Jak chronić komputer przed atakami WannaCry przy pomocy produktów dla biznesu firmy Kaspersky Lab?

Inżynierowie z Kaspersky Lab przeanalizowali informacje dotyczące przypadków infekcji oprogramowaniem szyfrującym pliki znanym jako WannaCry, który 12 maja zaatakował wiele firm na całym świecie.

Do ataku została wykorzystana luka sieciowa Microsoft Security Bulletin MS17-010. Następnie, na zainfekowanym komputerze został zainstalowany rootkit, poprzez który był uruchamiany szkodnik szyfrujący pliki.

Wszystkie rozwiązania Kaspersky Lab wykrywają tego rootkita jako MEM:Trojan.Win64.EquationDrug.gen. Rozwiązania firmy Kaspersky Lab wykrywają także szkodliwe oprogramowanie szyfrujące pliki, które zostało użyte w tym ataku, pod następującymi nazwami:

Trojan-Ransom.Win32.Scatter.uf
Trojan-Ransom.Win32.Scatter.tr
Trojan-Ransom.Win32.Fury.fr
Trojan-Ransom.Win32.Gen.djd
Trojan-Ransom.Win32.Wanna.b
Trojan-Ransom.Win32.Wanna.c
Trojan-Ransom.Win32.Wanna.d
Trojan-Ransom.Win32.Wanna.f
Trojan-Ransom.Win32.Zapchast.i
Trojan.Win64.EquationDrug.gen
PDM:Trojan.Win32.Generic (aby to złośliwe oprogramowanie zostało wykryte, musi być włączona Kontrola systemu)
Intrusion.Win.DoublePulsar.a (aby to złośliwe oprogramowanie zostało wykryte, musi być włączone Blokowanie ataków sieciowych).

Zalecane jest, aby firmy wykonały następujące działania w celu zminimalizowania ryzyka infekcji:

Zainstaluj oficjalną łatę Microsoft, która eliminuje lukę wykorzystywaną przez to szkodliwe oprogramowanie:
- Dla aktualnie wspieranych systemów operacyjnych:
- Dla systemów operacyjnych, które nie są już wspierane:
Upewnij się, że rozwiązania antywirusowe są włączone na wszystkich punktach końcowych sieci.
Zaktualizuj bazy danych wszystkich używanych rozwiązań firmy Kaspersky Lab.

Bardziej szczegółowe informacje na temat posiadanego rozwiązania Kaspersky Lab można znaleźć w sekcji Jak zapobiec infekcji? tego artykułu.

Eksperci z Kaspersky Lab na bieżąco analizują próbki szkodliwego oprogramowania, aby opracować możliwości odszyfrowania plików.

Więcej informacji na temat ataków WannaCry można znaleźć w raporcie Kaspersky Lab.

Jak chronić sieć przy pomocy rozwiązania antywirusowego Kaspersky Lab?

Kaspersky Endpoint Security 8/10:

Odłącz zainfekowany komputer od sieci firmowej.
Zainstaluj łatę Microsoft:
- Dla aktualnie wspieranych systemów operacyjnych:
- Dla systemów operacyjnych, które nie są już wspierane:
Upewnij się, że komponent Kontrola systemu i wszystkie moduły są włączone:

Obrazek: Włączanie Kontroli systemu

Upewnij się, że komponent Blokowanie ataków sieciowych jest włączony.
Upewnij się, że komponent Ochrona plików jest włączony.
Uruchom zadanie Skanowanie obszarów krytycznych, aby móc wykryć infekcję jak najszybciej.
Po wykryciu szkodnika MEM:Trojan.Win64.EquationDrug.gen, uruchom ponownie komputer.
Uruchom pełne skanowanie, aby usunąć szkodliwe oprogramowanie.
Połącz komputer z siecią.

Kaspersky Security 10 for Windows Server:

Odłącz zainfekowany komputer od sieci firmowej.
Zainstaluj łatę Microsoft:
- Dla aktualnie wspieranych systemów operacyjnych:
- Dla systemów operacyjnych, które nie są już wspierane:
Upewnij się, że komponent Real-time file protection jest włączony.
Skonfiguruj aplikację zgodnie z zaleceniami opisanymi w tym artykule. Zapewni to ochronę serwera przed zdalnym szyfrowaniem z poziomu hostów, które mają do niego dostęp.
Uruchom zadanie Critical Areas Scan, aby móc wykryć infekcję jak najszybciej.
Po wykryciu szkodnika MEM:Trojan.Win64.EquationDrug.gen, uruchom ponownie komputer.
Uruchom pełne skanowanie, aby usunąć szkodliwe oprogramowanie.
Połącz komputer z siecią.

Anti-Virus 8.0 for Windows Servers EE:

Odłącz zainfekowany komputer od sieci firmowej.
Zainstaluj łatę Microsoft:
- Dla aktualnie wspieranych systemów operacyjnych:
- Dla systemów operacyjnych, które nie są już wspierane:
Upewnij się, że komponent Real-time file protection jest włączony.
Uruchom zadanie Critical Areas Scan, aby móc wykryć infekcję jak najszybciej.
Po wykryciu szkodnika MEM:Trojan.Win64.EquationDrug.gen, uruchom ponownie komputer.
Uruchom pełne skanowanie, aby usunąć szkodliwe oprogramowanie.
Połącz komputer z siecią.

Kaspersky Anti-Virus 6.0 R2 for Windows Workstations:

Odłącz zainfekowany komputer od sieci firmowej.
Zainstaluj łatę Microsoft:
- Dla aktualnie wspieranych systemów operacyjnych:
- Dla systemów operacyjnych, które nie są już wspierane:
Upewnij się, że komponent File Anti-Virus jest włączony.
Upewnij się, że komponent Anti-Hacker jest włączony.
Uruchom zadanie Full Scan, aby móc wykryć infekcję jak najszybciej.
Po wykryciu szkodnika MEM:Trojan.Win64.EquationDrug.gen, uruchom ponownie komputer.
Uruchom pełne skanowanie, aby usunąć szkodliwe oprogramowanie.
Połącz komputer z siecią.

Jak chronić sieć przy pomocy innych rozwiązań antywirusowych?

Użyj Kaspersky Virus Removal Tool

Lokalnie:

Odłącz zainfekowany komputer od sieci firmowej.
Zainstaluj łatę Microsoft:
- Dla aktualnie wspieranych systemów operacyjnych:
- Dla systemów operacyjnych, które nie są już wspierane:
Uruchom skanowanie w Kaspersky Virus Removal Tool.
Po wykryciu szkodnika MEM:Trojan.Win64.EquationDrug.gen, uruchom ponownie komputer.
Uruchom pełne skanowanie, aby usunąć szkodliwe oprogramowanie.
Połącz komputer z siecią.

Zdalnie:

Zainstaluj łatę Microsoft:
- Dla aktualnie wspieranych systemów operacyjnych:
- Dla systemów operacyjnych, które nie są już wspierane:
Przenieś plik wykonywalny Kaspersky Virus Removal Tool do folderu współdzielonego.
Uruchom narzędzie na zdalnym komputerze (z poziomu wiersza poleceń, poprzez profil grupy lub plik .bat w Kaspersky Security Center), używając polecenia:

\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

share — nazwa folderu udostępnionego.
Po wykonaniu tego polecenia na zdalnym komputerze, skanowanie zostanie przeprowadzone bez leczenia, a raport procesu zostanie utworzony w katalogu \\share\logs\

Aby leczenie zostało wykonane, dodaj parametry -adinsilent -processlevel 1 do polecenia

\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

Po wykryciu szkodnika MEM:Trojan.Win64.EquationDrug.gen, uruchom ponownie komputer.

Jak korzystać z Kaspersky Rescue Disk?

Odłącz zainfekowany komputer od sieci firmowej.
Zainstaluj łatę Microsoft:
- Dla aktualnie wspieranych systemów operacyjnych:
- Dla systemów operacyjnych, które nie są już wspierane:
Uruchom komputer z instalatora Kaspersky Rescue Disk.

Kaspersky Rescue Disk 10 jest niekompatybilny z RAID. Więcej informacji można znaleźć w wymaganiach systemowych.

Uruchom zadanie skanowania. Opis sposobu uruchamiania zadania skanowania można znaleźć w tym artykule.
Po wykryciu szkodnika MEM:Trojan.Win64.EquationDrug.gen, uruchom ponownie komputer.
Uruchom pełne skanowanie, aby usunąć szkodliwe oprogramowanie.
Połącz komputer z siecią.

Jak zapobiegać infekcji?

Jak rozesłać aktualizację Microsoft za pośrednictwem Kaspersky Security Center?

Metoda podstawowa:

Pobierz aktualizacje ze stron internetowych Microsoft:
- Dla aktualnie wspieranych systemów operacyjnych:
- Dla systemów operacyjnych, które nie są już wspierane:
Na dysku lokalnym utwórz folder tymczasowy i przenieś do niego pobrany plik *.msu.
W folderze tymczasowym utwórz plik .bat. Otwórz plik do edycji i wpisz następujące polecenie:

wusa.exe "%cd%\updatename.msu" /quiet /warnrestart

updatename - nazwa pliku aktualizacji
Przykład polecenia:

wusa.exe "%cd%\kb4012212-x64.msu" /quiet /warnrestart

Polecenie inicjuje cichą instalację aktualizacji. Po instalacji zostanie wyświetlony komunikat o ponownym uruchomieniu komputera, a użytkownik będzie miał minutę na zapisanie otwartych plików (nie ma możliwości kontynuowania bez ponownego uruchomienia komputera).

Jeśli wpiszesz forcerestart zamiast warnrestart, ponowne uruchomienie komputera zostanie wymuszone od razu; wszystkie otwarte aplikacje zostaną zamknięte, a dane mogą nie zostać zapisane.

Należy posiadać folder tymczasowy z plikiem bat i wymaganymi plikami msu.

Uwaga! Uruchomienie polecenia na komputerze, na którym aktualizacja jest już zainstalowana lub jest niekompatybilna, nie spowoduje żadnych negatywnych konsekwencji.

W Kaspersky Security Center przejdź do Zaawansowane › Zdalna instalacja › Pakiety instalacyjne. W prawej części okna kliknij Utwórz pakiety instalacyjne.
W Kreatorze tworzenia nowego pakietu wybierz Utwórz pakiet instalacyjny dla określonego pliku wykonywalnego.

Obrazek: Tworzenie pakietu instalacyjnego

Utwórz pakiet instalacyjny z plikiem .bat. Zaznacz pole Kopiuj cały folder do pakietu instalacyjnego, aby uwzględnić pliki .msu w pakiecie.

Dodatkowo: W pliku bat możesz także określić instalację kilku aktualizacji i umieścić te pliki aktualizacji w folderze tymczasowym, ale spowoduje to zwiększenie rozmiaru pakietu.

Zainstaluj utworzony pakiet na komputerach. Możesz wskazać komputery, na których aktualizacja zostanie zainstalowana, według typu systemu operacyjnego (wybierz grupę komputerów, kliknij ją prawym klawiszem myszy i z otwartego menu wybierz Zainstaluj aplikację). Lub utwórz zadanie dla grupy komputerów (wybierz grupę lub cały węzeł w sekcji Zarządzane komputery, na zakładce Zadania i utwórz zadanie instalacji). Możesz też zainstalować pakiet w inny dowolny sposób, do którego jesteś przyzwyczajony.
Możliwa jest także lokalna instalacja pakietu.

Metoda alternatywna:

Wymagane:

Licencja rozszerzona dla produktu Kaspersky Lab.
Użycie zadania Wyszukiwanie luk i aktualizacji Microsoft.

Wykonanie:

Przejdź do Zaawansowane -> Zarządzanie aplikacjami -> Aktualizacja.
W wierszu wyszukiwania wpisz żądaną aktualizację Microsoft.
Kliknij aktualizację prawym klawiszem myszy i wybierz Zainstaluj aktualizację.
Zainstaluj aktualizację na wszystkich komputerach, na których jest to wymagane.

Jak bezpiecznie korzystać z komputera bez zainstalowanej aktualizacji Microsoft?

Czy te informacje były pomocne?

Tak Nie

Safety 101: Informacje ogólne

Safety 101: Pytania i odpowiedzi

Safety 101: Pomoc w ochronie