WannaCry aanval voorkomen

F-Secure Labs waarschuwde al eerder over de exponentiële groei van ransomware. Crypto-ransomware genaamd WannaCry, WCry, WannaCrypt, of soortgelijke termen — die wereldwijd explodeerden op vrijdag 12 mei — bewijzen helaas dat de voorspellingen juist zijn.

Vanaf het begin hebben we de ransomware gedetecteerd, wat inhoudt dat alle F-Secure endpoint klanten al beschermd waren voordat de ransomware überhaupt uitbrak. F-Secure endpoint producten beschermen op drie lagen tegen WannaCrypt:

  1. F-Secure’s geïntegreerde patch management oplossing voorkomt dat WannaCrypt gebruik maakt van de kwetsbaarheid van de EnternalBlue door automatisch de bijbehorende beveiligingspatches te implementeren.
  2. F-Secure’s Deepguard functionaliteit verzorgt host-based gedragsanalyses en exploiteert onderscheppingen die WannaCrypt blokkeren.
  3. F-Secure Firewall voorkomt dat WannaCrypt zich verder verspreidt in de omgeving en in versleutelde bestanden.

F-Secure’s vulnerability manager markeert de ontbrekende Microsoft beveiligingspatch en de kwetsbare 445-poort voor onmiddelijke actie, waardoor IT-beheerders voldoende tijd hebben om de kwetsbaarheden voor de uitbraak te repareren.

ONZE AANBEVELINGEN VOOR KLANTEN?

  1. Zorg ervoor dat DeepGuard real-time beveiliging is ingeschakeld in al uw bedrijfseindpunten.
  2. Identificeer eindpunten zonder de Microsoft-patch (4013389) met Software Updater of een andere beschikbare tool.
  3. Patch het direct met Software Updater.
    1. Indien u niet direct kunt patchen, raden we aan om SMBv1 uit te schakelen door de stappen te volgen die zijn beschreven in Microsoft Knowledge Base Article 2696547 om de grootte van de aanval te verminderen.
  4. Configureer de firewall om verkeer correct te blokkeren.
    1. Blokkeer 445 inbounds op alle interne and internetgerichte Windows systemen om te voorkomen dat werkstations geïnfecteerd raken
    2. Blokkeer 455 outbounds van servers om te voorkomen dat de servers WannaCrypt wijd verspreiden
    3. Als alternatief kunt u F-Secure Firewall beleid instellen op het hoogste niveau, dat voorgedefinieerde regels heft om de aanval te blokkeren.