Информация о шифровальщике WannaCrypt.

Сегодня Microsoft провёл вебкаст с серией вопросов и ответов WannaCrypt Guidance

Я хочу поделиться с вами выжимкой из данного вебинара.

Что делает WannaCrypt?

  • Атакует, если не установлен патч безопасности MS17-010 [ETERNALBLUE]
  • Устанавливает троян, если атака успешна [DOUBLEPULSAR]
  • Шифрует 179 типов файлов
  • Показывает сообщение с требованием оплаты с использованием Bitcoin
  • Сканирует локальную сеть и интернет для использования TCP-порта 445
  • Пытается выполнить атаку, если порт открыт

Какие системы подвержены уязвимости?

  • Все системы, на которых не установлен мартовский патч безопасности MS17-010

Затронуты ли Office 365 и Azure?

  • Инженеры Microsoft проводят постоянный мониторинг и обновление датацентров для защиты от угроз, включая и Ransom:Win32/WannaCrypt
  • Виртуальные машины, предоставляющие сервисы PaaS, обновляются Microsoft и уже включают все необходимые патчи безопасности
  • Виртуальные машины IaaS обновляются пользователями Azure. Пользователи должны сами обеспечить их безопасность

Как предотвратить угрозу заражения?

  • Убедиться, что установлен мартовский патч безопасности MS17-010
  • Использовать обновленные antivirus/antimalware базы
  • Отключить SMBv1, если патч безопасности не может быть применен незамедлительно

Что такое SMBv1 и что будет при его отключении?

  • Протокол SMBv1 – сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам. Разработан в 80-е годы прошлого века консорциумом IBM, Microsoft, Intel, 3Com (по данным из Wikipedia)
  • Отключение SMBv1 может повлиять на вход клиентов в домены Windows Server 2003 Active Directory

Уязвима ли Windows 10 Mobile?

  • Нет

Возможно ли шифрование файлов в библиотеках SharePoint и OneDrive?

  • Если используется синхронизация файлов на локальный диск с помощью клиента OneDrive, то да
  • Если вы используете библиотеки SharePoint и OneDrive для бизнеса, вы можете воспользоваться механизмом версионности для восстановления информации
  • Обычный OneDrive не имеет механизма версионности и данные восстановить будет нельзя

Предоставляет ли Microsoft инструменты для отслеживания массового шифрования файлов на файловых серверах?

  • Вы можете использовать Perfomance Monitor или SCOM для отслеживания такой активности

Какие технологии Windows Enterprise позволяют бороться с заражением?

  • Использование Device Guard – безопасности, основанной на виртуализации, позволяет задать список разрешенных к выполнению приложений и блокировать выполнение неизвестного кода
WannaCrypt Q&A
Поделись с друзьями:
Дмитрий Узлов on EmailДмитрий Узлов on FacebookДмитрий Узлов on Linkedin
Руководитель направления проектов компании "Технополис".
MCSE - Cloud Platform and Infrastructure [Charter Member]
MCSE - Productivity

Помогаю компаниям создавать безопасную и надёжную среду для коллективной работы сотрудников, используя облачные технологии.
Метки:    

Отправить ответ

Please Login to comment

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

  Subscribe  
Уведомлять
Перейти к верхней панели