Защита от шифровальщиков dr web

Обновлено: 08.07.2024

Версия Dr.Web 11.0 (Dr.Web Security Space и Антивирус Dr.Web) для Windows уже доступна для загрузки на нашем сайте.

Новые возможности Антивируса Dr.Web 11.0 для Windows

Рассмотрим основные улучшения и изменения новой версии.

Новое в версии 11

Улучшенная технология несигнатурной (поведенческой) блокировки Dr.Web Process Heuristic в системе Превентивной защиты Dr.Web убережет от атак с использованием уязвимостей «нулевого дня»

Новая технология Dr.Web ShellGuard закрывает путь в компьютер для эксплойтов — вредоносных объектов, пытающихся использовать уязвимости, в том числе еще не известные никому, кроме вирусописателей (т. н. уязвимости «нулевого дня»), с целью получения контроля над атакуемыми приложениями или операционной системой в целом.

Улучшенная технология несигнатурной (поведенческой) блокировки Dr.Web Process Heuristic в системе Превентивной защиты Dr.Web убережет от атак с использованием уязвимостей «нулевого дня»

Dr.Web ShellGuard защищает самые распространенные приложения, устанавливаемые практически на все компьютеры под управлением Windows:

  • все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser);
  • приложения MS Office, включая новейший MS Office 2016;
  • системные приложения;
  • приложения, использующие java-, flash- и pdf-технологии;
  • медиапроигрыватели.

Благодаря новой технологии Dr.Web ShellGuard сегодня поведенческий анализатор Dr.Web Process Heuristic в системе Превентивной защиты Dr.Web способен:

  • защищать критически важные участки системы от модификаций вредоносными программами;
  • выявлять и прекращать вредоносные, подозрительные или ненадежные сценарии и процессы;
  • распознавать нежелательные изменения пользовательских файлов, отслеживая работу всех процессов в системе в поисках действий, характерных для процессов вредоносных программ (например, действий троянцев-шифровальщиков), не позволяя вредоносным объектам внедриться в процессы других программ;
  • обнаруживать и нейтрализовать новейшие, еще не известные вирусной базе Dr.Web угрозы: троянцев-вымогателей (шифровальщиков), инжекторы, удаленно управляемые вредоносные объекты (распространяемые для организации ботнетов и шпионажа), а также вирусные упаковщики.

Интеллектуальная облачная система обновления алгоритмов несигнатурной блокировки Dr.Web ShellGuard

Преимуществом технологии Dr.Web ShellGuard является то, что, анализируя потенциально опасные действия, система защиты опирается не только на знания, хранящиеся на компьютере, но и на данные репутационного облака Dr.Web Cloud, в котором собраны:

  • данные об алгоритмах программ с вредоносными намерениями;
  • информация о заведомо «чистых» файлах;
  • информация о скомпрометированных цифровых подписях известных разработчиков ПО;
  • информация о цифровых подписях рекламного/потенциально опасного ПО;
  • алгоритмы защиты тех или иных приложений.

Облачная система включает средства получения информации о работе Dr.Web на защищаемом ПК, в том числе об обнаруженных новейших угрозах, что позволяет оперативно реагировать на выявленные в работе системы недочеты и обновлять правила, хранящиеся на компьютере локально.

Огромным преимуществом Dr.Web ShellGuard является то, что эта технология защищает даже без доступа ПК к Интернету или включения Dr.Web Cloud.

Алгоритм работы системы

  • При обнаружении попытки использования уязвимости вредоносным кодом Dr.Web принудительно завершает процесс атакуемой программы. Никакие действия антивируса над файлами приложения, включая перемещение в карантин, не производятся.
  • В качестве информации к сведению пользователь видит уведомление о пресечении попытки вредоносного действия, реагировать на которое не требуется.
  • В журнале событий Dr.Web создается запись о пресечении атаки.
  • Облачная база знаний системы немедленно получает уведомление об инциденте. Если необходимо, специалисты «Доктор Веб» мгновенно отреагируют на него, например, улучшением алгоритма контроля.

Усиленный контроль работы всех программ и самой ОС с использованием возможностей современных аппаратных платформ

Новый компонент Dr.Web HyperVisor позволил усовершенствовать систему обнаружения и лечения угроз, а также усилить самозащиту Dr.Web путем использования возможностей современных процессоров. Компонент запускается и работает ниже уровня операционной системы, что обеспечивает контроль всех программ, процессов и работы самой ОС, а также невозможность перехвата вредоносными программами контроля над защищаемой Dr.Web системой.

Усиленный контроль работы всех программ и самой ОС с использованием возможностей современных аппаратных платформ

Такой подход позволил разработчикам Dr.Web преодолеть ограничения, накладываемые на антивирусы особенностями 64-битных операционных систем, вынуждавших антивирус функционировать на том же уровне, что и вредоносные программы. При этом обеспечивается совместимость с системами виртуализации VirtualBox, VMWare, Hyper-V, Parallels.

Улучшено в версии 11

Значительно ускорена антивирусная проверка без ущерба для качества защиты

Кардинально переработан сервис перехвата трафика Dr.Web Net filtering Service. Благодаря переработке системы антивирусной проверки трафика процесс скачивания больших файлов существенно ускорен; переработан процесс сканирования потокового мультимедиаконтента — онлайн-просмотр видео и прослушивание интернет-радио теперь происходят без задержек. Нагрузка на процессор значительно уменьшилась при работе как через популярные браузеры, так и через менеджеры закачек. Поклонники Dr.Web и сетевых игр заметят разницу!

Дополнительные возможности для ускорения веб-фильтрации и проверки почты Новые параметры настроек исключений для веб-антивируса SpIDer Gate и почтового сторожа SpIDer Mail в Dr.Web версии 11 позволяют самостоятельно задавать параметры проверки трафика, а значит – ускорять сканирование. Так, из проверки могут быть исключены:

Дополнительные возможности для ускорения веб-фильтрации и проверки почты

Новые возможности позволят без существенных потерь в безопасности избегать конфликтов Dr.Web со сторонним программным обеспечением при фильтрации трафика.

Благодаря оптимизации сканирующего сервиса Dr.Web Scanning Engine ускорена проверка объектов на наличие угроз.

Система защиты от потери данных

Реализован абсолютно новый алгоритм создания и хранения резервных копий. При его разработке особое внимание было уделено обеспечению отзывчивости приложений и системы в целом во время резервного копирования.

Система защиты от потери данных

В новой версии существенно снижена нагрузка на систему в ходе создания резервных копий — при любых объемах данных!

Возможности пользователя по управлению защитой

Расширены настройки и добавлена система профилей для модуля Превентивной защиты.

Расширены настройки и добавлена система профилей для модуля Превентивной защиты

Теперь можно создавать гибкие правила для доверенных приложений и тем самым не допустить возникновения конфликтов при работе Превентивной защиты Dr.Web.

Улучшено управление белыми списками блокируемых устройств для более гибкой настройки доступа к объектам системы.

Белые списки представляют собой перечни исключений для блокировки шин и классов устройств. Для устройств с файловой системой можно дополнительно задать тип доступа:

Данные ограничения могут быть настроены для отдельных пользователей.

Расширены возможности Родительского контроля:

Расширены возможности Родительского контроля

  • Новая настройка «Интервальное ограничение времени» (с получасовым шагом) позволит родителям задавать время, которое ребенок может провести за компьютером в течение дня.
  • Реализована возможность автоматически блокировать доступ к ПК на ночь.
  • Реализованы профили для настройки «Ограничение времени».
  • Новая настройка типа доступа к указанным объектам (блокировать доступ или разрешать только чтение) расширяет возможности ограничения доступа к файлам и папкам.
  • Появилась возможность копировать настройки между учетными записями пользователей.
  • Добавлена возможность отключать Родительский контроль для конкретной учетной записи.

Новые возможности управления Менеджером карантина:

Новые возможности управления Менеджером карантина

  • повторная проверка объектов;
  • отображение резервных копий объектов, к которым были применены действия, отличные от «Поместить в карантин». Это позволит пользователю в случае необходимости восстановить удаленные или вылеченные антивирусом объекты.

Настройки Антиспама перемещены в настройки компонента SpIDer Mail.

Новый, более дружественный графический интерфейс Сканера Dr.Web

Управлять Сканером стало проще, а его настройки перенесены к общим настройкам антивируса.

Статистика и информирование

Реализована система сбора и хранения статистики о действиях разных компонентов антивируса.

  • Для Родительского контроля ведутся списки запрещенных сайтов, к которым пользователь пытался получить доступ.
  • Для других компонентов (для каждого в отдельности) в хронологическом порядке фиксируются различные важные события (обнаружение угроз, возникновение ошибок в работе, блокировки процессов).
  • Для статистики компонентов реализованы фильтры — по времени и кодам событий.

Дополнена система уведомлений:

  • о необходимости перезагрузки операционной системы после лечения сложных типов угроз;
  • о блокировании устройств, добавленных в настройки опции «Блокировать использование указанных устройств» раздела «Устройства».

Для большей информативности и удобства восприятия значительно переработаны почтовые уведомления о событиях антивируса.

Разработана система советов, упрощающая настройку антивируса и повышающая уровень знаний пользователя о функционировании Dr.Web.

Защита от атак, нацеленных на подмену данных, – в том числе атак «Человек посередине»

Многие типы вредоносных программ (в том числе направленные на сбор персональных данных, кражу денежных средств и т. д.) нацелены на сокрытие своего пребывания в атакованной системе от внимания антивируса и могут пытаться перехватывать и/или модернизировать его обновления.

Dr.Web – всегда актуальный!

Для качественной защиты от вредоносных программ требуется иметь не только актуальные вирусные базы, но и актуальные компоненты антивирусной системы защиты. К сожалению, архитектура операционной системы Windows такова, что для обновления драйвера требуется перезагрузка.

Обзор антивируса Dr.Web - традиционное решение сложных проблем

Любительский

Аватар пользователя

От антивируса пользователю требуется "немного" - чтобы не мешал в работе, не пугал надоедливой рекламой и не тратя ресурсов компьютера ловил все вирусы до одного. И антивирус Dr.Web отвечает этим требованиям на все 100.

Установка антивируса проста как свои пять пальцев. Ее можно провести лишь нажимая на кнопку "Далее", но мы можем подсказать, как получить от антивируса больше.

Во первых отметьте в начале установки галочкой пункт Установить Брандмауэр Dr.Web. Сейчас вирусы (да и хакеры тоже) не мыслят себя без связи со всемирной сетью - и вот тут на их пути встает Брандмауэр Dr.Web - не давая ни войти хакерам, не выйти установленным ими когда-то утилитам для получения команд из вражеского "центра".


Здесь же отметим, что антивирус Dr.Web отличается редкой по нынешним временам особенностью - он не загружает файлы пользователей на свои сервера для дополнительных анализов. Это четко прописано в его политике.


И еще одна "кстати". В дополнительных настройках есть неприметная опция - Запрещать эмуляцию действий пользователя.


Нужна она для того, чтобы удаленный пользователь, например, хакер, получивший доступ на ваш компьютер, не удалил ваш антивирус, чтобы тот не препятствовал его работе. Бухгалтеры, которых именно так обычно и атакуют, данную защиту думаю оценят.

А теперь самое важное место - регистрация серийного номера.


Дело в том, что, если вы купили 2 лицензии Dr.Web (или купили коробку с антивирусом в магазине на двух пользователей), то вы можете зарегистрировать обе лицензии на себя. И получите дополнительные 150 дней действия антивируса. Почти полгода!

Активировать обе лицензии можно как во время установки, так и после нее. Бонус все равно будет.

Завершаем установку и перезагружаемся. Зачем? Да очень просто. Хакеры не любят антивирусы и любят их сносить. Чтобы этого не допустить у Dr.Web есть самозащита - она не дает изменить настройки антивируса никому, даже вашему ребенку, которому вы запретили играть по ночам. Вот этот модуль самозащиты и устанавливается при перезагрузке.


Собственно и все. Теперь Dr.Web будет молча ловить всю заразу, которой переполнен Интернет (а также флешки, которые ваши дети приносят от друзей).

Что мы получаем сразу после установки?

Dr.Web Security Space (а это лучший выбор, если мы хотим защититься от всего спектра современных угроз, так как "просто антивирусы" не позволяют надежно защититься от угроз нулевого дня - скажем тех, для которых уже есть заплатки, но эти заплатки еще не доставлены на компьютер пользователя) по умолчанию устанавливает следующие свои модули (их спимок можно скажем задать при установке ):

  • главный компонент - SpIDer Guard. Он следит за всеми запускаемыми файлами и проверяет их до запуска. Кстати особенность 12й версии — данный модуль использует для анализа не только традиционные антивирусные базы, но и правила, сформированные с помощью машинного обучения (то самое, которое журналисты часто называют искусственным интеллектом).
  • не менее важный компонент - SpIDer Gate. Модуль проверки трафика. Крайне важен, так как зачастую файлы, скачанные браузером, не записываются на диск и не попадают поэтому в зону ответственности предыдущего компонента. При том числе майнеров и прочих следящих за нами модулей - жить без этого модуля не рекомендуется.
  • Проверка почты. SpIDer Mail. В связи с разнообразием современной почты и тем, что компания Microsoft не любит открытые стандарты, дополняется модулем Dr.Web для Outlook (это специальный модуль, который проверяет почтовые ящики Microsoft Outlook) Современная почта доставляется по защищенному каналу, а, значит, чтобы ее проверить до открытия пользователем тоже нужен специальный модуль. SpIDer Mail обнаруживает и обезвреживает угрозы до получения писем почтовым клиентом с сервера или до отправки письма на почтовый сервер.
  • Антиспам. Назначение понятно, работает вместе с предыдущим модулем и защищает от спамеров и фишеров.
  • Антивирусный сканер Сканер Dr.Web. Запускается по запросу пользователя или по расписанию и производит глубочайшую антивирусную проверку компьютера.
  • Брандмауэр Dr.Web. О нем мы уже говорили, это персональный межсетевой экран, предназначенный для защиты вашего компьютера от несанкционированного доступа извне и предотвращения утечки важных данных по сети.
  • Родительский контроль — компонент, который ограничивает доступ к сайтам, файлам и папкам, а также позволяет ограничить время работы в сети Интернет и за компьютером для каждого пользователя компьютера.
  • Поведенческий анализ и Защита от эксплойтов — компоненты, контролирующие доступ приложений к критически важным объектам системы и обеспечивающий целостность запущенных приложений.
  • Защита от вымогателей — компонент, обеспечивающий защиту от вирусов-шифровальщиков.
  • Облако Dr.Web - модуль, позволяющий обнаруживать вредоносные программы на основе знаний об их поведении. Как уже было отмечено - файлов пользователя в сеть не загружает.
  • Антивирусная сеть - компонент, позволяющий вам управлять защитой нескольких компьютеров, если конечно на них установлен Dr.Web.
  • Защита от потери данных - уникальный модуль, позволяющий назначить папки, доступ к которым будет только у доверенных программ, но никак не у вирусов.
  • Защита от слежки через микрофон и вебкамеры. Отличная альтернатива заклеиванию т того и другого, о их настройке поговорим ниже.
  • Защита сменных устройств. Позволяет ограничить список устройств, имеющих доступ к компьютеру. Жизненно важная штука.

Dr.Web Security Space обеспечивает многоуровневую защиту всех компонентов защищаемых компьютеров: системной памяти, жестких дисков и сменных носителей от проникновений вирусов, руткитов, троянских программ, шпионского и рекламного ПО, хакерских утилит и различных вредоносных объектов из любых внешних источников

И сразу о детях (или о ваших пожилых родителях, которым вы настроили Интернет). Поживиться на них хотят многие мошенники, и им этого позволять не стоит

Кликаем на зеленый щиток в трее, далее пункт "Центр безопасности" и далее "Родительский контроль".


На экране перечислены все пользователи вашего компьютера (напомним, что если вы хотите задать разные ограничения для разных пользователей, то каждый из них должен заходить на компьютер под своей учетной записью. Увы, но антивирус не видит, кто сидит перед компьютером).

Нажимаем на замочек в нижнем углу и выбираем пользователя.


Как видим по умолчанию Интернет без ограничений. Непорядок


Выбираем Ограничивать доступ по категориям (если мы выберем Разрешать доступ только к сайтам из белого списка , то нам самим придется задать список разрешенных сайтов).


Теперь получить доступ к вредоносным сайтам станет сложнее.

На закладке "Время" вы можете ограничить время работ за компьютером.


Полезная возможность. А закладка Файлы и папки еще полезнее


Вы можете задать список папок, к которым пользователь или вообще не будет иметь доступ (не все фотографии нужно видеть всем!), или не сможет изменить их содержимое

Всем думаем известно, что хакеры - вуайеристы - любят подглядывать и подслушивать. Можно конечно заклеить пленкой камеру и микрофон, но есть способ лучше. В том же окне Центр безопасности есть раздел Устройства и личные данные. Там есть два похожих раздела - Веб-камеры и Микрофоны. Настройка их аналогична, зайдем в один такой.


Вы можете полностью разрешить доступ к камере, блокировать ее или при попытке доступа к ней выводить запрос. И конечно можете выбрать и указать программу, которая должна иметь возможность работать с камерой (или микрофоном).

Еще одна часть раздела Устройства и личные данные - Устройсва. Второй по популярности метод проникновения вредоносных программ на ваши компьютеры - сменные устройства. Если вы хотите прекратить вседозволенный доступ любых флешек к вашему компьютеру - заходим в этот раздел и настраиваем ограничения. От полного запрета и до списка разрешенных флешек и сменных устройств.

Вставляем флешку и отмечаем ее.


Доступ к устройству кстати также может быть разным у разных пользователей.

В 2020 году одними из самых распространенных угроз, с которыми массово сталкивались пользователи, стали трояны-дропперы, распространяющие и устанавливающие другое вредоносное ПО, многочисленные рекламные приложения, мешающие нормальной работе устройств, а также различные модификации троянов-загрузчиков, запускающих в инфицированной системе исполняемые файлы с набором вредоносных функций. Кроме того, на протяжении всего года хакерские группировки активно распространяли троянские программы, использующие функциональность популярных утилит для удаленного администрирования. Так, вирусная лаборатория «Доктор Веб» зафиксировала несколько атак с использованием RAT-троянов, которые позволяют злоумышленникам дистанционно управлять зараженными компьютерами и доставлять на них вредоносную нагрузку.

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА..

Решения Dr.Web для защиты бизнеса. Купить Dr.Web Enterprise Security Suite. Датасистем. Переход в онлайн магазин Dr.Web (ПО "Доктор Веб")

РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Dr.Web Enterprise Security Suite - Dr.Web Desktop Security Suite
Защита рабочих станций, клиентов терминальных серверов, клиентов виртуальных серверов и клиентов встроенных систем. Dr.Web для WindowsDr.Web для Linux. Dr.Web для Mac OS X. Консольные сканеры Dr.Web для Windows, MS DOS, OS/2. Подробнее>>
Dr.Web Enterprise Security Suite - Dr.Web Server Security Suite
Антивирусное средство, предназначенное для защиты файловых серверов типа Samba, базирующихся на таких операционных системах, как: Linux, OpenBSD, Solaris (Intel),FreeBSD, MCBC, Novell NetWare и Windows. Подробнее>>
Dr.Web Enterprise Security Suite - Dr.Web Mail Security Suite
Антивирусная программа, позволяющая осуществлять фильтрацию SMTP-трафика, проходящего обработку на почтовом сервере. В составе продукты - Dr.Web® для почтовых серверов и шлюзов Unix Dr.Web® для MS Exchange Dr.Web® для IBM Lotus Domino для Windows Dr.Web® для IBM Lotus Domino для Linux Dr.Web® для почтовых серверов Kerio для Linux Dr.Web® для почтовых серверов Kerio для Mac Подробнее>>

Также в этом году вирусные аналитики «Доктор Веб» расследовали несколько масштабных целевых атак, направленных на корпоративный сектор. В ходе работы были выявлены несколько семейств троянов, которыми были инфицированы компьютеры различных государственных учреждений.

Несмотря на то, что большая часть выявленных угроз представляла опасность для пользователей ОС Windows, владельцы компьютеров под управлением macOS также были в зоне риска. В течение года были обнаружены трояны-шифровальщики и шпионские программы, работающие под управлением macOS, а также руткиты, которые скрывали работающие процессы. Также под видом разнообразных приложений активно распространялись рекламные установщики, которые загружали на компьютеры различную потенциально опасную нагрузку. В большинстве случаев под угрозой находились те пользователи, которые отключали встроенные системы безопасности и загружали приложения из недоверенных источников.

Пользователям мобильных устройств на базе ОС Android угрожали рекламные, шпионские и банковские троянские программы, а также всевозможные загрузчики, которые скачивали другие вредоносные приложения и выполняли произвольный код. Значительная часть вредоносного ПО распространялась через каталог Google Play.

Главные тенденции года
-Рост числа таргетированных атак, в том числе атак троянов-вымогателей
-Рост числа фишинговых атак и спам-кампаний с применением социальной инженерии
-Появление новых угроз для macOS
-Активное распространение вредоносных программ для ОС Android в каталоге Google Play

Наиболее интересные события 2020 года
В феврале вирусные аналитики «Доктор Веб» сообщили о компрометации ссылки на скачивание программы для обработки видео и звука VSDC в каталоге популярного сайта CNET. Вместо оригинальной программы посетители сайта загружали измененный установщик с вредоносным содержимым, позволяющим злоумышленникам дистанционно управлять инфицированными компьютерами. Управление было реализовано при помощи компонентов программы TeamViewer и троянской библиотеки семейства BackDoor.TeamViewer, которая устанавливала несанкционированное соединение. При помощи бэкдора злоумышленники могли доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений.

В марте специалисты «Доктор Веб» рассказали о компрометации ряда сайтов, созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправлял посетителей на фишинговую страницу, где пользователям предлагалось установить важное обновление безопасности для браузера Chrome. Загружаемый файл представлял собой установщик вредоносного ПО, которое позволяло дистанционно управлять инфицированными компьютерами. В этот раз злоумышленники вновь использовали легитимные компоненты TeamViewer и троянскую библиотеку, которая устанавливала соединение и скрывала от пользователей работу программы.

Летом вирусная лаборатория «Доктор Веб» выпустила масштабное исследование вредоносного ПО, применявшегося в APT-атаках на государственные учреждения Казахстана и Киргизии. В рамках расследования аналитики обнаружили ранее неизвестное семейство мультимодульных троянских программ XPath, предназначенных для несанкционированного доступа к компьютерам с последующим выполнением различных вредоносных действий по команде злоумышленников. Представители семейства использовали сложный механизм заражения, при котором работа каждого модуля соответствовала определенной стадии работы вредоносной программы. Кроме того, трояны обладали руткитом для сокрытия сетевой активности и следов присутствия в скомпрометированной системе.

Позже в вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии. Самой интересной находкой оказался многокомпонентный троян-бэкдор ShadowPad, который, по нашим данным, может являться эволюцией другого мультимодульного APT-бэкдора — PlugX, ранее также обнаруженного в скомпрометированных сетях пострадавших организаций. Сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре было посвящено отдельное исследование.

В сентябре компания «Доктор Веб» сообщила о выявлении спам-кампании с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России. Для первичного заражения злоумышленники использовали электронные письма с вредоносными вложениями, при открытии которых устанавливались бэкдоры, позволяющие управлять инфицированными компьютерами. Анализ документов, вредоносных программ, а также использованной инфраструктуры свидетельствует о возможной причастности к этой атаке одной из китайских APT-групп.

В ноябре вирусные аналитики «Доктор Веб» зафиксировали рассылку фишинговых писем корпоративным пользователям. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. Чтобы заставить потенциальных жертв открыть вложения, злоумышленники применяли методы социальной инженерии.

Вирусная обстановка
Анализ данных статистики Dr.Web показал, что в 2020 году пользователей чаще всего атаковали трояны-дропперы и загрузчики, которые устанавливали другие вредоносные приложения и выполняли произвольный код. Кроме того, пользователям по-прежнему угрожали трояны и скрипты, выполняющие скрытый майнинг криптовалют.

Шифровальщики
По сравнению с 2019 годом, в 2020 году число запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в антивирусную лабораторию «Доктор Веб» поступило на 18,4% меньше. Динамика регистрации таких запросов в 2020 году показана на графике:

Наиболее распространенные шифровальщики в 2020 году:
Trojan.Encoder.26996
Шифровальщик, известный как STOP Ransomware. Пытается получить приватный ключ с сервера, а в случае неудачи пользуется зашитым. Один из немногих троянов-вымогателей, который шифрует данные поточным алгоритмом Salsa20.
Trojan.Encoder.567
Шифровальщик, написанный на Delphi. История развития трояна насчитывает множество версий с использованием различных алгоритмов шифрования. Как правило, распространяется в виде вложений к электронным письмам.
Trojan.Encoder.29750
Шифровальщик из семейства Limbo/Lazarus. Несет в себе зашитый авторский ключ, применяемый в случае отсутствия связи с управляющим сервером и возможности выгрузить приватную часть сгенерированного ключа.
Trojan.Encoder.858
Шифровальщик, известный как Troldesh Ransomware. Скомпилирован с использованием Tor — cразу после запуска инициализируется Tor, при этом подключение происходит к одному из мостов, адрес которого зашит в трояне. Для шифрования данных используется алгоритм AES в режиме CBC.
Trojan.Encoder.11464
Шифровальщик, также известный как Scarab Ransomware. Впервые обнаружен в июне 2017 года. Изначально распространялся через ботнет Necurs. Для шифрования пользовательских файлов программа использует алгоритмы AES-256 и RSA-2048.

Опасные и нерекомендуемые сайты
Базы Родительского (Офисного) контроля и веб-антивируса SpIDer Gate в продуктах Dr.Web регулярно пополняются новыми адресами нерекомендуемых и потенциально опасных сайтов. Среди них — мошеннические и фишинговые ресурсы, а также страницы, с которых распространяется вредоносное ПО. Наибольшее число таких ресурсов было зафиксировано в третьем квартале, а наименьшее — во втором. Динамика пополнения баз нерекомендуемых и опасных сайтов в уходящем году показана на диаграмме ниже.

В течение 2020 года интернет-аналитиками компании было выявлено множество мошеннических сайтов, маскирующихся под официальные ресурсы государственных организаций. Чаще всего мошенники предлагали получить несуществующую компенсацию или инвестировать в крупные компании.

Для получения обещанных выгод посетителям чаще всего требовалось ввести свои данные, включая данные банковских карт, и предварительно внести оплату. Таким образом, пользователи теряли не только деньги, но и передавали свои персональные данные злоумышленникам.

Для мобильных устройств
В 2020 году владельцам Android-устройств угрожали различные вредоносные и нежелательные приложения. Например, пользователи часто сталкивались со всевозможными рекламными троянами, которые показывали надоедливые уведомления и баннеры. Среди них было множество вредоносных программ семейства Android.HiddenAds, распространявшихся в том числе через каталог Google Play. В течение года вирусные аналитики «Доктор Веб» выявили в нем десятки этих троянов, которых загрузили более 3 300 000 пользователей. На долю таких вредоносных приложений пришлось свыше 13% от общего числа угроз, выявленных на Android-устройствах.

Кроме того, в марте вирусные аналитики обнаружили в Google Play многофункционального трояна Android.Circle.1, которой получал команды с BeanShell-скриптами и также мог показывать рекламу. Помимо этого, он мог переходить по ссылкам, загружать веб-сайты и нажимать на размещенные там баннеры. Позднее были найдены и другие вредоносные программы, принадлежащие к этому семейству.

Другой угрозой, с которой часто сталкивались пользователи, стали всевозможные трояны-загрузчики. Среди них были многочисленные представители семейства Android.RemoteCode, скачивающие и выполняющие произвольный код. На их долю пришлось более 14% угроз, выявленных антивирусными продуктами Dr.Web для Android. Кроме того, владельцам Android-устройств угрожали трояны семейств Android.DownLoader и Android.Triada, загружавшие и устанавливавшие другие приложения.

Наряду с троянами-загрузчиками широкое распространение получили потенциально опасные утилиты, позволяющие запускать программы без их установки. Среди них — утилиты Tool.SilentInstaller и Tool.VirtualApk. Вирусописатели активно применяли их для распространения различного ПО, получая вознаграждение от партнерских сервисов.

Для распространения вредоносных и нежелательных приложений злоумышленники активно эксплуатировали тему пандемии коронавируса. Например, они создавали различные мошеннические сайты, на которых жертвам предлагалось установить справочные или медицинские программы, связанные с коронавирусной инфекцией, а также приложения для получения материальной помощи. В действительности с таких сайтов на Android-устройства загружались шпионские программы, различные банковские трояны, трояны-вымогатели и другое вредоносное ПО.

В течение года вирусные аналитики «Доктор Веб» выявили в каталоге Google Play множество вредоносных приложений семейства Android.FakeApp, предназначенных для загрузки мошеннических сайтов. Злоумышленники выдавали этих троянов за справочники с информацией о социальных выплатах и компенсациях. В период пандемии и непростой экономической ситуации пользователей интересовали такие сведения, и на уловку киберпреступников попалось множество владельцев Android-устройств.

Также в 2020 году на Android-устройствах было выявлено множество приложений, позволяющих следить за их владельцами. Они могли применяться для кибершпионажа и собирать широкий спектр персональной информации — переписку, фотографии, документы, список контактов, информацию о местоположении, сведения о контактах, телефонных разговорах и т. д.

Перспективы и вероятные тенденции
Прошедший год продемонстрировал устойчивое распространение не только массового вредоносного ПО, но и APT-угроз, с которыми сталкивались организации по всему миру.

В 2021 году следует ожидать дальнейшего распространения цифрового вымогательства, при этом целевым атакам с использованием троянов-шифровальщиков все чаще будут подвержены частные компании и корпоративный сектор. Этому способствует развитие модели RaaS (Ransomware as a Service — вымогательство как услуга), а также ощутимый для хакерских группировок результат, стимулирующий их преступную деятельность. Возможное сокращение расходов на информационную безопасность также может привести к стремительному росту числа подобных инцидентов.

Пользователям по-прежнему будет угрожать массовое вредоносное программное обеспечение —банковские и рекламные трояны, майнеры и шифровальщики, а также шпионское ПО. Стоит также готовиться к появлению новых мошеннических схем и фишинговых кампаний, с помощью которых злоумышленники будут пытаться завладеть не только деньгами, но и персональными данными.

Владельцы устройств под управлением macOS, Android, Linux и других операционных систем останутся под пристальным вниманием вирусописателей, и вредоносное ПО продолжит свое распространение на эти платформы. Также можно ожидать, что участятся и станут более изощренными атаки на устройства интернета вещей. Можно с уверенностью сказать, что киберпреступники продолжат использовать для своего обогащения любые методы, поэтому пользователям необходимо соблюдать правила информационной безопасности и применять надежные антивирусные средства на всех устройствах.

Сертифицированные ФСТЭК России программные продукты Dr.Web. Купить Dr.Web Enterprise Security Suite. Датасистем. Переход в онлайн магазин Dr.Web (ПО "Доктор Веб")

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.

ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения Dr.Web для бизнеса
Переход в он-лайн магазин Датасиcтем - официального Поставщика Dr.Web в Российской Федерации. Перейти на сайт Поставщика>>

Как минимизировать последствия атаки шифровальщика для компании.


18 февраля 2021

В нашем блоге есть тысяча и одна статья про то, как защититься от той или иной заразы. Но бывает и так, что защититься не получается, и зараза просачивается внутрь периметра. Некоторые в этот момент начинают паниковать — а надо, напротив, сохранять трезвый рассудок и действовать максимально быстро и осознанно. Собственно, ваши действия определят, станет ли этот инцидент гигантской проблемой для компании или еще одной успешно решенной задачей. Давайте выясним, что и как делать, на примере заражения шифровальщиком.

Часть первая: ищем и изолируем

Итак, зловред проник в вашу сеть, и вы об этом уже знаете. Но он может быть далеко не на одной машине и даже не в одном офисе. Так что первым делом ищите зараженные компьютеры и сегменты сети в инфраструктуре предприятия и изолируйте их от остальной сети, чтобы зловред не зацепил другие.

Как искать? Если машин мало, то посмотрите в логи антивирусов, в EDR и файрволы. Как вариант — буквально пройдитесь от машины к машине ногами и проверьте, как там дела. Если компьютеров много, то проще и удобнее анализировать события и логи в SIEM-системе. Походить потом все равно придется, но лучше сначала получить общее представление.

При этом не стоит забывать, что в пылу сражения с шифровальщиком важно не уничтожить улики, иначе потом будет сложно отследить, откуда он взялся, и понять, где искать другие инструменты группировки, которая атаковала ваши компьютеры. В общем, берегите логи и прочие следы зловредов на компьютерах, они вам еще пригодятся.

После того как вы изолировали зараженные машины от сети, лучше всего снять с них образы дисков и больше не трогать до окончания расследования. Если простой компьютеров невозможен, все равно сделайте образы и сохраните дамп памяти — он тоже может пригодиться в расследовании. Также не забывайте документировать все свои действия: это нужно для того, чтобы максимально прозрачно и честно рассказывать о происходящем как сотрудникам, так и всему миру. Но об этом позже.

Часть вторая: зачищаем и действуем

После проверки периметра у вас будет список машин с дисками, полными зашифрованных файлов, а также образы этих дисков. Все машины уже отключены от сети и больше не представляют угрозы. Можно попытаться сразу же взяться за восстановление, но лучше, как уже было сказано выше, их пока не трогать, а заняться безопасностью всего остального хозяйства.

Для этого проведите внутреннее расследование: покопайтесь в логах и попытайтесь понять, на каком компьютере шифровальщик появился в первую очередь и почему его там ничто не остановило. Найдите — и уничтожьте.

По итогам расследования, во-первых, зачистите сеть от сложных и особо скрытных зловредов и, если возможно, заново запустите работу бизнеса. Во-вторых, разберитесь, чего же не хватило в плане программных средств обеспечения безопасности, и устраните эти пробелы. В-третьих, обучите сотрудников, чтобы они больше не наступали на такие грабли и не скачивали опасные файлы на рабочие компьютеры. Наконец, в-четвертых, озаботьтесь своевременной установкой обновлений и патчей — пусть это будет приоритетом для IT-администраторов, поскольку часто зловреды лезут через уязвимости, для которых уже выпустили заплатки.

Часть третья: разбираемся с последствиями

На этом этапе угрозы в сети больше нет, и дыры, через которую она пролезла, тоже. Самое время вспомнить, что после инцидента остался парк неработающих компьютеров. Если для расследования они уже не нужны, то лучше отформатировать машины начисто, а потом восстановить на них данные из бэкапа, сделанного незадолго до заражения.

Если резервной копии нет, то придется пытаться расшифровать то, что есть. Зайдите на сайт No Ransom — есть шанс, что там найдется дешифратор для именно вашего шифровальщика. Если не нашелся — напишите в поддержку компании, которая предоставляет вам услуги в сфере кибербезопасности. Не исключено, что там смогут помочь.

В общем, если что-то утекло, то считайте, что оно уже опубликовано, и отталкивайтесь в своих действиях от этого. Зашифрованные файлы, кстати, все равно не удаляйте: если декриптора нет сейчас, то есть шанс, что его сделают позже — так тоже уже бывало.

Часть четвертая: лучше не доводить

Крупный киберинцидент — это всегда много суеты и головной боли. И в идеале, конечно, лучше их не допускать. Для этого надо заранее думать о том, что может пойти не так, и готовиться:

Читайте также: