Ooops, your files have been encrypted! — Эпидемия нового вируса-шифратора WanaCrypt0r 2.0

В начале мая 2017 года появился новый вирус-шифратор, который носит название WanaCrypt0r 2.0 (или в прошлом WCry, WannaCry).

Он действует по такому же принципу, что и все остальные шифраторы:

  1. На компьютер руками самого пользователя (через письмо в почте, ссылку на сайте, через макросы в документах и т.д.) скачивается и запускается загрузчик, который в свою очередь запускает загрузку механизма шифрования, предварительно отключив защиту вашего компьютера.
  2. Далее происходит шифрование всех основных пользовательских документов и, что достаточно необычно для шифраторов, этот повреждает базы данных Microsoft Exchange, SQL. Процесс шифрования данных затронет не только локальный компьютер, но и всё, что было доступно с этого компьютера по локальной сети через общедоступные ресурсы (SMB).
  3. Когда вирус зашифрует всё, до чего сможет добраться, он оставит сообщение о необходимости оплатить расшифровку и полностью удалится с вашего компьютера.

Сообщение от шифратора

— Что нужно сделать, чтобы защитить свои данные от нового вируса WanaCrypt0r 2.0?

1. Резервные копии

Первое и самое важное, нужно позаботиться о резервных копиях ваших данных. Для этого подойдет:

  • Любой облачный сервис наподобие Yandex Disk, Google Disk, Dropbox, Onedrive и т.д.
  • Резервное копирование на съемные носители (внешний жесткий диск, флешки, NAS)
  • В случае с серверным сегментом рекомендуем использовать специализированное ПО для резервного копирования: Windows Server Backup, Symantec Net Backup, Veeam…)

Помните, какая бы серьезная защита от шифраторов WanaCrypt0r 2.0 у вас ни была, только наличие резервной копии данных в защищенном месте позволит вам спать спокойно!

2. Обновления ОС

В случае использования ОС Windows, нужно в обязательном\срочном порядке устанавливать все самые последние обновления от Microsoft. Обязательно нужно проверить наличие обновления из бюллетеня MS17-010.

Обновления на серверах должны устанавливаться только специалистами и при наличии резервных копий данных.

Обновления на рабочих станциях в компаниях, где есть ИТ-отдел или техническая поддержка со стороны ИТ-Аутсорсинговой компании, должны устанавливаться автоматически по заданному расписанию.

Обновления на домашних компьютерах можно установить самостоятельно (Пуск – Панель управления – Центр обновления Windows, Пуск – Параметры – Обновления и безопасность)

Не пожалейте пару часов своего времени и убедитесь, что ваша система имеет все самые последние обновления безопасности.

3. Необходимо использовать системы защиты.

По нашему опыту, использование антивирусных систем, как платных, так и бесплатных — неэффективно: поскольку, по своему принципу, шифратор — это не вирус. Работа шифратора очень похожа на механизм архивации. Представьте, что вы заархивируете документ document.doc в WinRAR и при архивации укажете защиту паролем. А затем переименуете document.rar в в document.wncry. Не похоже на вирус, да?

Мы рекомендуем использовать логику, причём максимально простую! Там, где можно писать – нельзя запускать исполняемые файлы, а где нельзя писать – можно запускать.

Для защиты данных своих клиентов мы используем штатный механизм OS Windows: Software Restriction Policy. С его помощью можно запретить запуск любых исполняемых файлов в нужных папках.

Например, в случае с WanaCrypt0r 2.0, будет заблокирован @WanaDecryptor@.exe. Т.к. файл может быть записан только под учётной записью самого пользователя, а там где разрешена запись – запрещен запуск. Если вирус не сможет запуститься, он не сможет нанести вред вашему компьютеру.

4. Необходимо использовать системы обнаружения, в случае успешного запуска шифратора.

Что бы не допустить повреждения большого количества данных, мы рекомендуем использвать штатный механизм Windows Server – File Server Resource Management.

Принцип работы опять же очень простой: если на сервере появился файл с расширением *.wncry, механизм сразу же определит пользователя, который создал такой файл, и заблокирует доступ на сервер и учетную запись.

Это позволит максимально быстро определить зараженный компьютер в сети и спасти от шифрования основные данные, которые хранятся на сервере.

Подумайте о безопасности заранее! Лучше потратить немного времени сейчас, чем потом думать, как вернуть свои данные.

У нас есть опыт, знания и желание Вам помочь. Позвоните и мы подскажем, как правильно поступить, чтобы минимизировать риски потери данных.

Хотите так же?
Звоните: +7 499 404 06 10
Пишите: support@at-it.ru