А АSaturday 15 July 2017

Методология защиты от вирусов-вымогателей.

Всем привет.

С последствиями похода в народ вируса  Petya пользователи борются до сих пор. Поэтому еще раз коротко и по сути. Рекомендации по профилактике вирусов семейства Ransomware (WannaCry, Petya) от S&T Ukraine таковы:

1.Устанавливайте все обновления безопасности на операционную систему и офисное ПО.

2.По возможности не используйте учетную запись Администратора для повседневной работы. Не ленитесь - лучше разок переключиться с Пользователя на Админа при необходимости чем разгребать завалы своей беспечности. Тут же - не держите учетки в ОС без паролей!

3.На рабочих станциях и межсетевых экранах закройте все неиспользуемые порты – политика по умолчанию «deny any any», т.е. "все что не нужно или я не знаю нужно ли - ЗАПРЕЩЕНО".

4.Установите, регулярно обновляйте и используйте антивирусное ПО, а лучше комплексное средство безопасности на конечных точках – Endpoint Protection (контроль репутации файлов и интернет-сайтов, слежение за активностями приложений и изменениями в файловой системе, Next Generation Firewall, IPS, анти-Malware, а также «песочница», технологии эвристического анализа и блокирования угроз).

5.Используйте анти-спам систему и запретите пересылку по электронной почте потенциально опасных вложений и исполняемых файлов (exe, ppt, doc, docx), по крайней мере, без анализа их репутации. Или обяжите пользователей все вложения заворачивать в ZIP.

6.Используйте унифицированные системы управления угрозами (UTM) для доступа пользователей в Интернет.

7.Ограничивайте возможность использования USB-устройств.

8.Отключите возможность автоматического исполнения кода (scripts) в офисных документах. Установите патчи для MS Office 2010 kb3141538 и kb2589382, kb3178710 для MS Office 2013 и kb3178703 MS Office 2016.

9.Сегментируйте локальную сеть (VLAN, IP-сети) с контролем доступа между сегментами при помощи Next Generation Firewall.

10.Проводите регулярное резервное копирование важных файлов (дифференциальное или инкрементальное). По возможности, резервное копирование критически важных редко изменяемых данных необходимо осуществлять на ленточные накопители.

11.На основе SIEM-системы осуществляйте корреляцию и анализ событий безопасности в сети.

Сложно? Пусть над этим думает ваш Администратор. Но дома вы главный Администратор, и должны это сделать все возможное через ворчание близких. Подозреваю что самым тяжелым вопросом для вас будут USB-флешки.))

Профилактика всегда дешевле и проще, чем лечение!

Если вы уже попались?


Если у вас есть опасения, что ваши системы заражены, но вирус в них пока не проявился (например, были выключены), то существует возможность минимизировать ущерб – в случае первых признаков поражения системы (внезапная, беспричинная перезагрузка и автоматически начавшаяся проверка диcка (типа chkdisk) необходимо немедленно выключить компьютер, не дожидаясь завершения сканирования и шифрования файлов – в этом случае есть шанс восстановить хранившуюся информацию. Для этого необходимо загрузиться с использованием Windows Live CD и скопировать на внешний носитель все файлы, которые содержали значимую информацию. Далее необходимо проверить внешний носитель на наличие вредоносного ПО, так как файлы были скопированы с зараженной системы. После этого осталось только убедиться, что информация в файлах осталась доступной и не поврежденной.

Если все же вирус успел начать вредоносные действия, тем не менее, можно попытаться восстановить систему (если вирус успел уничтожить только MBR-раздел диска). Для этого необходимо загрузиться с вашего дистрибутива Windows, выбрать вариант восстановления через командную строку и выполнить команду:
       Bootrec /fixmbr
Затем перезагрузите систему.

Если данный способ не помог – проделайте более длинную процедуру загрузки с дистрибутива Windows и введите следующие команды:
       Bootrec /fixmbr
       Bootrec /fixboot
       Bootrec /scanos

Если и после этой процедуры загрузить ОС не получается, необходимо загрузить систему с Live CD, на котором присутствует ПО для восстановления GPT разделов (например – TestDisk) и произвести восстановление разделов согласно инструкции по ссылке http://www.cgsecurity.org/wiki/TestDisk_Step_By_Step

Если же вирус успел выполнить вредоносные действия – шифрование файлов под видом псевдопроверки chkdisk – и зараженная система уже предлагает вам оплатить услуги по расшифровке, то у вас есть два варианта действий:

- смириться с потерей информации и полностью переустановить систему, уже установив необходимые защитные механизмы

- извлечь жесткий диск или выполнить блочное копирование дисков зараженных систем и сохранить до лучших времен. На случай, если в будущем будет обнаружен способ расшифровки файлов. Тем более что в сети есть информация что антихакеры уже собрали утилиту по расшифровке всех петиных файлов.

Успехов.

1 comment:

Unknown said...

Ленточные накопители... ещё существуют? OMG ;-)

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное