Превентивные меры: 

  • Заблокировать сетевой доступ из сети Интернет в ЛВС по портам UDP 137, 138 и TCP 139, 445. Предварительно необходимо убедиться, что данная блокировка не нарушит критичные бизнес-процессы организации.
  • До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам UDP 137, 138 и TCP 139, 445. Данная мера позволит снизить риск распространения вредоносного ПО «WannaCry» внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.
  • Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010).
  • В случае невозможности установки обновлений безопасности (см.п3) – отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах в соответствии с инструкцией.
  • Убедиться, что на всех рабочих станциях и серверах установлено антивирусное ПО, и базы сигнатур обновлены до последней версии.
  • На серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО), обязательно включив в список файлы со следующими расширениями: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc; также рекомендуется включить все файлы баз данных и иные критичные для организации файлы, не перечисленные выше.

Рекомендации по факту заражения:

Рекомендуется выполнить следующий перечень действий – самостоятельно, либо обратившись к дежурному администратору.

  • Отключить зараженную машину от сети.
  • В случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса.
  • Установить обновление безопасности Windows KB4013389.
  • Произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера.
  • Восстановить данные из резервной копии.


Материалы по теме
  • Импортозамещение

    Несколько лет назад Правительством России был взят активный курс на импортозамещение. Для этого были созданы Правительственные комиссии по импортозамещению, начат процесс разработки пакета нормативных актов по поддержке отечественного производителя со стороны государства.

  • Рынок ИБ по итогам 2017 года: оценка «Информзащиты»

    Отчет «Оценка рынка ИБ за 2017 год» по результатам мониторинга информации о закупках, размещенных субъектами регулирования федеральных законов от 05.04.2013 № 44-ФЗ и от 18.07.2011 № 223-ФЗ в «Единой информационной системе закупок».

  • Рекомендации по нейтрализации угрозы BadRabbit

    Зарегистрирована новая масштабная эпидемия вируса-шифровальщика BadRabbit