Системы не уязвимые для вирусов
С помощью вируса-вымогателя кибермошенникам удается зарабатывать до 2 млрд долларов в год. Помимо денежных потерь владельцы бизнеса несут ущерб из-за сбоя системы, снижения производительности и стресса. В целом получается слишком разорительно.
Представьте, что вы работаете на компьютере, отвечаете на письмо клиента и вдруг на мониторе появляется синий фон и на нем следующее сообщение:
«Компьютер заблокирован. Все ваши файлы зашифрованы. Дешифрование файлов будет стоить 0,076 биткойнов. Следуйте инструкции для оплаты:
1. Отправьте 0,076 биткойнов в биткойн-кошелек #XXX XX .
Каковы ваши дальнейшие действия? Вы будете паниковать, пытаться разблокировать компьютер? Пойдете на поводу мошенникам и постараетесь выкупить у них свои файлы?
Ransomware как совершенствующаяся опасность
Вирусы, вредоносные программы не являются для пользователей чем-то новым с тех пор, как в 2013 году хакеры обнаружили, что могут зашифровать ценные файлы и вымогать у жертв круглые суммы для дешифровки. Успешно эксплуатируя эту возможность, мошенники зарабатывают до 2 млрд долларов в год! Это деньги трудолюбивых владельцев бизнеса. Если прибавить к ним ущерб, который несут компании от сбоя системы, потери производительности и стресса, то получается слишком разорительно.
Ransomware распространяется мошенниками в различных вариантах. Некоторые ставят своей целью найти и зашифровать самые ценные файлы, другие — просто шифруют весь жесткий диск, что делает ситуацию гораздо более неприятной. И даже когда вы очищаете его полностью, файлы по-прежнему продолжают шифроваться. Если вы не готовы к атаке вируса-вымогателя, то это может парализовать всю работу компании. Вот почему управление ИТ-системами в компании очень важно .
Как распространяется вирус-вымогатель
Злоумышленники постоянно пробуют новые способы заражения компьютеров с помощью ransomware. В основе большинства атак лежит обман — вас принуждают к установке вредоносного ПО. Некоторые вирусы-вымогатели, используя уязвимости программ, даже не требуют одобрения установки, но такие атаки, как правило, краткосрочны, потому что ликвидируются после устранения уязвимостей.
Большинство вирусов-вымогателей распространяется по незнакомой электронной почте. Фишинговые письма максимально маскируются под официальную переписку, заставляя вас открыть вложение или перейти по ссылке. Как только вы это делаете, ваш компьютер заражается вирусом.
Вариацией фишинг-атак, набирающих популярность, является направленная фишинг-атака: вместо рассылки большого количества писем вымогатели отправляют сообщения, точно адаптированные под конкретного человека, часто используя информацию, полученную из открытых профилей в соцсетях. Злоумышленник может выступать в роли нового клиента или даже в роли подрядчика, с которым вы уже работаете.
Некоторые веб-сайты содержат вредоносный код, который использует уязвимости в вашем браузере и операционной системе или обманывает вас, заставляя согласиться на выкуп.
Ссылки на эти сайты могут быть встроены в фишинговые письма. Их также можно направлять с помощью текстовых ссылок, рекламных баннеров или всплывающих окон.
Иногда ransomware пользуется недостатками безопасности в операционных системах или приложениях, которые позволяют распространять и запускать файлы самостоятельно. Это может наносить разрушительное действие. Без необходимости в человеческом участии вирус мгновенно распространяется от компьютера к компьютеру через интернет.
Крупные технологические компании быстро ликвидируют эти дыры в безопасности, как только узнают о них. Это означает, что компании, которые отключают обновления и не пытаются усовершенствовать ИТ-систему, на сегодняшний день являются особенно уязвимыми для такого рода атак.
Как защититься от вируса-шифровальщика
Итак, мы уже поняли, что ransomware может нанести разрушительные действия и потому является дорогостоящим риском. Поэтому возникает закономерный вопрос: как сохранить систему в безопасности?
Подавляющее большинство атак вирусов-вымогателей направлено на то, чтобы обмануть кого-то, поэтому вы можете снизить риски, сделав информацию о ransomware частью тренинга по ИТ-безопасности.
Убедитесь, что любой сотрудник, который использует компьютер, должным образом предупрежден о подозрительных вложениях и ссылках в электронной почте. Удостоверьтесь, что люди, работающие в вашей компании, не забывают об опасности спама и незнакомых писем, особенно фишинговых писем, специально предназначенных для бизнеса или отдельных лиц.
По иронии судьбы владельцы высокотехнологичного бизнеса иногда становятся наиболее уязвимыми. Возможно, потому что они считают информацию о защите слишком очевидной. Не думайте, что то, что очевидно для вас, очевидно для всех в офисе — мошенники повышают уровень в своих атаках.
Вы можете просто выдать каждому сотруднику соответствующий документ и заставить поставить на нем подпись. Но это все равно что ничего. Гораздо эффективнее поговорить с работниками и убедиться, что они действительно осознают опасность и понимают, как ее предотвратить.
В 2017 году произошли одни из самых катастрофичных хакерских атак: вирусы WannaCry и NotPetya использовали одну и ту же уязвимость в операционной системе Windows. Эта уязвимость была исправлена Microsoft в марте — задолго до того, как эти атаки начались (в мае и июне). А значит, миллиарды долларов, которые потерял бизнес, можно было спасти благодаря простым действиям.
В ситуации домашнего офиса самый простой способ сохранить исправление вашей операционной системы — это просто оставить автоматическое обновление. Да, эти сообщения о перезагрузке компьютера сильно раздражают, но это не столь страшно по сравнению с потерей всей вашей работы.
Еще одна беда ПО, о которой многие не знают, — это заражение вирусом роутера. Если хакер управляет им, он может перенаправлять веб-браузер на вирусную страницу. Руководство по обновлению прошивки содержится в инструкции к роутеру.
Ничто не заставит вас платить деньги вымогателю, если у вас есть резервная копия со всей жизненно важной информацией. Понятно, что все равно вы не сможете перетащить на диск всю информацию и всегда останется то, что имеет реальную стоимость. Поэтому не стоит экономить на обучении персонала только потому, что у вас есть резервные копии. Но это позволит вам минимизировать проблемы.
Для фрилансеров, консультантов, людей, завязанных на домашнем офисе, для хранения файлов будет достаточно платного облачного хранилища. Таким образом, вы просто сохраняете все важные рабочие документы в папке, которая синхронизируется с облаком.
Когда в офисе более одного компьютера, есть ключевой фактор, определяющий, насколько тяжело вам причинить вред, — объем информации, которую можно зашифровать. Чем больше файлов и жестких дисков вирус-шифровальщик затронет, тем больше времени потребуется на восстановление данных из резервных копий и тем дольше бизнес будет простаивать.
Сотрудникам не нужна учетная запись с доступом ко всей информации. Им достаточно учетной записи, которая дает возможность выполнять свою работу.
Восстановление после атаки
Если у вас есть резервные копии и налажен процесс восстановления информации, вы быстро справитесь с проблемой.
Нужно ли платить выкуп? Нет. Почему?
Киберпреступники обращают внимание на то, откуда к ним идут деньги. Если вы выполните их требования, они снова попытаются вас взломать. Как клиент, готовый платить, вы становитесь для них выгодной целью. Тот факт, что вы платите за выкуп чужим людям, чтобы вернуть свои данные, как бы сигнализирует о том, что в целом безопасность ИТ-системы в вашей компании обеспечена не на 100%. Киберпреступники обмениваются этой информацией или продают ее друг другу .
- Это плохая карма
Перечисление денег преступникам делает хуже жизнь всех, кто пытается зарабатывать честным трудом. Потому что единственная причина, по которой мошенники не прекращают свою черную работу, — это потоки денег, поступающие от растерянных жертв. Не становитесь частью порочной системы.
- Есть большая вероятность, что это не сработает
Поймите, что для мошенников вы находитесь вне поля контроля. Вы рискуете потерять не только деньги, но и время, эффективность, которую могли бы инвестировать в работу .
После восстановления файлов перейдите к работе над ошибками, чтобы понять суть проблемы. Открывали ли сотрудники фишинговое электронное письмо? Не кликнули ли они на баннер с вирусом? Может быть, есть сложности с ПО или операционной системой? Как бы то ни было, вам нужно сделать все, чтобы случившееся не повторилось.
Если речь идет о человеческом факторе, убедитесь, что все в офисе проинформированы о том, как произошла атака. Есть высокая вероятность того, что персонал столкнется с подобными атаками в будущем. Убедитесь, что все знают, на что обращать внимание.
Плохая идея — искать и назначать виновных, даже если вас сильно раздражает то, что кто-то открыл фишинговое письмо. Это создает препятствие на пути к честному осознанию произошедшего. К тому же это усложняет коммуникации. Все, что действительно нужно в этой ситуации, — это информированность персонала и грамотные специалисты, готовые взять на себя контроль за ИТ-системой.
Все мы привыкли к мнению, что без антивируса, а еще лучше Internet Security безопасная жизнь на винде невозможна. Хочешь обойтись без него — добро пожаловать на Linux или OS X. А так ли это на самом деле? Давай проверим на практике! Подопытных систем у нас будет две: Windows 7, потому что она крутая и вообще респект ей, и Windows 10, потому что ее агрессивно продвигает Microsoft, всегда есть шанс на нее случайно обновиться :), да и, так или иначе, все равно пользователи винды на нее рано или поздно пересядут.
Наш план
Мы возьмем две чистые системы — Windows 7 SP1 и Windows 10 со всеми последними обновлениями, которые только будут найдены. Стандартные средства (вроде защитника Windows) будут выключены, сторонние антивирусы — не установлены. После этого будем открывать инфицированные документы и проверять улов. Для проверки будет использоваться не требующий установки сканер от Dr.Web (CureIt) — это гарантия того, что ни один антивирус не будет запущен в реальном времени.
Начинаем издалека: старые вирусы
Однажды я разбирал свои архивы и очень удивился, когда увидел бурную реакцию современного антивируса на старые вирусы и даже asm-файлы. Понятное дело, что от asm-файлов ничего хорошего ждать не приходится :), но DOS-овским вирусам-то за что досталось? Простая программистская логика подсказывает, что вирусы времен DOS — Windows 98 современной винде не страшны. Но проверим!
Я достал старый архив Live Viruses 3732 for Anti-Virus Testing и начал их запускать. Ничего не вышло — старые вирусы несовместимы с семеркой. Логика победила!
Старые вирусы не запускаются
Подобный тест в десятке проводить не стану — и так понятен его результат.
Cтарые вирусы новым системам не страшны. В антивирусных базах современных защитничков они присутствуют исключительно как балласт и дань традициям.
Посещаем неблагонадежные сайты
Подобно Семену Семеновичу Горбункову, который искал неприятности на свой гипс, посещая всевозможные места, мы займемся тем же самым, но в виртуальном мире. В этом тесте ось будет со всеми апдейтами, в качестве браузера — Chrome, а вот антивируса не будет.
Для начала я стану щелкать по всем подряд рекламным баннерам. Chrome (для большей правдоподобности использую его, а не IE) помогает в обеспечении безопасности — он то и дело закрывает различные всплывающие окна, в одном из них как раз может быть вирус. URL специально затерт, дабы не делать бесплатной рекламы сайту.
Блокировка всплывающих окон
Похоже, что от перехода по рекламным баннерам никакой вирус в моей системе не поселился. Поэтому пришлось искать списки сайтов, явно распространяющих вирусы. И такой список я нашел. Далее все просто: буду заходить на сайты из списка (не на все, а выборочно) — посмотрим, что из этого выйдет.
Совсем уж неблагонадежный сайт
После перехода на сайт всплывающие окна размножаются быстрее, чем кролики. Браузер их блокировал, а я, в свою очередь, снимал блокировку :). Не знаю, инфицирован компьютер или нет, но Chrome повис намертво. Пришлось убить процесс. Ура! Троян HTML:Popupper-B оказался сильнее моего Chrome.
Размножение всплывающих окон
Интересно, что Chrome ругается не на все вирусы из списка — то ли с определенных сайтов был удален вредоносный код, то ли их просто нет в базе Chrome. Был бы установлен антивирус, можно было бы сказать конкретнее.
После нескольких часов странствий в интернете я решил оценить улов и запустил сканер CureIt. Увы, все мои старания тщетны: вирусов не найдено.
Вирусов нет
Призываем на помощь родственников
Родственники! Вот по-настоящему надежный источник! Несколько часов я серфил самые подозрительные сайты, пока не вспомнил про компьютер, который в основном используют жена с дочкой и на котором уже год как не установлен какой-либо антивирус.
Загружаю CureIt на него и жду, пока он просканирует все диски. Увы, результат такой же. Вирусов нет.
Родственники не помогли. Малварь пока не поймана.
Призываем на помощь коллег
Я кинул клич и спустя несколько дней получил отличную подборку современной малвари от нуля до десяти лет выдержки: 139 файлов, из них 118 инфицированных документов (doc и PDF), остальное — EXE.
В качестве офисного пакета будет использоваться Microsoft Office 2013 SP1 — не самая новая, но и не самая старая версия MS Office. Думаю, что далеко не все перешли на 2016, поэтому и рассматривать ее пока нет смысла. Обрати внимание, что Microsoft Office все-таки отягощен сервис-паком.
Методика следующая: сначала я буду открывать инфицированные документы Word, потом — PDF, а уже потом — EXE. После каждой группы файлов система будет проверяться с помощью CureIt (если, конечно, выживет).
Прежде чем начну, скажу пару слов о защитнике Windows в десятке. Фича не новая — она есть и в семерке. Но вот в десятке это, похоже, полноценный антивирус. Сначала я забыл отключить в Windows 10 встроенный антивирус — защитник Windows. На удивление он отлично отработал (как выяснилось, в семерке он тоже был включен, но никаких уведомлений от него я не получал).
Защитник Windows обнаружил вирус
Параметры защитника Windows
Потом для чистоты эксперимента пришлось отключить штатный антивирус и заново распаковать архив с вирусами — некоторые антивирус уже успел уничтожить. Самое интересное, что после перезагрузки защита снова включается, хочешь ты этого или нет. Поэтому при написании статьи (когда дело дошло до EXE-файлов) случился небольшой конфуз. После успешного инфицирования десятки я запустил CureIt, но он работал настолько медленно (ведь параллельно оставались запущенными десятки вирусов), что мне пришлось перезагрузить комп. А после перезагрузки обнаружилось, что вирусов нет. Куда они подевались? Штатный антивирус успел их обезвредить, пока я отлучился от компа.
Документы Microsoft Word
Инфицировать систему документами Microsoft Word не выйдет, если не включать макросы. На скрине ниже показано типичное содержимое такого документа — мол, контент не виден, пока не включите макросы. По умолчанию выполнение макросов отключено.
В январе 2016 года Trend Micro исправила ошибку безопасности в менеджере паролей, которая была обнаружена исследователем Google. Уязвимость позволяла веб-сайтам исполнять произвольные команды и воровать пользовательские пароли. В основе программы использовалась “древняя версия Chromium” - цитируем слова исследователя Тависа Орманди.
Команда Trend Micro прокомментировала, что, хотя менеджер паролей поставляется с антивирусной защитой, он является отдельным продуктом. Также разработчики заверили, что ошибка была устранена очень быстро.
Еще месяцем ранее Орманди обнаружил ошибку в расширении AVG для браузера Google Chrome под названием AVG Web TuneUp. Уязвимость позволяла посторонним лицами просматривать историю просмотров, персональные данные и файлы куки. Расширение устанавливалось принудительно в процессе инсталляции продуктов AVG.
Совсем недавно Intel запатчила дыру безопасности в корпоративной версии антивируса McAfee, которая позволяла отключать защиту на компьютере жертвы.
Так, насколько мы можем доверять антивирусам? Эксперт по компьютерной безопасности Джоксен Корет (Joxean Koret) считает, что продукты безопасности изобилуют ошибками и уязвимостями. Он представил несколько из них на конференции по безопасности SysScan 360 в 2014 году, заявив, что обнаружил ошибки безопасности в 14 антивирусах.
Антивирусные продукты серьезно увеличивают поверхность атаки и делают машину более уязвимой для атак нулевого дня. Джоксен убежден, что современные антивирусы ничуть не безопаснее своих предшественников.
Корет считает: “Киберперступник может эксплуатировать уязвимость в вашем любимом антивирусе за 50 баксов, вместо использования более дорогих уязвимостей в браузерах или ядре операционной системы. Для таргетированных атак это интересный вектор развития”.
Корет не призывает всех пользователей удалять антивирусное ПО. По его словам, малые и средние бизнесы также в основном защищены. Тем не менее, он уверен, что крупным организациям стоит всерьез задуматься о потенциальных рисках атак”.
Код антивируса требует от разработчика большего усердия и скрупулезности, чем код других приложений. Директор по технологиям независимой лаборатории AV-Test Майк Моргенштерн отметил: “Антивирус - это программа с самой высокой поверхностью атаки, потому что ей приходится обрабатывать большое количество непроверенных данных. Практически каждый файл и сетевой пакет должен быть проверен антивирусом. Вот почему критически важно минимизировать число уязвимостей в коде”.
Антивирусные продукты являются критическими точками отказа из-за повышенных системных привилегий. Они работают в привилегированном режиме из-за необходимости расширенной видимости системных объектов, а также из-за способности обнаруживать и блокировать файлы, которые выполняют вредоносную активность в системе. Если бы у антивирусов было меньше прав и разрешений, они бы не могли фиксировать вредоносные действия.
Вендоры на протяжении многих лет используют различные методы для получения повышенных системных привилегий. Грег Вассон, руководитель программы обнаружения вредоносного кода в лаборатории ICSA Labs, пояснил: “Во времена появления первых антивирусов, не все API Windows были документированы и доступны для разработчиков, поэтому разработчикам защитного ПО приходилось искать собственные методы для запуска в системе и блокировки вредоносного кода”.
Отсутствие документации означало, что разработчикам нужно было анализировать Windows в поисках лазеек, поэтому каждый антивирус имел свой уникальный способ проникновения в систему. Грег отмечает, что по сути это был своего рода реверс-инжиниринг вызовов API Windows.
В наши дни Microsoft документирует все вызовы, чтобы сделать их более надежными, поэтому антивирусные вендоры переключились на документированные версии.
Современный антивирус устанавливается как служба с привилегиями администратора в OS X и Windows, также устанавливаются драйверы ядра, которые работают непосредственно с сердцем операционной системы. Чтобы пробраться глубоко в систему, они спрашивают пользовательское разрешение и в большинстве случаев используют исполняемые файлы, подписанные цифровыми сертификатами поставщика OC (Microsoft или Apple).
Как происходят атаки на антивирусное ПО? Одним из самых распространенных способов является эксплуатация уязвимостей в средствах синтаксического анализа файлов, - отмечает Карстен Ейрам, руководитель подразделения по исследованию уязвимостей в компании Risk Based Security.
Антивирусы должны сканировать абсолютно разные типы файлов поисках вредоносного кода. Каждый тип файла имеет свои параметры и должен быть просканирован отдельно. Это сложная задача, которая может вызывать ошибки.
Киберпреступники могут обманывать средства синтаксического анализа используя технику “фазинга” или другими словами, метод анализа предельных значений. Отправка намеренно искаженного файла с данными, которые лежат за пределами ожидаемых параметров, может привести к сбою анализатора и его нестабильному уязвимому состоянию.
Карстен добавил: “Если анализ происходит в рамках процесса с повышенными привилегиями, киберперступник может исполнять вредоносный код с высокими привилегиями без необходимости поиска других уязвимостей для эксплуатации. Вот почему всего одна дыра в безопасности антивируса может привести к полному контролю над системой”.
Как антивирусные компании могут избежать данных угроз? Для них еще более важно защитить свои продукты, чем для разработчиков других видов программного обеспечения.
Моргенштерн отмечает: “Они обязаны применять все современные технологии и должны улучшить свои циклы разработки”.
Среди доступных защитных технологий, которые помогут обезопасить продукты от атак переполнения буфера: рандомизация адресного пространства (Address Space Layout Randomization), предотвращение выполнения данных (Data Execution Prevention) и StackGuard. Kaspersky Labs заявляет, что уже использует ASLR и DEP, но планирует расширить применение данных технологий в будущем.
Моргенштерн говорит, что компании активно начинают использовать данные техники: “Они обычно выполняют проверку целостности своих файлов для предотвращения несанкционированных изменений в них. Тем не менее, если в продукте все же обнаружена уязвимость, которая эксплуатируется, самому антивирусу очень трудно противостоять подобным атакам”.
Данные ошибки означают, что антивирусные компании должны тщательнее анализировать код, чтобы обезопасить себя от новейших атак. Моргенштерн призывает разработчиков проверять код в поисках новых типов уязвимостей и выполнять правила защищенного кода.
Вирус-шифровальщик WannaCrypt использует уязвимость Microsoft Windows MS17-010, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$ в биткойнах, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ.
Самое страшное, что вирус запускается сам, без каких-либо действий пользователя. То есть можно сходить на обед, а вернувшись, обнаружить что все документы и фотографии за несколько лет уже зашифрованы, притом что никто ничего не запускал! Нет ничего хуже потерянных личных данных!
Обратите внимание на этот момент — от пользователя не требуется никакой реакции!
Обычно основной путь заражения вирусом — это электронная почта или пиратский контент, скачанный с торрентов, поэтому, во первых, избегайте скачивания контента с расширениями .js и .exe, или же, документов с макросами (в Excel или Word).
Авторы WannaCrypt воспользовались утечкой из ShadowBrokers, в результате которой миру стали известны множество ранее неизвестных уязвимостей и способов проведения атак. Среди них была и уязвимость ETERNALBLUE и связанный с ней бэкдор DOUBLEPULSAR. Первая позволяла через уязвимый протокол SMBv1 получать удаленный доступ к компьютеру и незаметно устанавливать на него программное обеспечение. Злоумышленник, сформировав и передав на удалённый узел особо подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.
Уязвимость существует только на стороне SMB сервера. Расшарен ли у вас каталог или нет, не имеет значения, в Windows все равно запущен сервис, слушающий 445 порт. При доступе клиента к серверу они согласуют и используют максимальную версию SMB, поддерживаемую одновременно и клиентом и сервером.
Для защиты необходимо срочно принять следующие меры противодействия:
0. Отключить протокол SMBv1, удалив в свойствах сетевого адаптера (ncpa.cpl) компоненты "Служба доступа к файлам и принтерам сетей Microsoft" ("File and Printer sharing") и "Клиент сетей Microsoft".
Протокол SMBv1 смело можно отключить, если в вашей сети нет ОС ранее Windows Vista и устаревших принтеров.
Для систем Windows Windows 8.1 и старше вообще есть возможность удалить компонент "Поддержка общего доступа к файлам SMB 1.0/CIFS" ("The SMB1.0/CIFS File Sharing Support", "Старые возможности LAN Manager"). Идем в Панель управления — Программы и компоненты — Включение или отключение компонентов Windows.
Выключить SMBv1 можно через командную строку (cmd.exe) и через PowerShell (powershell.exe):
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Можно удалить сам сервис, отвечающий за SMBv1
Скопируйте строки ниже, вставьте в блокноте и сохраните с именем и расширением "DisableSMB1.cmd"
Затем запустите от имени администратора.
echo Disable SMB 1.0 Protocol
reg add "HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters" /v SMB1 /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters" /v SMBDeviceEnabled /t REG_DWORD /d 0 /f
sc config LanmanServer depend= SamSS/Srv2
sc config srv start= disabled
sc config LanmanWorkstation depend= Bowser/MRxSmb20/NSI
sc config mrxsmb10 start= disabled
sc config RpcLocator start= disabled
%SystemRoot%\Sysnative\Dism.exe /online /norestart /disable-feature /featurename:SMB1Protocol
Отключаем SMB1 через реестр
Аналогично отключается через реестр Windows (regedit.exe).
Скопируйте строки ниже, вставьте в блокноте и сохраните с именем и расширением "DisableSMB1.reg"
После этого даблклик на сохраненном файле и на вопрос о внесении изменений ответить "Да". После этого перезагрузить систему.
Windows Registry Editor Version 5.00
;Отключаем уязвимый для вируса-шифровальщика WannaCrypt протокол SMB 1.0 на стороне сервера — не будет доступа по сети из Windows XP и более ранних ОС к ресурсам этого компьютера
;Также можно удалить в свойствах сетевого адаптера компоненты: "Служба доступа к файлам и принтерам сетей Microsoft" ("File and Printer sharing") и "Клиент сетей Microsoft"
;Протокол SMB 1.0 можно выключить полностью во всех сетях, где нет ОС младше Windows Vista и устаревших принтеров!
;"SMB Signing": EnableSecuritySignature — позволяет добавлять в конец каждого сообщения электронную подпись, что существенно повышает его защищенность
;RequireSecuritySignature — сервер будет работать только с клиентами, поддерживающими SMB Signing
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"SMB1"=dword:00000000
"EnableSecuritySignature"=dword:00000001
"RequireSecuritySignature"=dword:00000001
;Убираем зависимость службы "Сервер" от службы "Драйвер сервера Server SMB 1.xxx"
;"DependOnService"="SamSS Srv2" вместо "SamSS Srv"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer]
"DependOnService"=hex(7):53,00,61,00,6d, 00,53,00,53,00,00,00,53,00,72,00,76,00, \
32,00,00,00,00,00
;Отключаем службу "Драйвер сервера Server SMB 1.xxx", которая нужна только для совместимости: обеспечение взаимодействия между Windows XP и клиентами более ранних версий ОС
;"ImagePath"="System32\DRIVERS\srv.sys"
;srvsvc.dll — Server Service DLL — обеспечивает общий доступ к файлам, принтерам для данного компьютера через сетевое подключение
;По умолчанию используем "Драйвер сервера Server SMB 2.xxx" — обеспечивает взаимодействие между Windows Vista и клиентами более поздних версий
;sc config srv start= disabled
;Убираем зависимость службы "Рабочая станция" от службы "Мини-перенаправитель SMB 1.x"
;"DependOnService"="Bowser MRxSmb20 NSI" вместо "Bowser MRxSmb10 MRxSmb20 NSI"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation]
"DependOnService"=hex(7):42,00,6f, 00,77,00,73,00,65,00,72,00,00,00,4d, 00,52,00, \
78,00,53,00,6d, 00,62,00,32,00,30,00,00,00,4e, 00,53,00,49,00,00,00,00,00
;Отключаем службу "Мини-перенаправитель SMB 1.x", которая нужна только для совместимости: реализует протокол SMB 1.x (CIFS), который позволяет подключаться к сетевым ресурсам, расположенным на серверах более ранних версий ОС, чем Windows Vista и выше
;"ImagePath"="system32\DRIVERS\mrxsmb10.sys"
;wkssvc.dll — Workstation Service DLL — создает и поддерживает клиентские сетевые подключения к удаленным серверам по протоколу SMB
;По умолчанию используем "Мини-перенаправитель SMB 2.0" — реализует протокол SMB 2.0, позволяющий подключаться к сетевым ресурсам, расположенным на серверах с ОС Windows Vista и более поздних версий
;Протокол SMB 1.0 можно отключить полностью во всех сетях, где нет ОС младше Windows Vista и устаревших принтеров!
;sc config mrxsmb10 start= disabled
1. Установите патчи-обновления MS17-010, закрывающие уязвимость ETERNALBLUE в SMB согласно вашей операционной системе:
Обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
technet.microsoft.com/lib…ry/security/MS17-010.aspx
Для остальных, уже неподдерживаемых систем (Windows XP и прочих) можно скачать здесь:
www.catalog.update.micros…m/Search.aspx?q=KB4012598
2. Заблокируйте все неиспользуемые внешние соединения из Интернет как минимум по 145-му и 139-му TCP-портам
Вредоносная программа-шифровальщик WannaCrypt ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block — SMB). Поэтому необходимо заблокировать доступ как минимум по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе.
Просто и легко закрыть неиспользуемые порты можно при помощи программы WWDC — Windows Worms Doors Cleaner.
В отличие от файерволов, блокирующих порты, WWDC их закрывает, отключая службы, открывающие их. Нужно устранять источник проблемы, а не симптомы.
Читайте также: