Что следует сделать, чтобы не пополнить число жертв атаки BadRabbit?

24/10 началась массовая вирусная атака, к которой, увы, применим термин очередная, – шифровальщик BadRabbit заблокировал работу многих пользователей в России, Украине, Турции, Японии, Болгарии и Германии. По имеющимся данным нарушен ряд сервисов в киевском метрополитене и ряде других организаций.

Несмотря на аналогии с предыдущими атаками WannaCry и NotPetya, для распространения BadRabbit не использует уязвимость EternalBlue из арсенала спецслужб. Вместо этого злоумышленники взломали несколько популярных сайтов, с которых под видом обновления AdobeFlashPlayer доставляется вредоносный код. Далее следует повышение привилегий, распространение по сети на соседние хосты с подбором паролей и, собственно, шифрование данных с требованием выкупа на биткоин-кошелёк. Антивирусные вендоры достаточно оперативно добавили сигнатуры нового зловреда в свои базы, некоторые заявляют и о детектировании сразу в момент появления эвристическими методами. 
Что следует сделать сейчас, чтобы не пополнить число жертв атаки BadRabbit?

• Обновите используемый антивирус.
• Заблокируйте исполнение файла c:\windows\infpub.dat, с:\windows\cscc.dat.
• Запретите (если это возможно) использование сервиса WMI
• Поменяйте пароли на сложные (9 и более символов, с использованием цифр, спецсимволов и сменой регистров).
• Включите блокировку всплывающих окон на хостах пользователей.
• Для проверки защищённости от данных атак рекомендуем проведение бесплатного хелсчека от Softline (предложение действует в случае заключения договора на техническую поддержку систем кибербезопасности)

Если атака уже началась – отключите компьютер от сети и обратитесь в корпоративную службу кибербезопасности или напрямую в Softline.

Чтобы быть готовым к появлению подобных атак рекомендуется следующее:

1. Создание системы повышения осведомленности пользователей (все 3 упомянутых вируса-шифровальщика скрываются под легитимные файлы обновлений или документы).
2. Мы рекомендуем решение на базе технологий FishMan.
3. Подключение к SOC (в дальнейшем для крупных компаний и холдингов создание собственного), что обеспечивает оперативное реагирование экспертного уровня и возможность блокировки начавшейся атаки.
4. Создание системы резервного копирования.
5. В качестве основы мы рекомендуем продукты следующих производителей: Veritas, HP и Veeam;
6. Создание надёжной системы обновления используемого ПО;
7. Для проверки установки соответствующих патчей мы рекомендуем системы управления уязвимостями на основе Positive Technologies MaxPatrol.
8. Для многих организаций целесообразно создание систем защиты от целевых атак (антиAPT), которые обнаруживают новые ранее неизвестные атаки,
9. Мы рекомендуем решения Kaspersky КАТА и CheckPoint SandBlast, а также GroupIB

Полностью убедиться в надёжности защитных мер можно заказав в Softline аудит кибербезопасности вашей компании.