Рекомендации для клиентов по предотвращению атак WannaCrypt
Решение Microsoft для защиты дополнительных продуктов
Сегодня многие наши клиенты в разных странах и критически важные системы, от которых зависит деятельность этих клиентов, стали жертвами вредоносной программы WannaCrypt. Нам было больно наблюдать, как компании и частные лица подвергались таким кибератакам. Специалисты Microsoft целый день работали над тем, чтобы разобраться с природой атаки, и предприняли все возможное для защиты своих клиентов. В этой записи блога изложены пошаговые инструкции, которые должны предпринять все частные лица и компании, чтобы защититься от этой угрозы. Кроме того, мы предпринимаем очень необычный шаг, предоставляя обновление безопасности всем клиентам, чтобы защитить системы Windows, обслуживаемые в рамках только дополнительной поддержки, в числе которых Windows XP, Windows 8 и Windows Server 2003. Клиенты, использующие Windows 10, сегодня атаке не подвергались.
Вот более подробная информация:
- В марте мы выпустили обновление безопасности, которое устраняло уязвимость, используемую в этих атаках. Те, кто пользуются компонентом «Обновление Windows» защищены от атак, направленных на эту уязвимость. Организациям, которые еще не установили у себя обновление безопасности, мы настоятельно рекомендуем немедленно установить исправление, предлагаемое на странице Microsoft Security Bulletin MS17-010.
- Для пользователей Защитника Windows (Windows Defender) мы в первой половине дня выпустили обновление, которое распознает эту атаку как Ransom:Win32/WannaCrypt. В качестве дополнительной меры «углубления обороны» рекомендуем поддерживать в актуальном состоянии антивирусное ПО на своих машинах. Клиентам, использующим антивирусное ПО каких-либо специализирующихся на безопасности компаний, рекомендуем уточнить у своих поставщиков, обеспечивает ли антивирус защиту от подобных атак.
- Атака может продолжаться и развиваться во времени, поэтому любые мероприятия по углублению обороны будут кстати для обеспечения дополнительной защиты. (В частности, для дополнительной защит от атак SMBv1 мы рекомендуем клиентам заблокировать в своих сетях устаревшие протоколы.)
Мы также знаем, что некоторые клиенты используют версии Windows, которые больше не поддерживаются. Это означает, что такие клиенты не получат упомянутое выпущенное в марте обновление безопасности. Ввиду масштабности возможных последствий для клиентов и их бизнеса мы решили сделать загрузку обновления безопасности доступной не только для систем, поддерживаемых в рамках дополнительных программ поддержки, таких как Windows XP, Windows 8 и Windows Server 2003, но и для всех клиентов (см. ссылки в конце статьи).
Клиенты, пользующиеся поддерживаемыми в текущий момент версиями операционной системы (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows 10, Windows Server 2012 R2, Windows Server 2016), получат выпущенное в марте обновление MS17-010. Если у клиентов включено автоматическое обновление или они установили это обновление, их системы защищены. Другим клиентам мы настоятельно рекомендуем как можно быстрее установить это обновление.
Это решение было принято на основе оценки ситуации, исходя из принципа защиты всей экосистемы наших пользователей, которого мы неукоснительно придерживаемся.
В некоторых из наблюдаемых нами атак использовались стандартные тактики фишинга, в том числе с использованием вредоносных вложений к сообщениям электронной почты. Клиенты должны соблюдать исключительную осторожность при открытии документов из недоверенных или неизвестных источников. Что касается пользователей Office 365, то мы постоянно отслеживаем и обновляем эту систему, защищая ее от подобных атак, в том числе от Ransom:Win32/WannaCrypt. Подробнее об этом вредоносном ПО см. в центре Microsoft Malware Protection Center в блоге по безопасности Windows. Для не знакомых с Microsoft Malware Protection Center сообщим, что это сайт, на котором происходит обсуждение технических вопросов и который призван предоставлять специалистам по ИТ-безопасности информацию о том, как улучшить защиту своих систем.
Мы работаем в тесном контакте с пользователями, чтобы иметь возможность предоставить дополнительную помощь по мере развития ситуации, и будем обновлять этот блог, предоставляя новую информацию по мере необходимости.
Филлип Миснер (Phillip Misner), главный менеджер группы по безопасности в центре Microsoft Security Response Center
Дополнительные ресурсы (на английском языке)
- Загрузка обновлений безопасности для англоязычных систем: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
- Загрузка обновлений безопасности для локализованных систем: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
- Обновление безопасности MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- Общая информация о программах-шантажистах: https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx