Превентивные меры: 

  • Заблокировать сетевой доступ из сети Интернет в ЛВС по портам UDP 137, 138 и TCP 139, 445. Предварительно необходимо убедиться, что данная блокировка не нарушит критичные бизнес-процессы организации.
  • До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам UDP 137, 138 и TCP 139, 445. Данная мера позволит снизить риск распространения вредоносного ПО «WannaCry» внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.
  • Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010).
  • В случае невозможности установки обновлений безопасности (см.п3) – отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах в соответствии с инструкцией.
  • Убедиться, что на всех рабочих станциях и серверах установлено антивирусное ПО, и базы сигнатур обновлены до последней версии.
  • На серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО), обязательно включив в список файлы со следующими расширениями: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc; также рекомендуется включить все файлы баз данных и иные критичные для организации файлы, не перечисленные выше.

Рекомендации по факту заражения:

Рекомендуется выполнить следующий перечень действий – самостоятельно, либо обратившись к дежурному администратору.

  • Отключить зараженную машину от сети.
  • В случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса.
  • Установить обновление безопасности Windows KB4013389.
  • Произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера.
  • Восстановить данные из резервной копии.


Материалы по теме
  • Рынок ИБ по итогам 2018 года: оценка «Информзащиты»

    Мы подготовили для вас отчёт, посвященный оценке объемов российского рынка информационной безопасности в 2018 году.

  • BlueKeep – WannaCry возвращается?

    Одна из самых известных атак последних лет WannaCry стала возможной благодаря уязвимости EternalBlue. Тогда общий ущерб от атаки ​составил более 1 млрд. долларов и поразил от 200 тыс. до 300 тыс. компьютеров по меньшей мере в 150 странах мира.

  • Анализ изменений в ПП №127

    Мы подготовили для вас сводный документ, в котором ознакомим с последними дополнениями и изменениям  в части закона о КИИ.