Aktualizace proti viru ransomware. WannaCry: jak se chránit před virem ransomware. Automatické blokování přístupu pro uživatele infikovaného ransomwarem

Aktualizace proti viru ransomware. WannaCry: jak se chránit před virem ransomware. Automatické blokování přístupu pro uživatele infikovaného ransomwarem

Za prvé, je důležité, aby ransomware WannaCry existoval pouze pro Windows. Pokud na vašem zařízení jako operační systém Pokud používáte macOS, iOS, Android, Linux nebo cokoli jiného, ​​tento malware pro něj nepředstavuje hrozbu.

Ale pro zařízení s Windows ano. Ale pro různé verze Windows potřebuje různé záplaty. Než tedy něco nainstalujete, musíte zjistit, jakou verzi Windows máte.

Dělá se to takto:

  • Stiskněte současně klávesy a [R] na klávesnici.
  • V zobrazeném okně zadejte winver a klikněte na OK.

V okně, které se objeví, bude uvedena verze systému Windows.

2. Nainstalujte opravu MS17-010, která zavře zranitelnost systému Windows

Když kliknete na požadovaný odkaz bude stahovat spustitelný soubor s rozšířením MSU s nutná aktualizace. Klikněte na něj a poté postupujte podle pokynů průvodce instalací. Po dokončení instalace pro jistotu restartujte systém. Hotovo – zranitelnost je uzavřena, stejně jako ve vašem počítači WannaCry už neprojde.

3. Zkontrolujte, zda váš počítač neobsahuje viry

Je možné, že se WannaCry podařilo dostat do vašeho počítače dříve, než jste zranitelnost odstranili. Takže pro každý případ byste měli zkontrolovat, zda váš počítač neobsahuje viry.

Pokud nemáte antivirus, stáhněte si bezplatnou 30denní verzi Kaspersky Internet Security. Pokud ji již máte nainstalovanou bezpečnostní řešení Kaspersky Lab, udělejte to.

  • Ujistěte se, že máte povolený modul Activity Monitor. Chcete-li to provést, přejděte do nastavení, vyberte část Ochrana a ujistěte se, že je vedle položky Sledování aktivity uvedeno Zapnuto.
  • Spusťte rychlou kontrolu počítače na přítomnost virů. Chcete-li to provést v rozhraní antivirové řešení vyberte sekci Kontrola, v ní položku Rychlá kontrola a poté klikněte na Spustit skenování.
  • Pokud antivirus detekuje malware s verdiktem Trojan.Win64.EquationDrug.gen, musí být odstraněn a poté restartován.

To je vše, jste chráněni před WannaCry. Nyní se postarejte o rodinu a přátele, kteří nevědí, jak sami chránit svá zařízení.

Letos na podzim byl Windows 10 aktualizován na verzi 1709 s kódovým označením Fall. Aktualizace tvůrců nebo Redstone 3. Mezi mnoha změnami nás zaujala především vylepšená ochrana proti neznámému malwaru. Společnost Microsoft přijala řadu opatření proti ransomwarovým trojským koním a exploitům. Jak byli úspěšní?

Starý nový obránce

Všechno nové je dobře označené staré. V „podzimní aktualizaci pro designéry“ byly v „Centru zabezpečení“ zkombinovány vestavěné bezpečnostní komponenty Windows Defender" Dokonce i softwarový firewall se začal nazývat „Windows Defender Firewall“, ale tyto změny jsou čistě kosmetické. Ty výraznější se týkají novinek, na které se podíváme podrobněji níže.

Další staronová součást představená v Redstone 3 se jmenuje Exploit Protection. Windows Defender Exploit Guard, nebo jednoduše EG, je povolena prostřednictvím Centra zabezpečení Windows Defender v části Ovládání aplikací a prohlížeče.

Technicky je Exploit Guard bývalou sadou nástrojů Enhanced Mitigation Experience Toolkit s mírně rozšířenou sadou funkcí a novým rozhraním. EMET se objevil v dobách Windows Vista, nyní byla ukončena a její místo zaujal Exploit Guard. Patří mezi nástroje Advanced Threat Protection spolu se správcem zásuvných modulů zařízení Zařízení Stráž a aplikační stráž. Zlí jazykové říkají, že Microsoft původně chtěl představit společnou komponentu Pokročilý systém Bezpečnostní stráž, ale zkratka se ukázala jako zcela disonantní.

Ochrana před zneužitím

Exploit Guard je pouze nástroj na snížení rizik, neodstraňuje nutnost uzavřít zranitelná místa v softwaru, ale ztěžuje jejich použití. Obecně platí, že princip fungování Exploit Guard je zakázat ty operace, které malware nejčastěji používá.

Problém je v tom, že je používá i mnoho legitimních programů. Navíc existují staré programy (nebo spíše dynamické knihovny), který při použití v Windows nové funkce ovládání paměti a další moderní prostředky ochrana.

Nastavení Exploit Guard je tedy stejné jako dříve pomocí EMET. V mé paměti mnoho správců strávilo měsíce ponořením se do spletitostí nastavení a poté jednoduše přestali používat omezující funkce kvůli četným stížnostem uživatelů.

Pokud je bezpečnost na prvním místě a potřebujete utáhnout šrouby, pak nejoblíbenější funkce Exploit Guard byly (od EMET) a zůstávají:

  • DEP(Data Execution Prevention) - zamezení spuštění dat. Neumožňuje spuštění fragmentu kódu, který skončí v oblasti paměti, která není pro tento účel určena (například v důsledku chyby přetečení zásobníku);
  • náhodné přerozdělení paměti- zabraňuje útokům na známé adresy;
  • deaktivace rozšiřujících bodů- zabraňuje vkládání DLL do běžících procesů (viz o obcházení UAC, kde byla tato metoda široce používána);
  • tým DisallowChildProcessCreation- zakazuje specifikovaná aplikace vytvářet podřízené procesy;
  • filtrování importních adresních tabulek (IAF) a exportních adresních tabulek (EAF)- zabrání (škodlivému) procesu v hrubém vynucování tabulek adres a přístupu na paměťovou stránku systémových knihoven;
  • CallerCheck- kontroluje práva volat důvěrná API;
  • SimExec- simulace provádění. Kontroluje před skutečným spuštěním kódu, komu se vrátí citlivá volání API.

Příkazy lze předávat přes PowerShell. Například zákaz vytváření podřízených procesů vypadá takto:

Set-ProcessMitigation -Name executable.exe -Enable DisallowChildProcessCreation

Všechny procesory a čipové sady x86 za posledních deset let podporují funkci DEP on hardwarová úroveň a pro velmi staré lidi je k dispozici implementace softwaru tuto funkci. Nicméně z důvodu kompatibility nového Verze Windows se starším softwarem společnost Microsoft stále doporučuje povolit funkci DEP v „pouze pro systémové procesy" Ze stejného důvodu bylo možné zakázat funkci DEP pro jakýkoli proces. To vše bylo úspěšně použito v technikách bypassu DEP.

Proto má smysl používat Exploit Guard pouze v případě, že je možné použít několik ochranné funkce, aniž by došlo k výpadku alespoň v provozu hlavních aplikací. V praxi je to zřídka možné. Zde je příklad profilu EG převedeného z EMET, který obecně způsobuje pád Windows 10 do BSoD. Kdysi měl Hacker sekci „Western Construction“ a Exploit Guard by se do ní perfektně hodil.

Pokračování je dostupné pouze pro předplatitele

Možnost 1. Chcete-li si přečíst všechny materiály na webu, přihlaste se k odběru Hacker

Předplatné vám umožní číst VŠECHNY placené materiály na webu ve stanovené lhůtě. Přijímáme platbu bankovních karet, elektronické peníze a převody z účtů mobilních operátorů.

První místo v soutěži obsadil Anton Sevostyanov s aktuálním průvodcem ochrany před ransomwarem. Anton pracuje jako správce systému a školí uživatele informační technologie. Další videonávody najdete na jeho webu.

Dnes se staly oblíbeným nástrojem kyberzločinců. S jejich pomocí zločinci vymáhají peníze od firem a běžní uživatelé. Uživatelé mohou zaplatit desítky tisíc rublů za odemknutí osobních souborů amajitelé firem - miliony (například pokud je blokována databáze 1C).



V této příručce nabízím několik způsobů, jak se chránit před ransomwarem, které vám pomohou udržet vaše data co nejbezpečnější.


Antivirová ochrana

Mezi všemi prostředky ochrany je antivirus na prvním místě (používám). Virové databáze Data se automaticky aktualizují několikrát denně bez zásahu uživatele, ale je potřeba sledovat i relevanci samotného programu. Kromě aktualizace antivirových databází vývojáři pravidelně přidávají do svých produktů moderní nástroje antivirové ochrany.

Jedním z těchto prostředků je cloudová služba ESET LiveGrid®, který dokáže zablokovat virus ještě před jeho zavedením antivirová databáze. systém ESET„za běhu“ analyzuje informace o podezřelém programu a určuje jeho pověst. V případě podezření na virus budou všechny procesy programu zablokovány.

Zkontrolujte, zda je povoleno Funkce ESET LiveGrid® lze provést následovně: ESET NOD32 - Další nastavení - Utility- ESET LiveGrid® - Povolení systému reputace ESET LiveGrid®.

Efektivitu ESET LiveGrid® můžete vyhodnotit na webu určeném pro testování provozu kteréhokoli antivirové produkty. Postupujte podle odkazu Kontrola bezpečnostních funkcí - Kontrola nastavení funkcí pro řešení pro stolní počítače osobní počítače) nebo Nastavení funkcí Zkontrolovat řešení založená na Androidu – Otestujte, zda je vaše cloudová ochrana povolena cloudová ochrana). Dále jsme požádáni o stažení testovacího souboru, a pokud na něj antivirus odpověděl, ochrana je aktivní, pokud ne, musíme zjistit, co se děje.


Aktualizace operačního systému a softwarových produktů

Útočníci často využívají známé zranitelnosti software v naději, že uživatelé ještě nenainstalovali Poslední aktualizace. V první řadě se to týká operačního sálu Systémy Windows, takže byste měli zkontrolovat a v případě potřeby aktivovat automatické aktualizace OS (Start - Ovládací panely - Centrum Aktualizace systému Windows- Nastavení parametrů - Výběr způsobu stahování a instalace aktualizací).


Zakázání šifrovací služby


Windows poskytuje speciální službašifrování dat; Pokud ji nepoužíváte pravidelně, je lepší ji deaktivovat – některé modifikace ransomwaru mohou tuto funkci využívat pro své vlastní účely. Chcete-li zakázat službu šifrování, musíte ji spustit následující akce: Start - Ovládací panely - Správa - Služby - Šifrované souborový systém(EFS) a restartujte systém.

Vezměte prosím na vědomí, že pokud jste k ochraně souborů nebo složek použili šifrování, měli byste zrušit zaškrtnutí příslušných políček (RMB - Vlastnosti - Atributy - Pokročilé - Šifrovat obsah pro ochranu dat). Jinak po deaktivaci šifrovací služby nebudete mít k těmto souborům přístup. Zjištění, které soubory byly zašifrovány, je velmi jednoduché – budou zvýrazněny zeleně.


Omezené používání programů

Pro zvýšení úrovně zabezpečení můžete zablokovat spouštění jakýchkoli programů, které nesplňují námi stanovené požadavky. Ve výchozím nastavení jsou tato nastavení nastavena pouze pro složky Windows a Program Files.

Nastavit místní skupinová politika můžete to udělat: Spustit - gpedit - Konfigurace počítače - Konfigurace Windows- Nastavení zabezpečení - Zásady omezené použití programy - RMB - Vytvořte politiku omezení softwaru.

Vytvořme pravidlo, které zakáže spouštění programů z jiných než povolených míst ( Další pravidla- RMB - Vytvořte pravidlo pro cestu - Cesta: *, tzn. jakákoli cesta - Úroveň zabezpečení: Zakázáno).

Okno Určené typy souborů určuje přípony, které budou při pokusu o spuštění blokovány. Doporučuji vám přidat sem příponu .js - java script a odebrat .ink, abyste mohli spouštět programy pomocí zkratek.

Na efektivní nastavení může odejít určitý čas, ale výsledek rozhodně stojí za to.


Pomocí standardního uživatelského účtu


Práce s účtem správce se nedoporučuje ani pokročilým uživatelům. Omezení práv účtu minimalizuje škody v případě náhodné infekce (Povolit účet správce - Nastavit heslo - Odebrat aktuálního uživatele správní práva- Přidat uživatele do skupiny).

K provádění akcí s právy správce poskytuje systém Windows speciální nástroj - „Řízení uživatelských účtů“, který bude vyžadovat heslo pro provedení konkrétní operace. Nastavení můžete zkontrolovat zde: Start - Ovládací panely - Účty uživatelé - Změnit nastavení Řízení uživatelských účtů - Výchozí - Upozornit pouze na pokusy o provedení změn v počítači.


Kontrolní body obnovení systému

Někdy se virům stále podaří překonat všechny vrstvy ochrany. V tomto případě byste měli být schopni vrátit se zpět raný stav systémy. Naladit automatické vytváření kontrolní body lze provést takto: Tento počítač - RMB - Vlastnosti - Ochrana systému - Nastavení ochrany.

Ve výchozím nastavení je při instalaci operačního systému ochrana povolena pouze pro systémový disk, nicméně ransomware ovlivní obsah všech oddílů na vašem PC. Chcete-li obnovit soubory standardní prostředky nebo Shadow Explorer, měli byste povolit ochranu pro všechny disky. Kontrolní body zaberou trochu paměti, ale mohou zachránit vaše data v případě infekce.


Záloha

Vřele doporučuji, abyste to dělali sami pravidelně. důležitá informace. Toto opatření nejen pomůže chránit před viry, ale poslouží i jako pojistka pro případ propuknutí nákazy. pevný disk mimo provoz. Nezapomeňte vytvořit kopie svých dat a uložit je do externí média nebo v cloudových úložištích.

Doufám, že vám průvodce bude užitečný a pomůže vám chránit vaše osobní údaje (a peníze!) před vetřelci.


Sevostjanov Anton
vítěz soutěže

Tento článek byl připraven v souvislosti s hackerský útok masový charakter v globálním měřítku, což může ovlivnit i vás. Následky jsou opravdu vážné. Níže najdete Stručný popis problémy a popis hlavních opatření, která je třeba přijmout k ochraně před viry ransomwaru WannaCry.

WannaCry ransomware využívá zranitelnost Microsoft Windows MS17-010 provést Škodlivý kód a spustit šifrovací program na zranitelných počítačích, pak virus nabídne útočníkům zaplatit asi 300 $ za dešifrování dat. Virus se široce rozšířil po celém světě a dostává aktivní pokrytí v médiích - Fontanka.ru, Gazeta.ru, RBC.

Tato chyba zabezpečení se týká počítačů s operačním systémem Windows nainstalovaným od XP po Windows 10 a Server 2016, oficiální informace Můžete si přečíst o zranitelnosti od společnosti Microsoft.

Tato zranitelnost patří do této třídy Vzdálené spuštění kódu, což znamená, že infekce může být provedena z již infikovaného PC prostřednictvím sítě s nízká úroveň zabezpečení bez ME segmentace - lokální sítě, veřejné sítě, hostující sítě a také spuštěním malwaru přijatého poštou nebo jako odkaz.

Bezpečnostní opatření

Jaká opatření by měla být označena jako účinná v boji proti tomuto viru:

  1. Ujistěte se, že máte nainstalované nejnovější Aktualizace společnosti Microsoft Windows, které odstraňují chybu zabezpečení MS17-010. Můžete najít odkazy na aktualizace a také si všimnout, že vzhledem k nebývalé závažnosti této chyby zabezpečení byly 13. května vydány aktualizace pro nepodporované operační systémy (windowsXP, server 2003, server 2008), můžete si je stáhnout.
  2. Použití řešení pro zajišťování zabezpečení sítě třídy IPS, ujistěte se, že máte nainstalované aktualizace, které zahrnují detekci a kompenzaci zranitelnost sítě. Tato chyba zabezpečení je popsána v databázi znalostí Check Point a je součástí aktualizace IPS ze dne 14. března 2017 Microsoft roku Windows SMB Vzdálené spuštění kódu (MS17-010: CVE-2017-0143). Doporučujeme také nastavit skenování interního provozu na klíčových segmentech sítě pomocí IPS, alespoň pro krátký čas dokud se pravděpodobnost infekce nesníží.
  3. Vzhledem k možnosti změny virového kódu doporučujeme aktivovat systémy AntiBot&Antivirus a emulovat spouštění souborů přicházejících z externí zdroje poštou nebo přes internet. Pokud jste uživateli brány Bezpečnostní kontrola Pointa, pak je tento systém emulace hrozeb. Zejména společnostem, které toto předplatné nemají, nabízíme rychlé předplatné ve zkušební době 30 dnů. Chcete-li požádat o klíč, který aktivuje plnohodnotné předplatné pro vaši bránu Check Point, napište na [e-mail chráněný] Můžete si přečíst více o systémech emulace souborů a.
Zablokujte také přenos archivů hesel a aktivujte IPS podpisy ze seznamu:

Ještě více doporučení a příklad zprávy o blokování práce ransomwaru Wannacry.

Vážení kolegové, na základě zkušeností z práce s předchozími masivními útoky, jako je Heart Bleed, bude zranitelnost Microsoft Windows MS17-010 aktivně zneužívána během následujících 30-40 dnů, neodkládejte protiopatření! Pro jistotu zkontrolujte fungování vašeho systému BackUp.

Riziko je opravdu velké!

UPD. Ve čtvrtek 18. května v 10:00 moskevského času vás zveme na webinář o ransomwaru a metodách ochrany.

Webinář vedou TS Solution a Sergey Nevstruev, vedoucí prodeje Check Point Threat Prevention pro východní Evropu.
Budeme se zabývat následujícími otázkami:

  • #Útok WannaCry
  • Rozsah a aktuální stav
  • Zvláštnosti
  • Hmotnostní faktory
Bezpečnostní doporučení

Jak být o krok napřed a klidně spát

  • IPS+AM
  • SandBlast: Emulace hrozeb a extrakce hrozeb
  • SandBlast Agent: Anti-Ransomware
  • Agent SandBlast: Forenzní
  • SandBlast Agent: Anti-Bot
Registrovat se můžete odpovědí na tento dopis nebo kliknutím na registrační odkaz

Jedním ze způsobů, jak bojovat s ransomwarovými viry, je zakázat přejmenování souborů. Pokud víme, jakou příponu soubor obdrží po zašifrování virem, pak můžeme jednoduše zakázat vytváření souborů s touto příponou. Zakážeme také vytváření slavných textové soubory které obsahují požadavky na ransomware, které zase pomohou chránit před viry, které během šifrování nemění příponu souboru.

Instalace Správce prostředků souborového serveru a konfigurace šablony.

Nejprve nainstalujte roli „Správce zdrojů“. souborový server" To lze provést prostřednictvím Správce serveru nebo prostřednictvím Powershell. Zvažme druhou možnost:

Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools

Po instalaci FSRM nezapomeňte restartovat server.

Po restartu Start -> Spustit -> fsrm.msc

Vytvořme skupinu Skupiny souborů Anti-Ransomware a přidat k němu nějaké rozšíření, které chceme zablokovat.

Ruční přidávání všeho trvá dlouho, takže proces automatizujeme. Seznam zakázaných rozšíření převezmeme z webu https://fsrm.experiant.ca

Pojďme vytvořit a spustit skript Powershell jako správce.

$gr_name = "Skupiny souborů Anti-Ransomware" $url_site = "https://fsrm.experiant.ca/api/v1/combined" $req=(Invoke-WebRequest -Uri $url_site).content | convertfrom-json | % ($_.filters) set-FsrmFileGroup -name $gr_name -IncludePattern @($req)

Po provedení skriptu zkontrolujeme skupinu Skupiny souborů Anti-Ransomware, měly by se v něm objevit přípony a názvy souborů, které mají být blokovány.

V nastavení šablony vyberte skupinu Skupiny souborů Anti-Ransomware lis OK. Kromě toho můžete nastavit upozornění pro e-mailem, zápis do logu, spuštění skriptu nebo programu na základě události.

Nakonec přejděte do sekce Filtry blokování souborů.

Zde uvádíme cestu k adresáři, který je třeba chránit, a použitou šablonu.

V důsledku toho, když se pokusíte změnit příponu souboru na to, co je v našem seznamu Skupiny souborů Anti-Ransomware dostaneme zákaz nahrávání.

Blokování infikovaného uživatele.

Jakmile je infekce zjištěna, musíte zasáhnout proti jejímu zdroji. Přístup k sdílená složka uživatel, který obdržel ransomware na svůj počítač. Za tímto účelem jej umístíme na disk C:\ soubor SmbBlock.ps1 s následujícím obsahem:

Param($username = “”) Get-SmbShare -Special $false | ForEach-Object ( Block-SmbShareAccess -Name $_.Name -AccountName "$username" -Force )

Vraťme se k Blokování vzorů filtrů a vyberte kartu tým.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Příkaz "& (C:\smbblock.ps1 -uživatelské jméno ‘’)"

V důsledku spuštění skriptu obdrží infikovaný uživatel osobní zákaz vstupu do složky.

Tento způsob ochrany není absolutním řešením tohoto problému, protože autoři virů nestojí na místě, ale jako jedna z komponent komplexní ochranu docela použitelné.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

poslední články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Horní