Настройте onedrive чтобы иметь возможность восстановить файлы в случае атаки программой шантажистом

Обновлено: 07.07.2024

Инцидентов шифрования или блокировки данных при помощи зловредного ПО становится все больше с каждым годом. И все чаще жертвой вымогателей оказывается малый и средний бизнес. Сегодня Максим Рахманов, менеджер по работе с партнерами в СНГ Acronis, рассказывает, как защититься от подобных атак и что делать, если это уже произошло.

Максим Рахманов
Менеджер по работе с партнерами в СНГ Acronis

— Начну с плохих новостей: наш опыт показывает, что 7 из 10 представителей бизнеса не готовы к подобным кибератакам. А ущерб от Ransomware может нанести непоправимые последствия.

Ransomware (программа-вымогатель, программа-шантажист) — тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нем данных, а затем требует от жертвы выкуп для восстановления исходного состояния.

Например, шифрование данных госструктур в Балтиморе (США) привело к потерям на сумму более $ 8 млн. Или в канун Нового 2020 года биржа Travelex вынуждена была отключить доступ к своим сайтам в 20 странах для предотвращения распространения программного вируса и больше недели не могла продолжать работу. При этом именно Ransomware, или программы-вымогатели, давно стали одним из самых популярных инструментов для атак на компании различных размеров.

Как сообщают аналитики Cybersecurity Ventures, в 2019 году проникновения программ-вымогателей в сети компаний стали происходить каждые 14 секунд. Хотя еще в 2016 году этот показатель составлял 40 секунд. Эксперты ожидают, что в 2021 году новые случаи шифрования данных будут происходить уже каждые 11 секунд. Во многом такой рост ожидается потому, что целью злоумышленников все чаще становится не только крупный, средний, но и малый бизнес.

Хорошая новость заключается в том, что теперь в случае атаки предприятия сопротивляются больше, чем когда-либо прежде. Все больше организаций принимают меры — либо уже после неприятного инцидента, либо заранее. Об обоих сценариях расскажу далее.

Фото vokrugsveta.ua

Что делать, если вас зашифровали?

Если вы уже столкнулись с Ransomware и ваши данные оказались зашифрованы, выходов из этой ситуации не так уж много.

Первый — заплатить выкуп. При этом вы тем самым поддерживаете преступное сообщество, подтверждая эффективность его работы. Но самое главное, никакой гарантии, что ваши данные будут расшифрованы, разумеется, нет.
Второй вариант — постараться победить вредоносное ПО самостоятельно. Для этого вам потребуется совершить несколько шагов.

Шаг 1. Удалить саму программу-шифровальщик с зараженного компьютера. Для этого нужно подключить жесткие диски от зараженных компьютеров к системам с защитным ПО, которое сможет обезвредит вирус. То есть вам нужно будет открыть корпус, достать жесткие диски и установить их в другой компьютер. После этого нужно будет провести проверку носителей и удалить с них шифровальщик.

В качестве альтернативы можно загрузиться с другого носителя, например, с флешки или DVD-диска, на котором установлены антивирусные утилиты (это программы, которые ищут и удаляют вирусы и другие вредоносные программы на более глубоком уровне, чем обычные антивирусы), и запустить сканирование.

Загрузиться с флешки или DVD-диска можно через Меню загрузки. Для этого:

Подключите к компьютеру флешку или другой «загрузочный» носитель. Это носитель, на котором обязательно должны находиться файлы загрузки. Где взять или как самостоятельно создать «загрузочный» носитель — отдельная тема. Например, «загрузочными» являются все продающиеся в магазинах диски, предназначенные для установки Windows. «Загрузочными» являются также все диски с дистрибутивами операционной системы Linux
Зайти в Меню загрузки компьютера. Оно представляет собой список запоминающих устройств, подключенных к компьютеру, и чаще всего для входа в Меню загрузки требуется нажать кнопку F8

В этом списке нужно выбрать устройство, с которого компьютер должен загрузиться (переместить на него подсвечивание). Выбор устройства осуществляется клавишами со стрелками «Вверх» и «Вниз». Выбрав соответствующее устройство (флешку, DVD/CD или др.), нужно нажать клавишу Enter. Произойдет загрузка компьютера с выбранного устройства.

Этот метод сработает, если антивирус сможет обнаружить и идентифицировать шифровальщика. Поэтому старые загрузочные диски здесь не подойдут. Если вы не уверены в своих силах, лучше сразу обратиться к ИТ- или ИБ-специалисту (специалисту по информационной безопасности).

Если в компании не используется резервное копирование, можно потратить несколько часов на поиск пары зашифрованного и идентичного незашифрованного файла. К тому же ключи могут не подойти именно к той версии вредоносного ПО, которое заразило ваш компьютер. Поэтому бывает так, что специалист бьется целый рабочий день, чтобы расшифровать файлы, но результат остается нулевым.

Шаг 3. Восстановить данные. Очень часто бывает так, что расшифровать файлы не удается или некоторые из них оказываются повреждены. В этом случае можно воспользоваться резервной копией данных. Вообще, резервное копирование является сегодня стандартом де-факто для обеспечения защиты информации. Вот три основных вида резервных копий:

Полные. Полная копия — это резервная копия системы с сохранением всех данных. Достоинство такой копии в ее автономности. Среди недостатков — большой размер, долгий процесс создания и нередко — почти полная идентичность с предыдущей полной копией.
Дифференциальные. В дифференциальной резервной копии сохраняются различия между нынешним состоянием системы и ее последней полной копией. Для восстановления из дифференциальной копии нужно, чтобы последняя по времени полная копия также была рабочей. Преимущество дифференциальной копии — в сравнительной быстроте создания. Однако такая копия может иметь довольно большой размер. Кроме того, для восстановления данных понадобится обработать как минимум два файла резервных копий.
Инкрементные. В инкрементной резервной копии сохраняются различия между текущим состоянием системы и любой последней по времени резервной копией. Последняя копия может быть полной, дифференциальной или тоже инкрементной — для инкрементного копирования это не важно. Достоинства инкрементной копии — компактный размер и высокая скорость создания. Неудобство же в том, что для восстановления из такой копии необходима обработка последней полной копии и каждой последующей инкрементной, вплоть до директивной точки восстановления. В результате восстановление системы из резервных копий этого типа может занять очень много времени.

Но, к сожалению, практика показывает, что даже если в компании применяется один из этих видов резервного копирования, далеко не всегда копии делаются регулярно и являются актуальными.

Фото с сайта sabibon.info

Сложности восстановления: сымитируйте атаку

Насколько сложным окажется восстановление конкретно для вашей компании, обычно выясняется уже в процессе атаки Ransomware. Но чтобы не испытывать судьбу, можно провести эксперимент и имитировать атаку. Для этого нужно зашифровать файлы на одном из компьютеров, например, когда он не используется, или на копии рабочего места — главное, чтобы реальные бизнес-процессы не пострадали.

После этого нужно потребовать от специалистов срочно вернуть систему к работе. В зависимости от масштабов компании и особенностей работы ИТ-отдела возможны различные пути — от условной атаки, когда все знают, что это тест на скорость и возможность восстановления, до реального шифрования файлов с полной имитацией «боевой» ситуации. В любом случае вы сможете узнать, готовы ли ваши службы к восстановлению и сколько времени оно занимает в реальности.

Наименьший урон шифровальщики наносят компаниям, которые применяют централизованное резервное копирование для серверов и организуют резервирование важных файлов пользователей на рабочих местах (в том числе удаленных). При наличии актуальной копии не устаревших данных их можно восстановить на новом диске или новой виртуальной машине в течение нескольких часов.

Однако, как показала практика, новейшие вредоносные программы с функцией Ransomware стремятся сразу же заблокировать работу систем резервного копирования и зашифровать сами резервные копии. Например, так делает вирус Sodinoklbi. Это программа-вымогатель, которая использует для шифрования пользовательских файлов алгоритмы AES и Salsa20. AES применяется для шифрования сессионных ключей, а также данных при отправке на сервер управления. Узнать о нем больше можно по ссылке.

Тут важно обеспечить соответствующие меры по борьбе с вредоносным ПО или сразу же использовать систему киберзащиты с функциями удаления вредоносного ПО. Об этом — далее.

Лучшие практики защиты от Ransomware

Остановить атаку Ransomware на ваш бизнес намного проще, если вы примете несложные превентивные меры, которые помогут защитить ваши данные. Вы можете быть спокойны насчет атак шифровальщиков, если ваша ИТ-инфраструктура соответствует следующим требованиям:

Резервное копирование производится регулярно и вы уверены, что можете вернуться к достаточно актуальным версиям документов, а не к прошлогодним данным. Лучше всего, если резервное копирование производится по схеме 3−2−1, когда данные сначала резервируются на локальный или сетевой диск, а потом дополнительно зеркалируются в облако. Это позволяет исключить опасность повреждения локальных копий
Антивирусная защита обеспечивает обнаружение и удаление вредоносного ПО. Для этого необходимо проконтролировать актуальность антивирусных баз, срок действия лицензий антивируса, а также степень его эффективности. Сегодня для любого антивирусного движка можно найти результаты тестирования и оценить его противодействие угрозам «нулевого дня» — тем, которые еще не известны, не были внесены в базы и используются злоумышленниками впервые
Аварийное восстановление должно быть простым и быстрым. Обычно для этого в корпоративных решениях предусмотрена возможность запуска новой виртуальной машины, чтобы пользователи могли максимально быстро продолжить работу с документами, а сервисы можно было бы перезапустить с восстановленными данными в несколько кликов мышкой.

«Ковидная» защита

Уязвимость рабочих мест усилилась с переходом людей на удаленную работу. Например, в случае атаки шифровальщика на домашние персональные компьютеры сотрудников последние остаются беззащитны перед угрозой, им уже не может помочь ИТ-отдел или администратор. В этом случае намного проще обеспечить безопасность за счет облачных решений и виртуальных рабочих столов VDI. Также можно установить интегрированные и автоматизированные средства защиты, не требующие контроля и обслуживания со стороны ИТ-персонала.

Потребность бизнеса в решениях для конечных точек и распределенных сетей подтвердили и данные от компаний, с которыми мы работаем. С наступлением пандемии резко вырос спрос на те продукты, которые позволяют восстанавливаться после атак шифровальщиков без потерь. В случае обнаружения атаки качественное защитное ПО не только удаляет вирус, но также автоматически восстанавливает все поврежденные файлы из резервных копий. В результате пользователи могут в кратчайший срок продолжить работу.

Фото с сайта liter.kz

Дополнительная угроза

Рассматривая защиту от Ransomware, многие предприниматели упускают из виду, что это лишь одна из разновидностей угроз, которые могут навредить бизнесу. Более того, Ransomware все чаще становятся только одним компонентом вредоносного ПО. Например, в 2019 году мы обнаружили шифровальщик Nemty, который не только пытается закодировать файлы пользователя, но также загружает программу infostealer, которая собирает с компьютера все потенциально полезные данные.

Расчет киберпреступников выглядит следующим образом: если не удастся получить выкуп за расшифровку данных, быть может, получится стребовать деньги за неразглашение информации? К тому же данные всегда можно попытаться продать в Darknet, особенно если среди них попадется персональная или финансовая информация. Узнать больше о шифровальщике Nemty можно здесь.

А вообще, хочется обратить внимание, что подобные угрозы говорят о необходимости комплексной киберзащиты, которая отвечает сразу всем 5 векторам киберугроз SAPAS. В этой аббревиатуре зашифрованы пять векторов киберзащиты:

Safety — безопасность
Accessibility — доступность
Privacy — приватность
Authenticity — аутентичность
Security — защищенность (данных).

То есть система защиты должна обеспечить охрану данных от вредоносных программ, гарантировать возможность получить доступ к своим данным в любое время и в любом месте, не открывать их посторонним людям, а также защитить от подмены и манипуляций.

Выстраивая систему защиты от современных интернет-угроз, предпринимателям необходимо установить на свои компьютеры и серверы средства защиты, отвечающие разным векторам безопасности, или использовать интегрированное решение. В любом случае для достижения надежной киберзащиты необходимо:

Настройте OneDrive для параметров восстановления файлов

Запустите сканирование Защитника Windows
Включите функцию периодического сканирования Защитника Windows
Отключить и повторно связать OneDrive
Закройте предупреждение о настройке Onedrive на странице настроек защиты от программ-вымогателей.

Давайте посмотрим на описание шагов по каждому из предложений.

1]Запустите сканирование Защитника Windows.

Нажмите Настроить OneDrive.
Введите свой адрес электронной почты и нажмите Ok.
В Проводник будет появляться.
Щелкните правой кнопкой мыши в Папка OneDrive, и выберите Сканирование с помощью Защитника Windows.
После завершения процесса сканирования должна появиться зеленая галочка.

При желании вы также можете сканировать свой компьютер с помощью бесплатного автономного сканера второго мнения.

2]Включите функцию периодического сканирования Защитника Windows.

Если вы используете сторонний антивирусный продукт, посмотрите, помогает ли включение функции периодического сканирования Защитника Windows удалить желтый восклицательный знак на значке уведомления Защитника Windows.

Если проблема не исчезнет, попробуйте следующее предложение.

3]Отключить и повторно связать OneDrive

Если Настройте OneDrive для восстановления файлов предупреждение продолжает появляться, хотя OneDrive уже связан / настроен для вашей учетной записи, затем отключите и повторно установите связь с OneDrive.

Щелкните правой кнопкой мыши значок OneDrive в области уведомлений / на панели задач в правом углу панели задач.
Нажмите Настройки.
Выберите Счет таб.
Нажмите Отключите этот компьютер.
Нажмите Отменить связь с аккаунтом.
Выйдите из OneDrive, щелкнув правой кнопкой мыши значок уведомления и выбрав Выйти из OneDrive.
Теперь откройте Центр безопасности Защитника Windows.
Нажмите Настроить OneDrive кнопка под Защита от вирусов и угроз значок.
В появившемся диалоговом окне настройки OneDrive введите адрес электронной почты своей учетной записи Microsoft (который вы ранее использовали для OneDrive).
Нажмите Войти.
Завершите процесс двухфакторной аутентификации и входа в OneDrive.

4]Отключить предупреждение о настройке Onedrive на странице настроек защиты от программ-вымогателей

Откройте Центр безопасности Защитника Windows> Защита от вирусов и угроз.
Прокрутите вниз до Защита от программ-вымогателей и щелкните по нему.
Под Восстановление данных от программ-вымогателей в разделе предлагается настроить OneDrive.
Нажать на Увольнять ссылку, если вы не планируете использовать OneDrive.

После завершения процесса Настройте OneDrive для восстановления файлов вопрос должен быть решен.

Один диск это платформа облачного хранилища Microsoft. Эта платформа полностью интегрирована с Windows 10 (хотя мы также можем использовать ее из других операционных систем) и позволяет нам всегда иметь все наши данные под рукой через Интернет. Постепенно Microsoft ищет новые способы поднять безопасность всей своей экосистемы на высший уровень, и, следуя этим намерениям, компания только что анонсировала новую функцию, которая будет доступна всем пользователям и поможет нам бороться с программами-вымогателями. . : автоматическое копирование наиболее важных файлов.

Некоторое время назад Microsoft обнародовала эту функцию, которая также работает в ле планы OneDrive для бизнеса с давних пор . Благодаря этому пользователи могут настроить клиент для автоматической загрузки наиболее важных данных в облако, чтобы у них всегда была их резервная копия и чтобы они могли бы жертвы программ-вымогателей, данные могут быть восстановлены , даже если его зашифрованная копия была загружена.

Похоже, что Microsoft стремится и дальше поощрять пользователей использовать ее платформу облачного хранения, и одним из примеров является то, как компания только что объявила, что эта мера безопасности, пока эксклюзивная для бизнес-планов, затронет всех пользователей OneDrive, даже бесплатных.

Как автоматически синхронизировать наши данные с OneDrive и защитить их от программ-вымогателей

Эта новая функция, которая постепенно достигает всех пользователей облака Microsoft , позволит нам выбрать, хотим ли мы синхронизировать определенные папки с нашим компьютером. Эта новая функция позволит нам выбрать, хотим ли мы автоматически синхронизировать все данные документация «Офис», «Образы» et «Документы» чтобы мы могли скопировать все данные из этих папок в облако. Более того, кстати, мы также можем синхронизировать их между всеми используемыми нами устройствами.

Как только данные будут синхронизированы, Один диск позаботится о том, чтобы защитить их от возможных компьютерных атак, таких как программы-вымогатели, за счет возможности восстановить их благодаря управлению версиями в случае модификации без авторизации. Кроме того, это гарантирует, что все наши файлы всегда будут под рукой из облака Microsoft. очень полезно, особенно если мы относимся к тем людям, которые оставляют свои файлы на рабочем столе.

До сих пор в OneDrive уже была функция, которая позволяла нам выбирать, хотим ли мы сохранять папки. Изображения, офис и документы локально или в облаке, но благодаря этому новому усовершенствованию мы сможем поддерживать ваши данные синхронизированными, всегда доступными и, более того, защищенными от программ-вымогателей или других угроз.

Что вы думаете об этой новой функции OneDrive? Часто ли вы делаете резервные копии своих данных?

OneDrive

В последние несколько лет было довольно много атак Ransomware. Многие люди по всему миру потеряли свои ценные данные из-за этих вредоносных программ. Кроме того, некоторые из них в конечном итоге заплатили определенную сумму денег за получение своих данных обратно. В этом посте мы не будем говорить об антивирусах или какой-либо защите от вымогателей. Но мы поговорим о принятии мер предосторожности с использованием облачного хранилища, предоставленного вам OneDrive .

Восстановление поврежденных файлов вымогателей с помощью OneDrive

Все домашние и личные подписки Office 365 имеют функцию, которая хранит историю ваших файлов до 30 дней. Таким образом, если вы атакованы вымогателями, вы всегда можете вернуть свои файлы обратно в их состояние до атаки. Помните, что все ваши файлы в облаке используют системы безопасности корпоративного уровня, а ваши данные всегда находятся в безопасных условиях.

И все это очень хорошо интегрируется с Защитником Windows . Как только Защитник Windows обнаружит угрозу вымогателей и полностью удалит ее, он даст вам возможность восстановить файлы из незатронутого состояния, сохраненного в облаке. Эта функция помогла многим людям восстановить потерянные данные. И это удобно. Вам просто нужно убедиться, что файл был загружен в ваше облако один раз, прежде чем на вас напали.

Кроме этого, вы также можете включить доступ к управляемым папкам в разделе Защита от вымогателей в Центре безопасности Защитника Windows. Он защитит ваши файлы и папки от несанкционированного доступа к сторонним приложениям.

Чтобы убедиться, что вы защищены от вымогателей, все, что вам нужно сделать, это настроить OneDrive на вашем компьютере. И убедитесь, что вы делаете резервные копии для ваших важных файлов. История будет хорошо сохраняться до 30 дней. Если вы затронуты, Защитник Windows возьмется за него и восстановит ваши файлы без особых хлопот. Это может сэкономить вам много времени и денег в некоторых случаях.

OneDrive и Windows Defender оказались сильной комбинацией. Хотя это не полный механизм предотвращения доказательств, а механизм исправления наверняка. Кроме того, наличие ваших файлов в OneDrive дает вам дополнительные преимущества, такие как доступ к вашим файлам из любой точки мира.

Связанное чтение . Используйте функцию восстановления файлов OneDrive для восстановления заблокированных файлов вымогателей.

Читайте также: