирование на съемные носители (внешний жесткий диск, флешки, NAS)
- В случае с серверным сегментом рекомендуем использовать специализированное ПО для резервного копирования: Windows Server Backup, Symantec Net Backup, Veeam…)
Помните, какая бы серьезная защита от шифраторов WanaCrypt0r 2.0 у вас ни была, только наличие резервной копии данных в защищенном месте позволит вам спать спокойно!
2. Обновления ОС
В случае использования ОС Windows, нужно в обязательном\срочном порядке устанавливать все самые последние обновления от Microsoft. Обязательно нужно проверить наличие обновления из бюллетеня MS17-010.
Обновления на серверах должны устанавливаться только специалистами и при наличии резервных копий данных.
Обновления на рабочих станциях в компаниях, где есть ИТ-отдел или техническая поддержка со стороны ИТ-Аутсорсинговой компании, должны устанавливаться автоматически по заданному расписанию.
Обновления на домашних компьютерах можно установить самостоятельно (Пуск – Панель управления – Центр обновления Windows, Пуск – Параметры – Обновления и безопасность)
Не пожалейте пару часов своего времени и убедитесь, что ваша система имеет все самые последние обновления безопасности.
3. Необходимо использовать системы защиты.
По нашему опыту, использование антивирусных систем, как платных, так и бесплатных — неэффективно: поскольку, по своему принципу, шифратор — это не вирус. Работа шифратора очень похожа на механизм архивации. Представьте, что вы заархивируете документ document.doc в WinRAR и при архивации укажете защиту паролем. А затем переименуете document.rar в в document.wncry. Не похоже на вирус, да?
Мы рекомендуем использовать логику, причём максимально простую! Там, где можно писать – нельзя запускать исполняемые файлы, а где нельзя писать – можно запускать.
Для защиты данных своих клиентов мы используем штатный механизм OS Windows: Software Restriction Policy. С его помощью можно запретить запуск любых исполняемых файлов в нужных папках.
Например, в случае с WanaCrypt0r 2.0, будет заблокирован @WanaDecryptor@.exe. Т.к. файл может быть записан только под учётной записью самого пользователя, а там где разрешена запись – запрещен запуск. Если вирус не сможет запуститься, он не сможет нанести вред вашему компьютеру.
4. Необходимо использовать системы обнаружения, в случае успешного запуска шифратора.
Что бы не допустить повреждения большого количества данных, мы рекомендуем использвать штатный механизм Windows Server – File Server Resource Management.
Принцип работы опять же очень простой: если на сервере появился файл с расширением *.wncry, механизм сразу же определит пользователя, который создал такой файл, и заблокирует доступ на сервер и учетную запись.
Это позволит максимально быстро определить зараженный компьютер в сети и спасти от шифрования основные данные, которые хранятся на сервере.
Подумайте о безопасности заранее! Лучше потратить немного времени сейчас, чем потом думать, как вернуть свои данные.
У нас есть опыт, знания и желание Вам помочь. Позвоните и мы подскажем, как правильно поступить, чтобы минимизировать риски потери данных.