Nuestro entorno tiene algunos servidores Windows 2012 R2 que ya están parcheados contra el ransomware WannaCry. La actualización instalada fue KB4012213.
Asegurarse de que SMBv1 esté deshabilitado es un buen comienzo para protegerse contra el exploit de Ethernalblue.
El malware también utiliza las herramientas WMIC y PSEXEC para infectar máquinas con computadoras con parches de Windows. Se recomienda deshabilitar WMIC aquí para ver cómo deshabilitar WMIC: enlace
También he visto a personas que dicen bloquear el uso remoto de cuentas locales a través de GPO, pero aún no he visto mucho sobre eso.
También hay informes que dicen que pagar el rescate no te recompensará con la clave de descifrado, ya que el correo electrónico que se usa desde entonces ha sido bloqueado.
También ha habido algunos informes que indican que si apaga la máquina justo cuando aparece el mensaje, no se cifrarán los archivos. enlace
ACTUALIZACIÓN: parece que ahora se ha encontrado un interruptor para detener el ataque, todo lo que tienes que hacer es crear una carpeta C: \ Windows \ perfc
Para protegerse del virus Petya:
Crea un archivo perfc.dll
En el momento del ataque, Petya busca el archivo C: \ Windows \ perfc.dll. Si ya existe un archivo de este tipo en la computadora, entonces el virus termina de funcionar sin infección.
Para crear un archivo para proteger contra Petya, puede usar el habitual "Bloc de notas". Los expertos también recomiendan que el archivo sea de solo lectura para que el virus no pueda realizar cambios en él.
Instalar parches de seguridad
El virus también se propaga a través de las vulnerabilidades de Windows CVE-2017-0199 y CVE-2017-0144. Se recomienda instalar parches de seguridad que los cierren:
Necesitamos instalar parches de seguridad no solo para Windows, sino también para Microsoft Office.
También es necesario instalar parches que cubran la vulnerabilidad explotada anteriormente para WannaCry:
Actualizar firmas antivirus
La base de datos de firmas de software antivirus debe actualizarse a partir del 27 de junio de 2017, no antes de las 20:00.
Bloquear recursos
El virus usa las siguientes direcciones, debes bloquear el acceso a ellas:
— 84.200.16[.]242
— 84.200.16[.]242/myguy.xls
— french-cooking[.]com/myguy.exe
— 111.90.139[.]247
— COFFEINOFFICE[.]XYZ
¡Importante! Los puntos están establecidos por razones de seguridad. No haga clic en los enlaces. Estas direcciones se publican para bloquearlas manualmente.
Deshabilitar puertos TCP
Si la red ya tiene estaciones de trabajo o servidores infectados, debes desactivar los puertos TCP 1024-1035, 139 y 445.
Deshabilitar el protocolo SMB
Si no puede instalar actualizaciones de seguridad, desactive el protocolo SMB v1 / v2 / v3 en estaciones de trabajo y servidores.
Lea más: enlace
Configurar el bloqueo de ataques
En el caso de las funciones de seguridad NGFW / NGTP / IPS, configure el bloqueo de ataques que explotan EternalBlue (MS17-010).
Lea otras preguntas en las etiquetas ransomware