Министерство связи и массовых коммуникаций российской федерации
«Научно-Технический Центр «АТЛАС»
Федеральное государственное унитарное предприятие
Новосибирский филиал

2 июля 2017 года ФСТЭК России опубликовала информационное письмо №240/22/3171 «О мерах по защите информации, направленных на нейтрализацию угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций».

«WannaCry» – это эксплойт (компьютерная программа эксплуатирующая уязвимость в Windows-реализации протокола SMB), позволяющий злоумышленнику получить удаленный доступ к компьютеру жертвы и загрузить шифровальщик. После того как заражается один компьютер в локальной сети, «WannaCry» распространяется на другие компьютеры эксплуатируя ту же уязвимость.

«Petya» – программа-вымогатель, использующая утилиты типа «Mimikatz», извлекая учетные записи из процесса lclass.exe, после этого данные эксплуатируются утилитами «PsExec» (или WMIC) для распространения внутри сети. После заражения вредоносная программа перезагружает систему жертвы и начинает шифровать главную файловую таблицу в разделах NTFS, перезаписывая главную загрузочную запись MBR сообщением с требованием выкупа.

«Misha» – программа-вымогатель действующая в паре с «Petya». В отличие от «Petya», не требует прав администратора и шифрует не только стандартные типы файлов (изображения, документы и пр.), но и исполняемые файлы (расширение exe). Незатрагиваетдиректории: \Chrome, \Windows, \Internet Explorer, \LocalLow, \$Recysle.Bin, \Temp, \Microsoft, \Mozilla Firefox, \Opera, \Local.

Меры, которые по мнению ФСТЭК России позволят снизить вероятность заражения этими вирусами:

  • обновление программного обеспечения до актуальных версий;
  • выявление и анализ уязвимостей информационной (автоматизированной) системы и оперативное устранение выявленных уязвимостей;
  • обнаружение и реагирование на поступление в информационную (автоматизированную) систему незапрашиваемых электронных сообщений (электронных писем, документов);
  • периодическое резервное копирование информации на резервные машинные носители информации и обеспечение возможности восстановления информации с резервных машинных носителей информации;
  • защита периметра информационной (автоматизированной) системы (исключение доступа к ТСР-портам 139 и 445);
  • использование антивирусных приложений (с применением эвристических методов выявления вредоносного программного обеспечения);
  • применение систем управления и корреляции событий с настроенными индикаторами на действие вредоносного программного обеспечения;
  • контроль состояния технической защиты информации;
  • применение систем обнаружения (предупреждения) вторжений (атак).

Помимо этого, следует обратить внимание на уязвимости (представлены в таблице ниже), которые способствуют осуществлению вредоносного воздействия.

Наименование уязвимости Описание уязвимости Способ устранения

BDU: 2017-01034

Уязвимость операционной системы «Windows» и пакета программ «Microsoft Office» связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированного документа

Установка обновлений ОС и программных компонентов и патчей

BDU:2017-01095

Уязвимость протокола SMBv1 операционной системы «Microsoft Windows» существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированных пакетов

BDU:2017-01096

Уязвимость протокола SMBv1 операционной системы «Microsoft Windows» существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к защищаемой информации в памяти процесса с помощью специально сформированных пакетов

с BDU:2017-01097

по BDU:2017-01100
Уязвимость протокола SMBv1 операционной системы «Microsoft Windows» существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированных пакетов

 

 

 

 

 

Юракова Яна

Отдел аналитики и мониторинга

НвсФ ФГУП «НТЦ «Атлас»