SoftControl SysWatch защищает компьютеры и серверы от шифровальщиков WannaCry, Petya и NotPetya
Волны заражений вирусами шифровальщиками WannaCry и Petya разошлись по всему миру. Пострадали крупные предприятия, органы государственной власти, финансовые организации. Сумма ущерба еще не оценена, но цифра будет многозначной. Возникает вопрос – как можно предотвратить заражение компьютера и гарантировать работоспособность информационной системы?
Самый простой способ – не открывать вложенные файлы и не кликать по ссылкам в электронном письме. Каждая компания должна уделять внимание обучению правилам «информационной гигиены». Но фишинговые письма могут выглядеть очень убедительно, а страх открыть неправильное письмо может замедлить бизнес-процессы. В этом случае нужно использовать дополнительную защиту – что-то более эффективное, чем антивирусное ПО, которое в таких случаях не срабатывает.
SoftControl SysWatch – это приложение, которое устанавливается на устройство. В нем присутствует антивирусный компонент, но основной его функционал базируется на технологии белых списков: к запуску разрешается только одобренный перечень процессов. Даже в случае эксплуатации уязвимостей системы или приложений производится контроль системных привилегий процессов, ограничение сценариев активности и защита буфера процессов от воздействий извне.
В отличие от антивирусов, SysWatch не зависит от регулярных обновлений и позволяет эффективно защищать конечные точки корпоративной сети от всех видов вредоносного ПО, эксплуатации уязвимостей приложений, включая угрозы нулевого дня и уникальный вредоносный код, написанный на заказ, который не получит широкого распространения и не попадёт в антивирусные базы.
Как SysWatch защищает от WannaCry, Petya и NotPetya
Оба вируса имеют схожее строение: средство проникновения и шифровальщик. Специалисты MalwareHunterTeam обнаружили, что установщик Petya поставляется со вторым, резервным шифровальщиком в комплекте, который получил имя Mischa. Одно из исследований WannaCry показало, что изначальный файл mssecsvc.exe запускает другой файл с названием tasksche.exe. Вредоносная программа сканирует диски, а также расшаренные по сети папки и шифрует их, используя 2048-битное RSA шифрование. Пока файлы шифруются, создается папка 'Tor/', куда кладется файл tor.exe и 9 файлов dll, которые он использует. Дополнительно создаются taskdl.exe и taskse.exe. Первый из них удаляет временные файлы, а второй запускает @wanadecryptor@.exe, который показывает пользователю окно с требованием заплатить. Файл @wanadecryptor@.exe отвечает только за вывод сообщения. И это только один из вариантов развития событий.
Продукт SysWatch обеспечивает:
Блокировку любых процессов, которые не входят в одобренный список.
Распознает маскировку зловредной программы под доверенную.
Позволяет ограничивать директории запуска программ, заблокировать несанкционированные попытки модификации или создания файлов и процессов.
В настоящие время SysWatch установлен на более чем 500 тыс. устройств в 24 странах мира и ни одно из них не было подвергнуто деструктивному воздействию зловредов.