Режим работы:

Прием заказов: Круглосуточно

+7(499)391-6557
E-mail: info@amcons.ru Skype: amconsllc
Контакты
Новости

Предложение Trend Micro «3 по цене 2» для малого и среднего бизнеса

16.05.2017

..

Читать далее...

Контрмеры против заражения новым шифровальщиком WannaCry: рекомендации McAfee и AMCONS

16.05.2017

..

Читать далее...

Посмотреть все
Добро пожаловать в AMCONS LLC

AMCONS LLC - это:

Контрмеры против заражения новым шифровальщиком WannaCry: рекомендации McAfee и AMCONS

Контрмеры против заражения новым шифровальщиком WannaCry: рекомендации McAfee и AMCONS

Контрмеры против заражения новым шифровальщиком WannaCry: рекомендации McAfee и AMCONS

Причиной столь массового и стремительного распространения стал новый образец ransomware – шифровальщик WannaCry (wanna decrypt0r, wanna crtyptor), а именно использование эксплойта Eternalblue (уязвимости протокола SMB). Если предыдущие образцы шифровали только локальные файлы и подключенные сетевые диски, то использование этой уязвимости позволяет WannaCry распространяться по сети на все незащищённые системы.

Компания McAfee отреагировала оперативно и предоставила рекомендации по усилению защиты с помощью правил Access Protection для VSE и ENS.

Информация обновляется.

Обратите внимание на то, что внизу статьи опубликованы дополнительные сигнатуры (extra.DAT). Добавьте их в вашу консоль McAfee ePolicy Orchestrator (ePO), чтобы модули защиты на конечных точках смогли нейтрализовать уже изученных образцов WannaCry.

Часть полученных индикаторов компрометации (IOC) доступны в статье An Analysis of the WANNACRY Ransomware outbreak.

На текущий момент известно следующее:

  1. Одна из основных точек входа – фишинг со ссылкой на JS dropper, который активирует загрузку payload. Возможно, в процессе анализа вскроются дополнительные детали.
  2. Обновления из бюллетеня MS17-010, которые закрывают уязвимость Eternalblue, защищают только от распространения, но никак не от начального заражения системы.
  3. В связи с непрекращающимся потоком различного рода рассылок (и данной атакой в частности), организациям рекомендуется принять следующие меры по усилению защиты:
    • На уровне конечных точек – блокировать создание и запуск файлов *.exe, *.js*, *.vbs из %AppData%;
    • На уровне почтового шлюза – блокировать сообщения с активным содержимым (*.vbs , *.js, *.jse, *.exe);
    • На уровне proxy – блокировать загрузку архивов содержащих активное содержимое (*.vbs , *.js, *.jse);
    • Для своевременного обнаружения и блокирования атак на ранних стадиях рассмотреть вариант внедрения комплекса, состоящего из «песочницы» McAfee Advanced Threat Defense, модулей McAfee Active Response и Endpoint Security Adaptive Threat Protection;
    • Проводить регулярные разъяснительные беседы с пользователями на тему фишинга и социальной инженерии с примерами недавних атак.

 

Logitech Apple Xerox Lenovo Hewlett-Packard DRWEB Crucial D-Link Cisco
Работает на ocStore
AMCONS LLC © 2017