Какие механизмы защиты от вирусов шифровальщиков используют современные антивирусы
Обновлено: 05.07.2024
Как не стать жертвой вымогателей, требующих деньги за расшифровку файлов на вашем компьютере.
27 августа 2021
Программы-шифровальщики за последние годы из экзотики превратились в проблему, с которой уже столкнулись сотни тысяч людей — и может столкнуться каждый. Кибервымогательство стало целой массовой индустрией, в которой даже сформировалось разделение труда: одни преступники пишут вредоносный код, а другие выбирают цели и используют этот код для их заражения, получая процент от выкупа.
Что такое вирус-шифровальщик
Дальше бывает несколько вариантов:
- Иногда злоумышленники действительно высылают ключ и инструкции по расшифровке.
- Бывает, что преступники не заморачиваются такими мелочами и просто собирают деньги с жертв, ничего не отдавая взамен.
- Иногда злоумышленники в принципе не могут восстановить данные жертвы — некоторые зловреды повреждают файлы таким образом, что вернуть их уже не получится.
Вирус-шифровальщик может попасть на ваш компьютер разными путями — к примеру, если вы подобрали и подключили чью-то флешку или скачали что-то с незнакомого сайта. Чаще всего для заражения используют электронные письма с опасными вложениями или ссылками на вредоносные сайты. Самое неприятное, что многие шифровальщики могут распространяться среди подключенных к единой сети устройств. Это значит, что поймав зловреда на домашний компьютер, ожидайте атаки и на ноутбук. А один шифровальщик на рабочем устройстве может привести к коллапсу всех коммуникаций компании.
Что делать, если ваши данные зашифровали
Если случилось страшное и ваши данные зашифровали, не паникуйте. Стать жертвой программы-шифровальщика крайне неприятно, но, возможно, вам еще удастся восстановить свои файлы. Вот несколько советов в этой ситуации:
Теперь, когда вы знаете врага в лицо, самое время выучить несколько правил информационной гигиены, которые помогут вам не стать жертвой вымогателей.
1. Делайте резервные копии
Регулярно сохраняйте важные файлы и документы в облачное хранилище типа диска Google или Yandex и на внешний жесткий диск. Если фото можно бэкапить раз в неделю или даже в месяц, то важные документы, над которыми вы работаете прямо сейчас, хорошо бы копировать раз в пару дней или даже каждый день. Долго и лениво? У нас есть советы по автоматизации бэкапов. Только не откладывайте это важное дело: резервная копия поможет и в случае атаки шифровальщика, и если ваш отчет случайно удалит прогулявшийся по клавиатуре кот — но только если копии свежие.
Для успешного бэкапа не забывайте пару важных правил. Во-первых, подключайте резервный жесткий диск, только когда копируете или считываете что-то с него: если он окажется соединен с компьютером в момент нападения шифровальщика, его тоже зашифруют, так что вся затея с бэкапом потеряет смысл. Во-вторых, защитите доступ к облачным хранилищам надежным паролем и двухфакторной аутентификацией, чтобы никто не смог в них набезобразничать.
Чтобы пореже сталкиваться с такими письмами, настройте спам-фильтр и включите проверку почтового трафика в защитном решении, если она там есть.
Если подозрительную ссылку или файл прислал знакомый, хотя вы ни о чем не просили, — свяжитесь с ним по телефону или в другом мессенджере: его аккаунт или почтовый ящик могли взломать.
3. Избегайте подозрительных сайтов
4. Вовремя обновляйте программы
Чтобы проникнуть на устройства, злоумышленники часто эксплуатируют известные уязвимости, для которых разработчики программ уже выпустили заплатки. Поэтому те, кто забывает обновлять программы, находятся в зоне особого риска. Включите автоматическое обновление везде, где это можно сделать, и регулярно проверяйте наличие апдейтов для приложений, которые не имеют такой функции.
5. Установите защитное решение
Современные защитные решения умеют распознавать и оперативно блокировать вредоносные программы. К примеру, Kaspersky Internet Security включает целый спектр средств для защиты от шифровальщиков. Даже если особенно хитрый зловред проберется через файловый антивирус, то он не сможет сделать свое черное дело: специальная система анализирует действия запущенных файлов и блокирует попытки шифровать файлы — или отменяет действия вредоносных программ, если они все же успели как-то навредить данным.
Исследователи из AV-Test проверили, как 11 передовых защитных решений противодействуют современным шифровальщикам.
Практически каждая компания, разрабатывающая решения для защиты информации, говорит, что ее продукты помогают от атак шифровальщиков-вымогателей. И это действительно так, в какой-то мере все они способны остановить данную угрозу. Вопрос — в какой? Насколько эффективны технологии, позиционирующиеся как способные противодействовать шифровальщику?
Вопрос не праздный: частичная защита от шифровальщиков — достижение достаточно спорное. Если технологии остановили угрозу не сразу, то где гарантии, что среди пострадавших файлов не оказалось критически важных? Определить, насколько технологии разных разработчиков защитных решений реально защищают пользователя, попробовали эксперты из независимой компании AV-Test, собравшие 11 продуктов класса Endpoint Protection Platform и испытавшие их против 113 различных атак. С нашей стороны в тесте принимал участие продукт Kaspersky Endpoint Security Cloud, безупречно показавший себя во всех тестах, которые проходили в рамках трех отдельных сценариев.
Защита файлов пользователя от распространенных шифровальщиков
Первый тестовый сценарий подразумевал самую типичную атаку шифровальщика: жертва запускает на машине зловред, который пытается добраться до локальных файлов. Положительным результат считается только в том случае, когда в конце теста угроза нейтрализована (то есть удалены файлы зловреда, прекращено выполнение его процессов и уничтожены все попытки закрепления в системе), при этом все до единого файлы пользователя остаются незашифрованными. В общей сложности в этом сценарии было проведено 85 тестов с использованием следующих 20 семейств шифровальщиков: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (aka mailto), phobos, PYSA (aka mespinoza), Ragnar Locker, ransomexx (aka defray777), revil (aka Sodinokibi or Sodin), ryuk, snatch, stop и wastedlocker.
В этом сценарии все защитные решения показали себя отлично (за небольшим исключением). Что, впрочем, неудивительно: в нем использовались известные семейства зловредов, давно исследованные и добавленные во все базы вредоносного программного обеспечения. Поэтому в следующих сценариях эксперты из AV-Test усложнили задачу.
Защита от атак шифровальщика на файлы в каталоге с предоставленным удаленным доступом
Второй сценарий предполагал наличие на защищаемой машине каталогов с файлами, доступ к которым разрешен по локальной сети. Атака при этом производилась с другого компьютера в той же сети (допустим, на нем не оказалось защитного решения, и злоумышленникам удалось запустить зловред, который зашифровал локальные файлы и перешел к поиску доступной информации на соседних хостах). В качестве зловредов использовались семейства avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (aka defray777), revil (aka Sodinokibi or Sodin) и ryuk.
С точки зрения защитного решения тут ситуация осложняется тем, что оно не видит запуска зловреда — только файловые операции со стороны системного процесса. Следовательно, нет возможности проверить репутацию вредоносного процесса и файла, который его инициировал, и просканировать его тоже нельзя. В итоге выяснилось, что из 11 участников только трое вообще хоть как-то защищают от такого типа атаки, и только Kaspersky Endpoint Security Cloud справляется с задачей на 100%. При этом продукт Sophos хотя и среагировал в 93% случаев, полностью защитить файлы пользователя смог только в 7%.
Защита от искусственно созданных шифровальщиков
Третий сценарий должен был показать, как продукты справляются с зловредами, которые гарантированно не встречались ранее, а следовательно, даже гипотетически не могли находиться в базах вредоносного ПО. То есть выявление угрозы производится только при помощи проактивных технологий, реагирующих на поведение зловреда. Для этого исследователи создали 14 шифровальщиков, которые при этом использовали известные, но редко применяемые злоумышленниками приемы и технологии, или же вообще оригинальные, не встречающиеся ранее техники шифрования. Как и в случае первого сценария, успехом считалось детектирование и блокирование угрозы плюс абсолютная сохранность файлов на машине жертвы и полное удаление всех следов угрозы с компьютера.
Решения показали различные результаты: некоторые (ESET и Webroot) вообще не обнаружили созданные исследователями зловреды, другие выступили более успешно (WatchGuard — 86%, TrendMicro — 64%, McAfee и Microsoft — 50%). Однако 100%-ную эффективность снова показало только одно решение — наш Kaspersky Endpoint Security Cloud.
Итоги тестов
При подведении итогов оказалось, что Kaspersky Endpoint Security Cloud со всеми тестовыми сценариями справился лучше конкурентов, защитив как от реальных угроз, так и от искусственно созданных.
Агрегированные результаты всех трех тестовых сценариев.
Кроме того, в ходе второго сценария выяснился и еще один достаточно неожиданный факт. Большинство продуктов, не справившихся с защитой файлов, тем не менее удалили текстовые файлы с требованиями выкупа. А это достаточно спорная практика. В таких файлах может содержаться техническая информация, которая может понадобиться экспертам при расследовании инцидента и мероприятиях по восстановлению информации.
Полный отчет, с детальным описанием применяемых в тесте зловредов (как реально используемых, так и созданных исследователями, можно скачать, заполнив форму ниже.
Хотя наиболее эффективная защита от шифровальщиков реализуется на конечных устройствах, тем не менее, стоит предпринять превентивные меры и на периметре сети. Расскажем, как это можно сделать с помощью Panda GateDefender.
События последних месяцев показали, что традиционные антивирусные решения не очень эффективны в борьбе против неизвестных угроз и атак, в том числе со стороны шифровальщиков. В своих статьях мы неоднократно пытались привлечь Ваше внимание к новой модели безопасности, основанной на использовании EDR-технологий, которые благодаря непрерывному мониторингу, отслеживанию взаимосвязи между всеми процессами и классификации 100% активных процессов позволяют значительно повысить уровень безопасности от современных неизвестных угроз: направленные атаки, безфайловые атаки, атаки без использования вредоносных программ, неизвестные эксплойты и шифровальщики и т.д. Например, семейство решений Panda Adaptive Defense, использующее EDR-технологии, как раз разработаны для борьбы с подобными «сюрпризами».
Но подобные решения представляют собой решения для защиты непосредственно конечных устройств. А что не мешало бы предпринять на периметре сети?
Сегодня в нашей статье мы расскажем о том, какие превентивные меры безопасности стоит реализовать на периметре сети, чтобы фильтровать шифровальщиков до проникновения в корпоративную сеть, а также снизить возможные последствия в том случае, если какие-то из представителей данного класса угроз все же будут активированы на конечных устройствах.
Немного о шифровальщиках
Как вы знаете, шифровальщики – это форма мошенничества, используемая для вымогательства денег у жертвы, чьи конечные устройства были заблокированы с помощью определенного типа вредоносных программ, в результате чего она (жертва) теряет доступ к данным на этих устройствах.
Шифровальщики – это тип вредоносных программ, который устанавливается на конечное устройство и шифрует содержимое (все или определенные типы файлов) его жестких дисков и на всех подключенных сетевых дисках. В результате этого пользователь теряет доступ к хранящимся данным до тех пор, пока он не заплатит выкуп (и то не факт, что после этого можно будет получить полноценный доступ ко всем данным!). CryptoLocker – это один из наиболее «популярных» примеров шифровальщиков, который использует открытый RSA-ключ. В последнее время стали также известны и другие нашумевшие примеры.
Если говорить упрощенно, то шифровальщики, как правило, распространяются в замаскированном виде через вполне легитимный контент, например, счет в виде почтового вложения, zip-файл, содержащий фотографии, или другие типы файлов, которые потенциальная жертва, скорее всего, откроет, т.к. не предполагает какой-либо опасности. Однако, при открытии таких файлов, шифровальщик связывается со своим сервером управления (так называемый сервер C&C), который отвечает за генерацию новой пары RSA-ключей (открытый/закрытый) и хранение закрытого ключа, а также отправляет открытый ключ на устройство жертвы, после чего зловред шифрует все, что он может найти на жестких дисках и подключенных ресурсах в локальной сети. После этого зашифрованные данные не могут быть доступны до тех пор, пока они не будут расшифрованы с помощью закрытого ключа, который доступен только на сервере C&C.
(Хотя стоит отметить, что последние экземпляры шифровальщиков «научились» активироваться и без действий со стороны потенциальной жертвы…).
Действительно, в силу того, что размер ключей, используемых для шифрования, как правило, составляет не менее 2048 бит, то расшифровать зашифрованные файлы без закрытого ключа практически невозможно: конечно, это возможно в теории, но на практике на это может потребоваться достаточно много времени. Таким образом, единственный способ восстановить доступ к данным – это либо переустановить все пострадавшие устройства и восстановить на них резервную копию, либо заплатить выкуп (что мы не рекомендуем делать!) и надеяться на получение закрытого ключа (хотя достаточно много случаев, когда жертвы не получали ключи после оплаты).
Поэтому мы советуем поддерживать все свои системы и приложения в обновленном состоянии, а также быть уверенным в том, что сотрудники вашего предприятия прекрасно осознают всю опасность открытия подозрительных файлов или сайтов. Превентивные меры – это лучшее решение для предотвращения неприятных событий!
Почему стоит обратить внимание на периметр сети?
Обеспечивая борьбу с шифровальщиками и другими современными угрозами, необходимо предпринимать превентивные меры по различным направлениям. Да, наиболее эффективные меры (если исключить строгие запреты вообще на все, чтобы никто толком не мог работать) могут быть предприняты на уровне конечных устройств. Те же EDR-технологии показывают очень высокую эффективность в борьбе с шифровальщиками и новыми угрозами.
Но в силу того, что подавляющее большинство угроз проникают в корпоративную сеть из Интернета, то реализация определенных мер безопасности на периметре сети однозначно позволит фильтровать известные угрозы и усложнить «общение» шифровальщиков со своими внешними серверами управления. Тем более, что делать придется не так и много.
Пример защиты от шифровальщиков на периметре сети
В качестве примера рассмотрим решение Panda GateDefender – это UTM-решение для интегрированной и комплексной защиты периметра сети, которое предлагает следующие модули: антивирус, антиспам, контент-фильтрация, URL-фильтрация, прокси, файервол, IPS/IDS, VPN, Hotspot, контроль веб-приложений и многое другое. Данное решение поставляется в аппаратной, программной и виртуальной версии.
С помощью этого решения мы покажем ряд методов, которые позволяют перехватывать эти угрозы на периметре сети, а также минимизировать их активность, блокируя каналы, используемые злоумышленниками для управления вредоносными процессами и распространения инфекции.
1. Используйте антивирус Panda
Panda GateDefender использует антивирусный движок Panda для фильтрации всех видов трафика. Он хранит свои сигнатуры в облаке, поэтому вы всегда будете использовать обновленные сигнатуры для идентификации и блокировки любых направлений заражений. Благодаря антивирусному движку Panda все проверки осуществляются в реальном времени с помощью самых «свежих» сигнатур и облачных баз знаний.
Чтобы включить антивирусный движок, в консоли управления Panda GateDefender перейдите к разделу Службы → Антивирусный движок, и на закладке Антивирус Panda настройте опции работы антивируса.
2. Используйте службу IPS
Система предотвращения вторжений (IPS) способна не только обнаруживать, но и блокировать трафик, генерируемый от шифровальщиков к своим серверам управления.
Чтобы включить защиту с помощью системы IPS, в консоли управления Panda GateDefender перейдите в раздел Службы → Предотвращение вторжений, где нажмите на переключатель Включить IPS, если он выключен.
После включения данной службы на закладке Система предотвращения вторжений можно будет настроить дополнительные опции работы IPS.
У данного набора правил смените политику с предупреждения на активное применение, нажав на иконку с восклицательным знаком. После применения изменения иконка сменится на красный щит.
3. Используйте файервол для исходящих соединений
Тот же CryptoLocker использует Torrents как вектор заражения, а TOR-соединения для взаимодействия со своими серверами управления C&C. Таким образом, еще один совет по повышению уровня безопасности – это заблокировать весь исходящий трафик, который использует эти два протокола.
В консоли управления Panda GateDefender перейдите в раздел Межсетевой экран → Исходящий трафик.
Здесь создайте новое правило с политикой отклонить или запретить для блокировки этого исходящего трафика. При этом для обеспечения более высокого уровня защиты, добавьте все сети или зоны, которые находятся после Panda GateDefender, указав значение <ЛЮБОЙ> у опции Источник/Тип.
Кроме того, данное правило обязательно должно быть первым в списке правил, поэтому необходимо поставить соответствующее значение у опции Политика/Позиция.
В результате в списке правил вы увидите примерно следующее:
Здесь перейдите на закладку Веб-фильтр, где внесите изменения в существующий профиль или создайте новый.
В блоке для выбора фильтруемых категорий веб-сайтов у категории Security заблокируйте доступ к категориям Anonymizers, Botnets, Compromised, Malware, Network Errors, Parked Domains, Phishing & Fraud, Spam Sites.
Кстати, этот метод лучше использовать в сочетании со следующим методом.
На этой же странице с опциями проверьте, что опция Активировать антивирусное сканирование включена. По умолчанию, она как раз и включена, а потому мы рекомендуем оставить ее включенной.
7. Включите SMTP-прокси 1/2: Антивирусная проверка
Зачастую шифровальщики распространяются через вложения в электронные письма, которые на первый взгляд могут показаться письмами от известных и легитимных отправителей, но на самом деле они содержат ложную ссылку или поддельное опасное вложение. В связи с этим рекомендуется активировать в SMTP-прокси антивирусную проверку.
В консоли управления Panda GateDefender перейдите в раздел Прокси → SMTP и включите SMTP-прокси. Затем в блоке Вирусные настройки включите опцию Проверять почту на вирусы, чтобы активировать антивирусный движок для почтового трафика.
Вы также можете настроить и то, что делать с письмами, которые будут помечаться как спам, а также ряд других опций.
8. Включите SMTP-прокси 2/2: Расширения файлов и двойные расширения
Еще один способ доставки шифровальщиков в виде почтового вложения – это назвать вложенный файл с применением двойного расширения. (например, meeting.jpg.bat), в результате чего почтовый клиент показывает только первое расширение (meeting.jpg), в силу чего пользователь думает, что получил файл с картинкой. Дважды кликнув на этом файле, пользователь не увидит никакого изображения, но при этом без разрешения пользователя запустится bat-файл. Так что еще одна хорошая рекомендация – это блокировка потенциально опасных расширений файлов и запрет на передачу почтовых вложений с двойным расширением.
Для настройки в консоли управления Panda GateDefender перейдите в раздел Прокси -> SMTP и включите SMTP-прокси (если он был выключен).
Затем в блоке Файловые настройки включите опцию Блокировать файлы по расширению, чтобы активировать систему проверки почтовых вложений.
После этого в списке для выбора типов файлов для блокировки по расширению выберите все расширения, которые должны блокироваться SMTP-прокси, а также включите опцию для блокировки файлов с двойным расширением и выберите соответствующие значения в появившемся выпадающем меню.
9. Включите DNS-прокси
Когда CryptoLocker или другие шифровальщики запускаются, то они попытаются изменить настройки DNSна зараженной машине, чтобы иметь возможность связываться со своими серверами управления для корректной работы. Такого развития событий можно избежать, включив DNS-прокси в решении Panda GateDefender. В этом случае все DNS-запросы от устройства, которое расположено за решением Panda GateDefender, будут всегда перехватываться им, блокируя любую возможность для шифровальщиков связаться со своим сервером управления.
Для этого перейдите в раздел Прокси → DNS.
Кстати, на закладке Антишпион есть смысл поставить ежедневные обновления, чтобы блокировать известные вредоносные домены.
Заключение
В результате вышеуказанных несложных действий вы сможете настроить защиту периметра сети от шифровальщиков, попытавшись заблокировать их проникновение в корпоративную сеть из Интернета, а также усложнив им возможность взаимодействия со своими серверами управления. Такие превентивные меры позволят значительно сократить риск заражения, а также смогут минимизировать возможные последствия после запуска шифровальщиков в корпоративной сети.
Более подробная информация о Panda GateDefender
Согласно отчету Verizon Data Breach Report программы-вымогатели являются вторыми по частоте атаками вредоносных программ после атак категории «Командование и управление» (C2). Основным механизмом внедрения всех вредоносных программ, включая программы-вымогатели, по-прежнему является электронная почта. Так как же научить пользователей не переходить по фишинговым ссылкам?
Мнение профессионалов: никак. Люди будут делать то, что присуще их природе. Таким образом, мы должны подойти к проблеме программ-вымогателей по-другому. В этой статье мы рассмотрим основные особенности и методы борьбы с программами-вымогателями.
Больше информации о программах-вымогателях можно получить в рамках бесплатного обучающего курса Троя Ханта «Вводный курс о вирусах-вымогателях».
Что представляют собой программы-вымогатели?
Программа-вымогатель — это вредоносная программа, которая шифрует данные жертвы. После чего злоумышленник просит жертву заплатить выкуп за ключ для расшифровки ее файлов.
Первая такая программа появилась в 1989 году, распространялась на дискетах и требовала оплату в размере 189 долларов.
В 2019 году от атаки вируса-вымогателя пострадал город Балтимор. Ликвидация ущерба обошлась примерно в 18 млн долларов.
Но как именно работает это вредоносное ПО?
Как работает программа-вымогатель?
Программа-вымогатель — это многоэтапная атака, которую злоумышленники осуществляют разными способами. Но ключевые этапы одинаковые — проникнуть в сеть жертвы, зашифровать как можно больше данных и вымогать плату за расшифровку.
1. Инфицирование
Во-первых, злоумышленникам необходимо внедрить вредоносное ПО в выбранную сеть. Чаще всего это простая фишинговая атака с использованием вредоносных программ во вложенных файлах. После этого программа-вымогатель либо работает локально, либо пытается реплицироваться на другие компьютеры в сети.
2. Получение ключей безопасности
Затем вредоносная программа сообщает злоумышленникам о заражении жертвы и получает криптографические ключи, необходимые для шифрования данных.
3. Шифрование
На этом этапе программа-вымогатель выполняет шифрование файлов жертвы. Он начинает с локального диска, а затем пытается проверить сеть на наличие подключенных дисков или открытых дисков для атаки. Например, CryptoWall удалил файлы теневой копии (Volume Shadow Copy), чтобы затруднить восстановление из резервной копии, а также искал возможность похитить кошельки BitCoin. WannaCry использовал уязвимость EternalBlue для распространения на другие компьютеры и последующего шифрования.
4. Вымогательство
Жертва поражена, и злоумышленник отправляет уведомление с требованием заплатить за дешифровку. Обычно в нем указывается некоторая цифра в долларах с угрозами наподобие таких: «заплатите нам, или потеряете свои данные».
Стоит отметить, что благодаря криптовалюте распространение программ-вымогателей стало прибыльным занятием. Сейчас трудно определить прибыльность преступной деятельности, но частота атак указывает на то, что злоумышленники видят выгоду и продолжают использовать эти методы.
В последнее время план вымогательства основывается на угрозе раскрытия данных. Программа-вымогатель способна не только зашифровать данные в системе, но и передать их злоумышленникам. За этим следует угроза: заплатите нам или ваши данные окажутся в открытом доступе.
5. Разблокировка и восстановление
Теперь важно, платит ли жертва выкуп и надеется ли, что преступник честно пришлет ключи дешифрования. Или она удаляет вредоносное ПО и пытается восстановить зашифрованные данные вручную.
Злоумышленники обычно не предоставляют ключи даже после получения денег. Да, хоть это может и шокировать. Вот почему инцидент с вымогательством в городе Балтимор стоил так дорого, а восстановление заняло так много времени. В Балтиморе злоумышленникам не платили, поэтому ИТ-персоналу приходилось восстанавливать данные, когда это было под силу, и заново настраивать устройства, на которых они этого сделать не могли.
План восстановления также должен учитывать угрозу разглашения данных. Но как помешать злоумышленнику раскрыть украденные данные? Никак. В связи с этим защита систем и предотвращение проникновения вымогателей гораздо важнее, чем создание резервных копий данных.
Подробнее о принципе действия программ-вымогателей вы можете узнать из видео ниже — оно входит в наш бесплатный вводный курс Троя Ханта по вирусам-вымогателям:
Как защититься от программ-вымогателей: основные советы
Выстраивание защиты от атак программ-вымогателей включает действия как отдельных лиц, так и всего предприятия для предотвращения заражения.
Не нажимайте на ссылки!
Да-да, вы уже слышали об этом раньше. Но всегда стоит повторить еще раз. В 2020 году большой процент вредоносных программ проник в системы через фишинговые электронные письма. Люди (все без исключения!) не перестанут переходить по ссылкам. Не так давно мы опубликовали материал «Полное руководство по фишинговым атакам», в котором подробно изложены принципы фишинговой атаки и рекомендации, как не стать ее жертвой.
Обеспечьте защиту электронной почты и конечных точек
- Сканируйте все электронные письма на предмет известных «штаммов» вредоносных программ и обновляйте брандмауэры и средства защиты конечных точек с использованием последних известных сигнатур вирусов;
- Уведомляйте пользователей о внешних электронных письмах;
- Предоставьте пользователям VPN для использования за пределами сети.
Храните резервные копии
Храните актуальные резервные копии для защиты важных данных — как корпоративных, так и личных. Лучший и самый быстрый способ борьбы с вымогателями — сразу же повторно создать образ диска, а затем восстановить данные из последней надежной резервной копии. Конечно, если в результате атаки данные не были удалены — это уже другая проблема.
Защищайте конфиденциальную информацию
Люди генетически предрасположены к доверию. Это одна из эволюционных причин огромного распространения нашего вида. Присущее нам доверие помогает экстрасенсам убедить нас, что мы сами сделали определенный выбор, а злоумышленникам — заставить сообщать им свои пароли или девичьи фамилии матери.
Когда кто-либо просит у вас конфиденциальную информацию, будьте скептичны и выполняйте установленные правила. Здесь та же проблема, что и со ссылками, но это может быть и реальное личное общение.
Кто находится в группе риска?
Теоретически от программ-вымогателей может пострадать каждый. Из экономических соображений самые изощренные атаки обычно нацелены на крупные платежеспособные организации. Но не всегда атаки программ-вымогателей имеют какую-то конкретную цель. Некоторые злоумышленники используют методы ковровой бомбардировки и пытаются заразить как можно больше пользователей одновременно.
7 типов программ-вымогателей, которые необходимо знать каждому
Злоумышленники постоянно разрабатывают новые виды программ-вымогателей, которые используют различные векторы атаки, такие как вредоносная реклама, черви-вымогатели и программы одноранговой передачи файлов.
Атаки программ-вымогателей не обязательно должны быть хитроумными, чтобы приносить результат. Для распространения WannaCry и NotPetya использовалась широко известная уязвимость, и они оказались сверхэффективными.
В последнее время стала весьма популярна модель «программа-вымогатель как услуга» (RaaS), как например Netwalker, когда хакеры дают свое вредоносное ПО «в аренду» другим киберпреступникам, в результате чего увеличиваются частота случаев и охват поражения.
Рассмотрим другие виды программ-вымогателей и принципы их работы.
Шифровальщики
Первая и наиболее распространенная категория этих программ — это вымогатели-шифровальщики. CryptoLocker и CryptoWall получили репутацию надежных вирусов-вымогателей для шифрования. Шифрование — это процесс кодирования данных, поэтому их невозможно прочитать без соответствующего ключа.
Взлом шифровальщиков
Как открытые, так и симметричные ключи теоретически могут быть взломаны методом подбора. Но рассчитывать на это не стоит. Современное шифрование — слишком сложный процесс даже для самых быстродействующих компьютеров.
Если конкретней, шансы расшифровать файлы, пораженные шифровальщиком, используя брутфорс, находятся где-то между мизерными и нулевыми (причем значительно ближе к нулю).
Программы-вымогатели, удаляющие данные
Злоумышленники могут угрожать, что любая ваша попытка расшифровать файлы приведет только к «безвозвратной потере данных». Или же файлы будут удалены, если вы не заплатите.
Широко известные вирусы, удаляющие данные, — Gpcode и FileCoder.
Мнение профессионалов: если файлы «удалены» вымогателем, их нельзя перезаписать на диске. Оптимальный вариант — восстановление из резервной копии.
Блокировщики
Программы-вымогатели для мобильных устройств
Поскольку вымогатели хорошо «зарекомендовали» себя на ПК, злоумышленники создают подобные программы и для мобильных устройств. В основном они представляют собой разновидности блокировщиков, так как шифрование мобильного устройства, для которого регулярно выполняется резервное копирование, бессмысленно.
Правила реагирования на атаку программы-вымогателя
1. Изоляция
Первым шагом в борьбе c программой-вымогателем является изоляция зараженных систем от остальной сети. Остановите работу этих систем и отсоедините сетевой кабель. Выключите WI-FI. Зараженные системы необходимо полностью изолировать от других компьютеров и запоминающих устройств этой сети.
2. Идентификация
Затем выясните, какое именно вредоносное ПО привело к заражению компьютеров. Специалисты отдела реагирования на инциденты, ИТ-персонал или сторонние консультанты должны определить тип программы-вымогателя и составить план наиболее эффективной борьбы с заражением.
3. Оповещение регулирующих органов об угрозе
В зависимости от наступивших последствий инцидента и применимых положений законодательства, об инциденте следует сообщить регуляторам.
4. Удаление вредоносного ПО
Удалите вредоносное ПО из зараженных систем, чтобы предотвратить дальнейшее их повреждение и распространение вируса.
5. Восстановление данных
После подавления атаки переходите к процессу восстановления. Оплата выкупа — один из вариантов. Возможно, злоумышленники — благородные воры и отдадут вам ключи, необходимые для дешифрования данных. Оптимальный вариант — восстановление из самой последней доступной резервной копии. При ее наличии.
Стоит ли платить выкуп?
Нет. В большинстве случаев этого не стоит делать. В приоритете должна быть защита от программ-вымогателей, а также доступные варианты резервного копирования. Регулярно создавайте резервные копии, чтобы предотвратить подобные атаки и защитить данные, и тогда в оплате выкупа никогда не возникнет необходимости. Тем не менее, на практике всё может быть гораздо сложнее.
Предоставляется ли киберстрахование для защиты от атак вирусов-вымогателей? Можно ли купить биткойны, чтобы вовремя заплатить выкуп? Имеются ли резервные копии для зараженных систем? Имеют ли данные критическую важность? При принятии решения о внесении выкупа вам, скорее всего, нужно будет ответить на эти вопросы.
Перед рассмотрением вопроса о переводе средств
Поиск инструмента для дешифрования
В каких случаях стоит задуматься о переводе средств
На саммите по кибербезопасности Джозеф Бонаволонта, отвечающий за программу ФБР по кибербезопасности и контрразведке, сказал: «Честно говоря, мы часто советуем просто заплатить выкуп».
Он также уточнил: «Успешная атака вируса-вымогателя в конечном итоге приносит пользу жертвам: поскольку очень многие оплачивают выкуп, авторы вредоносных программ менее склонны выжимать крупные суммы из одной жертвы, устанавливая небольшие размеры. И большинство мошенников-вымогателей держат свое слово. Поэтому вам вернут доступ».
По данным ФБР, большинство вирусов-вымогателей требует выкуп в диапазоне $200–$10 000.
Однако есть прецеденты, когда сумма была намного больше. В 2014 году злоумышленники зашифровали файлы администрации Детройта и потребовали выкуп в размере 2 000 биткойнов, что на тот момент составляло около 800 000 долларов. У этой истории счастливый конец: администрации Детройта не нужна была эта база данных, поэтому она не стала платить.
Иногда перевод средств — правильное решение. Офис шерифа округа Диксон в штате Теннесси заплатил 622 доллара в биткойнах хакерам, которые зашифровали файлы с уголовными делами департамента. По словам детектива Джеффа Макклисса, «всё свелось к выбору между потерей всех данных и невозможностью выполнять критически важные задачи, в которых мы их использовали, и оплатой 600 с небольшим долларов для их возврата данных». Офису шерифа повезло — ему вернули доступ к файлам.
Отказ от оплаты: в каких случаях не стоит идти на поводу
Некоторые эксперты по кибербезопасности призывают не платить выкуп из-за отсутствия гарантий возврата файлов в исходное состояние даже после перевода средств. Кроме того, согласие заплатить вымогателям усугубляет существующую проблему, делая жертву мишенью для дальнейших атак вредоносными программами.
В 2016 году сообщалось, что руководство больницы Канзаса, пораженной программой-вымогателем, заплатило выкуп в надежде на скорейшее возобновление работы, но после перевода средств файлы были расшифрованы лишь частично. При этом киберпреступники потребовали еще денег для расшифровки остальных файлов. В результате больница отказалась платить второй раз, так как это уже не казалось «разумным или стратегическим решением».
Что еще хуже, при заражении дефектным «штаммом», например Power Worm, вернуть файлы невозможно независимо от предпринимаемых действий. Даже при желании заплатить выкуп в результате этой атаки данные жертвы будут неизбежно уничтожены во время шифрования.
В других случаях, например во время атаки вирусом NotPetya, цель которой заключается не в финансовой выгоде, а в уничтожении данных, даже при накоплении биткойнов для выплаты выкупа вернуть данные не получится.
Согласитесь, что это простое и эффективное решение — остановить атаку вируса-вымогателя в самом ее начале, когда зашифровано всего пару сотен файлов, вместо того, чтобы потом иметь дело с полностью зашифрованной системой хранения.
Читайте также: