Рекомендации по противодействию вредоносному программному обеспечению WannaCry

Рекомендации по противодействию в информационных системах, подключенных к сети общего пользования Интернет

1. Установить для открытых информационных систем, имеющих подключение к сети Интернет, обновление безопасности для Windows KB4013389 от 14 марта 2017 года. Обновление доступно по адресу https://technet.microsoft.com/library/security/MS17-010.aspx.
2. Заблокировать входящий трафик на межсетевом экране, по портам SMB (139 и 445).
3. Убедиться, что включены средства защиты информации на всех узлах сети.
4. Если используется защитное решение «Лаборатории Касперского», убедиться, что его версия включает в себя компонент «Мониторинг Системы» и он включен.
5. Установить актуальные обновления баз данных компьютерных вирусов к антивирусным средствам и осуществить проверку критических областей средства вычислительной техники.
6. Выполнить резервное копирование всей критически важной  информации, в частности файлов баз данных, офисных документов, архивов и т.п. (Вредоносное ПО шифрует файлы: der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc)

Рекомендации при наличии подозрения на зараженность вредоносного ПО WannaCry

Перед началом работы на средстве вычислительной техники.

1. Отключить средство вычислительной техники (далее – СВТ) от локальной сети и сети Интернет.
2. Загрузить СВТ с использованием загрузочного диска (Live-CD, Live-USB), размещенного на официальных сайтах производителей антивирусных средств (далее -  АВС), например, АО «Лаборатория Касперского», ООО «Доктор Веб».
3. Обновить базы данных компьютерных вирусов (далее – БДКВ) АВС с использованием функциональных возможностей Live-CD (описание порядка действий приведено на диске).
4. Внести изменения в настройки АВС (установить режим – информирование о зараженных объектах).
5. Провести полную проверку жестких дисков.
6. При выявлении фактов заражения носителей информации ВПО таких как:

1) Trojan-Ransom.Win32.Scatter.uf

2) Trojan-Ransom.Win32.Fury.fr

3) PDM:Trojan.Win32.Generic

4) Trojan-Ransom.Win32.Zapchast.i

5) Trojan-Ransom.Win32.Wanna.c

6) Trojan-Ransom.Win32.Wanna.b

7) Trojan-Ransom.Win32.Agent.aapw

8) Troyan.Encoder.11432

необходимо скопировать на внешний носитель информации все зашифрованные файлы с расширением «.WCRY». (Для расшифровки информации в файлах, после возможного выхода утилиты дешифрования).

Все незашифрованные файлы (при их наличии) с пользовательской информацией следующих расширений:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

с жесткого диска СВТ скопировать на другой внешний носитель информации.

1. В случае, если вредоносное ПО осуществило шифрование критически важной для пользователя информации, необходимо извлечь жесткий диск из СВТ, на случай выхода утилиты дешифрования, использующей в своей работе алгоритмы, применяемые в самом ВПО WannaCry, для последующего восстановления информации.
2. В случае выхода утилиты дешифрования, использующей в своей работе алгоритмы, применяемые во вредоносном ПО WannaCry, перед загрузкой зараженной операционной системы, необходимо в BIOSе установить дату и время, соответствующие (максимально приближенные) времени заражения.
3. Дешифровку файлов осуществлять в соответствии с инструкцией по использованию утилиты.

 Примечание.

Исходя из принципов функционирования вредоносного ПО WannaCry (оригинальный файл удаляется после его шифрования), существует вероятность восстановления удаленных файлов специальным программным обеспечением типа R-Studio.