Один из способов борьбы с вирусами-вымогателями это запрет на переименование файлов. Если мы знаем какое расширение получит файл после шифрования вирусом то можно просто запретить создавать файлы с этим расширением. Также запретим создание известных текстовых файлов в которых содержится требования вымогателей, что в свою очередь поможет уберечься от вирусов не меняющих расширение файлов при шифровании.

Установка Диспетчера ресурсов файлового сервера и настройка шаблона.

Сперва установим роль “Диспетчер ресурсов файлового сервера”. Сделать это можно через Диспетчер сервера или через Powershell . Рассмотрим второй вариант:

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

После установки FSRM обязательно перегружаем сервер.

После перезагрузки Пуск -> Выполнить -> fsrm.msc

Создадим группу Anti-Ransomware File Groups и добавим в нее какое-нибудь расширение которое хотим блокировать.

Вручную все добавлять очень долго, поэтому мы процесс автоматизируем. Список запрещенных расширений будем брать с сайта https://fsrm.experiant.ca

Создадим и запустим от имени администратора скрипт на Powershell.

$gr_name = "Anti-Ransomware File Groups" $url_site = "https://fsrm.experiant.ca/api/v1/combined" $req=(Invoke-WebRequest -Uri $url_site).content | convertfrom-json | % {$_.filters} set-FsrmFileGroup -name $gr_name -IncludePattern @($req)

После исполнения скрипта проверяем группу Anti-Ransomware File Groups , в ней должны появится расширения и имена файлов подлежащие блокировке.

В настройках шаблона выбираем группу Anti-Ransomware File Groups нажимаем Ok . Дополнительно можно настроить оповещение на электронную почту, запись в лог, запуск скрипта или программы по событию.

В завершении, переходим в раздел Фильтры блокировки файлов .

Здесь указываем путь к каталогу который необходимо защитить и применяемый шаблон.

В результате при попытке поменять расширение файла на то, что есть в нашем списке Anti-Ransomware File Groups мы получим запрет на запись.

Блокировка зараженного пользователя.

После обнаружения заражения нужно принять меры к источнику угрозы. Необходимо закрыть доступ к общей папке пользователю, поймавшему на свой компьютер шифровальщик. Для этого разместим на диске C:\ файл SmbBlock.ps1 со следующим содержанием:

Param($username = “”) Get-SmbShare -Special $false | ForEach-Object { Block-SmbShareAccess -Name $_.Name -AccountName “$username” -Force }

Вернемся к Шаблонам фильтра блокировки и выберем вкладку Команда .

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Command "& {C:\smbblock.ps1 -username ‘’}"

В результате выполнения скрипта зараженный пользователь получает персональный запрет на вход в папку.

Данный способ защиты не является абсолютным решением данной проблемы т.к. писатели вирусов не стоят на месте, но в качестве одной из компонент комплексной защиты вполне применим.

Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2.0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.

Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а через семь дней файлы вообще невозможно будет расшифровать .

Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.

Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.

Что делать, если вы стали жертвой WannaCry?

Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:

• Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.
• Поменяйте драйвера.
• Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
• Обновите операционную систему и все остальное ПО.
• Обновите и запустите антивирусник.
• Повторно подключитесь к сети.
• Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.

Важно!

Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников. Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.

Стоит ли платить деньги злоумышленникам?

Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус . Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.

Но NCA настойчиво призывает не платить деньги . Если же вы все-таки решитесь это сделать, то имейте в виду следующее:

• Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
• Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
• В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.

Как защититься от WannaCry?

Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:

Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось, либо скачал вредоносное вложение. В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года. Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.

У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается. К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами. Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.

Что именно можно и необходимо предпринять на данный момент:

1. Установить последние обновления.

Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать .

2. Сделать резервные копии важной информации.

3. Быть внимательными при работе с почтой и сетью интернет.

Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.

12 апреля 2017 года появилась информация о стремительном распространении по всему миру вируса-шифровальщика под названием WannaCry, что можно перевести как «Хочется плакать». У пользователей появились вопросы про обновление Windows от вируса WannaCry.

Вирус на экране компьютера выглядит так:

Нехороший вирус WannaCry, который все шифрует

Вирус шифрует все файлы на компьютере и требует выкуп на кошелек Биткоина в сумме 300$ или 600$ для якобы расшифровки компьютера. Заражению подверглись компьютеры в 150 странах мира, самая пострадавшая – Россия.

Мегафон, РЖД, МВД, Минздрав и другие компании вплотную столкнулись с этим вирусом. Среди пострадавших есть и простые пользователи Интернета.

Перед вирусом практически все равны. Разница, пожалуй, в том, что в компаниях вирус распространяется по всей локальной сети внутри организации и мгновенно заражает максимально возможное количество компьютеров.

Вирус WannaCry шифрует файлы на компьютерах, использующих Windows. В компании Microsoft еще в марте 2017 года были выпущены обновления MS17-010 для различных версий Windows XP, Vista, 7, 8, 10.

Получается, что те, у кого настроено автоматическое обновление Windows, находятся вне зоны риска для вируса, ибо своевременно получили обновление и смогли его избежать. Не берусь утверждать, что так оно и есть на самом деле.

Рис. 3. Сообщение при установке обновления KB4012212

Обновление KB4012212 после установки потребовало перезагрузки ноутбука, что мне не очень понравилось, ибо неизвестно, чем это может закончиться, но куда деваться пользователю? Впрочем, перезагрузка прошла нормально. Значит, живем спокойно до следующей вирусной атаки, а что такие атаки будут – сомневаться, увы, не приходится.

Вирусы одни побеждают, другие появляются снова. Эта борьба будет, очевидно, бесконечной.

Видео “Хочется плакать”: вирус-вымогатель заразил 75 тысяч систем в 99 странах

Получайте актуальные статьи по компьютерной грамотности прямо на ваш почтовый ящик .
Уже более 3.000 подписчиков

.

Во-первых, важно, что шифровальщик WannaCry существует только для Windows. Если на вашем устройстве в качестве операционной системы используется macOS, iOS, Android, Linux или что угодно другое, то для него этот зловред угрозы не представляет.

А вот для устройств на Windows - представляет. Но для разных версий Windows нужны разные патчи. Так что перед тем, как что-то ставить, нужно разобраться, какая у вас версия Windows.

Делается это так:

• Нажмите на клавиатуре клавиши и [R] одновременно.
• В появившемся окне введите winver и нажмите OK.

В появившемся окне будет указана версия Windows.

2. Установите патч MS17-010, который закрывает уязвимость Windows

При нажатии на нужную ссылку скачается исполняемый файл с расширением MSU с необходимым обновлением. Нажмите на него и далее следуйте подсказкам мастера установки. После окончания установки на всякий случай перезагрузите систему. Готово - уязвимость закрыта, просто так на ваш компьютер WannaCry уже не проберется.

3. Проверьте компьютер на вирусы

Возможно, WannaCry успел пролезть на ваш компьютер до того, как вы закрыли уязвимость. Так что на всякий случай стоит проверить компьютер на вирусы.

сли у вас нет антивируса, то скачайте бесплатную 30-дневную версию Kaspersky Internet Security . Если же у вас уже установлено защитное решение «Лаборатории Касперского», сделайте вот что.

• Убедитесь, что у вас включен модуль Мониторинг активности. Для этого зайдите в настройки, выберите раздел Защита и убедитесь, что напротив пункта Мониторинг активности написано Вкл.
• Запустите быструю проверку компьютера на вирусы. Для этого в интерфейсе антивирусного решения выберите раздел Проверка, в нем - пункт Быстрая проверка, а затем нажмите Запустить проверку.
• Если антивирус обнаружит зловреда с вердиктом Trojan.Win64.EquationDrug.gen - его надо удалить, а затем перезагрузить компьютер.

Все, вы защищены от WannaCry . Теперь позаботьтесь о родных и друзьях, которые не умеют защищать свои устройства сами.

Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.

Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010 , чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру , Газета.ру , РБК .

Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать и .

Эта уязвимость относится к классу Remote code execution , что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ - локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.

Меры безопасности

Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

1. Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете , а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости - 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать .
2. Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана , она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
3. В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation. Специально для компаний, не имеющих данной подписки, мы предлагаем быстро оформить её в триальный период 30 дней. Для того чтобы запросить ключ активирующий полнофункциональную подписку для вашего шлюза Check Point - напишите на почту [email protected] Подробнее про системы эмуляции файлов вы можете прочитать , и .

Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:

Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry .

Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.

Риск действительно большой!

UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.

Вебинар проводит компания TS Solution и Сергей Невструев, Check Point Threat Prevention Sales Manager Eastern Europe.
Мы затронем следующие вопросы:

• Атака #WannaCry
• Масштаб и текущее состояние
• Особенности
• Факторы массовости

Рекомендации по безопасности

Как быть на шаг впереди и спать спокойно

• IPS + AM
• SandBlast: Threat Emulation и Threat Extraction
• SandBlast Agent: Anti-Ransomware
• SandBlast Agent: Forensics
• SandBlast Agent: Anti-Bot

Зарегистрировать можно, ответив на это письмо, либо пройдя по ссылке на регистрацию