Назад

Абонентское обслуживание компьютеров
организаций в Москве и Московской области

Главная  /  Вирусы-шифровальщики

Вирусы-шифровальщики


markПодать заявку

Борьба с вирусами и их последствиями занимает значительную часть времени у нерадивого системного администратора. Хороший администратор из компании Ксит работает превентивно, не допуская появления вирусов в локальной сети.

Первым делом мы проводим аудит на использование в организации опасных и заведомо устаревших сетевых протоколов

 

Далее тестируем и затем применяем ряд мер, позволяющий значительно поднять нижнюю планку безопасности.

С помощью штатной политики мы отключим запуск любых потенциально опасных расширений. Даже при наличии необходимых привилегий пользователь не сможет запустить опасный скрипт.

 

Следующим шагом мы позаботимся чтобы у пользователей не было администраторских прав.

Шифровальщики используют уязвимости в древнем протоколе smb1, разработанном в 1983 году фирмой IBM, впоследствии в 2000 году доработанным майкрософт (smb-direct), в висте (ядро nt 6.0) microsoft кардинально переработал сетевой стек и появилась безопасная версия smb 2.0, а в восьмерке 3 версия, на данный момент в ОС win10 используется версия 3.0.2 и выше.

ОС линукс и mac os от apple также нуждаются в отключении данного протокола.

Это хорошо заметно по обновлениям, которые все компании выпустили сразу после вируса wannacry. Патч закрытия критической уязвимости в SMBv1 был выпущен Майкрософтом 14 марта 2017 года

Соответственно пк с xp, работающие только с smb1 удаляются как класс.

Бюджетные сетевые сканеры, сканирующие по сети на сервер, добавляются в исключения либо переходят на другую технологию- сканируют на почту или флэшку.

Отключение протокола NETBIOS позволит ускорить согласование перед передачей файлов.

 

Следующим шагом мы подключим все рабочие станции и сервера клиента к собственному серверу обновлений, что позволит загружать проверенные критические обновления безопасности.

 

Принудительно включив цифровую подпись между сервером и клиентами для внутри доменной аутентификации мы дополнительно усилим безопасность.

Утилита, которая достанет ключ, при помощи которого можно расшифровать файлы уже подвергшиеся заражению у нас есть. При этом компьютер не должен быть ни разу перезагружен после появления окна WannaCry. Если это произошло, то утилита не поможет.

Если нет задачи доступа к данным пк по сети, то отключается привязка к сетевому адаптеру.

 

Далее следует применение многочисленных групповых политик, отключающих возможность отладки, сокращающих время хранения хешей паролей в памяти, отключающих устаревшие протоколы аутентификации и многое другое.

Обращу внимание, что все эти меры штатные, не требующие никаких финансовых вложений. Их применение зависит исключительно от квалификации обслуживающего персонала.

А LOW END админы, сидят на окладах в офисах, годами ничему не учатся и работающие по принципу “установлю винду по дефолту, а если вирус поймаю переставлю винду и пусть работодатель платит вымогателям или остается без данных”. У таких людей вечно вендор (майкрософт) плохой, а они непризнанные гении современности.