Зловред-шифровальщик заблокировал работу пользователи нескольких стран

Очередная массовая вирусная атака началась 24 октября.

Зловред-шифровальщик BadRabbit заблокировал работу многих пользователей в России, Украине, Турции, Японии, Болгарии и Германии, сообщили в пресс-службе группы компаний Softline.

— Несмотря на аналогии с предыдущими атаками WannaCry и NotPetya, BadRabbit использует совершенно другой механизм распространения. Злоумышленники взломали несколько популярных сайтов, с которых под видом обновления Adobe Flash Player доставляется вредоносный код. Далее следует повышение привилегий, распространение по сети на соседние компьютеры с подбором паролей и собственно шифрование данных с требованием выкупа на биткоин-кошелёк, — рассказал директор по развитию кибербезопасности группы компаний Softline Евгений Акимов.

По его словам, главной рекомендацией в такой ситуации является совет не загружать обновления Adobe Flash Player с каких-либо сайтов, помимо официального сайта Adobe.

— Если же вы уже нажали кнопку «загрузить», и атака началась — первым делом, следует отключить компьютер от сети и обратиться в корпоративную службу безопасности, — рекомендует эксперт.

Он отметил, что любая массовая вирусная атака – вызов для корпоративных ит-специалистов.

— Вот ряд рекомендаций, которые мы можем дать для защиты от BadRabbit: Компании-разработчики антивирусных решений оперативно добавили сигнатуры нового зловреда в свои базы, некоторые заявляют и детектировании эвристическими методами сразу в момент появления шифровальщика, поэтому обязательно обновите используемый антивирус, заблокируйте исполнение файла c:\windows\infpub.dat, с:\windows\cscc.dat, запретите (если это возможно) использование сервиса WMI, поменяйте пароли на сложные (9 и более символов, с использованием цифр, спецсимволов и сменой регистров), включите блокировку всплывающих окон на компьютерах пользователей, а также проверьте защищенность вашей системы с помощью хелсчека (Компания Softline для тех компаний, с которыми заключен договор на техническую поддержку систем кибербезопасности, проводит хелсчек бесплатно), — рассказал эксперт.

Евгений Акимов напомнил также о правилах, которые помогут компаниям всегда быть готовыми к подобным инцидентам: Создание системы повышения осведомленности пользователей (все три упомянутых вируса-шифровальщика маскируются под легитимные файлы обновлений или документы), подключение к ситуационному центру информационной безопасности (SOC) на аутсорсе, а в перспективе — для крупных компаний и холдингов, — создание собственного, что обеспечивает оперативное реагирование экспертного уровня и возможность блокировки начавшейся атаки, создание системы резервного копирования, создание надёжной системы обновления используемого ПО, а  также для многих организаций целесообразно создание систем защиты от целевых атак (антиAPT), которые обнаруживают новые ранее неизвестные атаки, такие решения предлагают крупные производители антивирусного ПО.

Кроме того, уверен Евгений Акимов, можно провести аудит кибербезопасности компании и полностью убедиться в надежности защитных мер.

 

tkrasnova

Recent Posts