Нажмите "Enter", чтобы перейти к содержанию

Как защититься от вируса шифровальщика: Как защититься от вирусов-шифровальщиков в корпоративной среде

Содержание

Как защититься от вирусов-шифровальщиков в корпоративной среде

Очередная волна массовых заражений вирусами-вымогателями показала, что корпоративный сегмент так же от них незащищен, как и домашние пользователи. А в силу того, что на коммерческие компании направлены еще и фишинговые атаки, их уязвимость гораздо больше. Если поискать на просторах интернета рекомендации по защите компаний от шифровальщиков, вы наткнетесь либо на рекламные статьи-рекомендации от известных разработчиков антивирусов, либо рекомендательные заметки блогеров, несущие неконцептуальные советы: «забрать у пользователей админские права» и «не открывать вложения в письмах из неизвестных источников».

К слову сказать, права администратора шифровальщикам и не нужны, чтобы зашифровать документы пользователя или, например, файловые базы 1С на компьютере. А фишинговые атаки направлены как раз на то, чтобы атакуемый думал, что письмо из известного источника, например, бухгалтеру присылают письма с вирусами якобы от налоговой или из банка.

Современные тенденции

Современные вирусы имеют модульную структуру. Так злоумышленникам проще и быстрее их изменять, подстраиваясь под новые уязвимости и задачи, а антивирусам сложнее им противодействовать. Задача атакующего модуля «закрепиться» в системе. Заражение может произойти из-за запуска вложения из фишингового письма или удаленно, используя уязвимость в атакуемой системе, или с помощью выполнения вредоносного кода со взломанного или зараженного интернет-сайта. Далее атакующий модуль, в зависимости от целей, сообщает на управляющие серверы об успешном заражении, включая данные об инфицированной системе, а затем загружает с них следующие модули на компьютер жертвы. Эти модули могут дать удаленный доступ к системе или отправить на сервер все учетные данные пользователей, обнаруженные в системе, собрать адреса электронной почты или зашифровать файлы на диске, разослать зараженные письма или атаковать соседние компьютеры в локальной сети.

Например, первая версия вируса WannaCry искала компьютеры в сети Интернет, перебирая IP-адреса, с уязвимостью сервиса SMB, заражала их, скачивала модуль-вымогатель, который шифровал файлы и выводил сообщение с требованием выкупа.

Позднее появилась модификация WannaCry, которая, кроме модуля-вымогателя, имела еще и модуль, атакующий и другие компьютеры в локальной сети. Следующие волны заражений шифровальщиками показали, что хоть атакующие модули вирусов и пути заражения были другими, но они тоже содержали в себе аналогичный модуль, позволяющий распространятся в локальной сети. Также они содержали модуль, который рассылал письма с зараженными вложениями по почте.

Таким образом, подход к защите от шифровальщиков должен быть комплексный.

Способы защиты от вирусов-шифровальщиков

Резервное копирование. Безусловно, резервное копирование не является прямой защитой от вирусов-вымогателей, но является защитой от их действий. Последние эпидемии дали четко понять, что цель шифровальщиков не столько заработать, сколько парализовать атакуемых. Грамотно настроенное хранение резервных копий и продуманный план аварийного восстановления минимизируют простой бизнеса, а следовательно, и недополученную прибыль, финансовые и репутационные потери.

Централизованная антивирусная защита.

О преимуществах именно централизованной защиты можно написать целую статью, но мы остановимся на том, как антивирус может помочь защититься от шифровальщиков. Да, современные вирусы загружают свои модули зашифрованными и по шифрованным протоколам, чтобы избежать обнаружения антивирусом, но не стоит забывать, что и современные антивирусы – не просто «обнаружитель зловредов». Это и сетевой экран, который поможет заблокировать загрузку модулей вируса, и «песочница», в которой запускается подозрительное приложение и анализируется его поведение, анализ интернет-ссылок на кросс-скриптинг или мошеннические сайты.

Актуальные обновления программного обеспечения. Напомним, что компания Microsoft опубликовала обновление MS17-010, которое закрывало уязвимость сервиса SMB, еще 14 марта 2017 года. Через месяц, 14 апреля 2017 года, хакерской группой The Shadow Brokers были опубликованы сведения об уязвимости и исполняемый код эксплойта EternalBlue. Далее, 21 апреля 2017 года, было зарегистрировано первое публичное использование эксплоита EternalBlue, когда программа-бэкдор DoublePulsar

поразила свыше 200 тысяч компьютеров. И, наконец, 12 мая 2017 года (через два месяца после публикации обновления, закрывающего уязвимость) начинается масштабная кибератака вируса WannaCry, использовавшего эксплоит EternalBlue и код DoublePulsar. Последствия атаки:

  • по состоянию на 13 мая, инфицированы 131 233 компьютеров во всем мире;
  • за первые четыре дня пострадали около 300 тысяч пользователей в 150 странах мира;
  • по состоянию на 26 мая, инфицированы более 410 000 компьютеров во всем мире;
  • по состоянию на 6 июня, заражены более 520 000 компьютеров и 200 000 IP-адресов;
  • ущерб от действий вируса только за первые четыре дня оценили свыше миллиарда долларов.

Казалось бы, что комментарии излишни, однако уже 27 июня 2017 года начинается массовое распространение вируса Petya. A, который успешно эксплуатирует уязвимость EternalBlue и код DoublePulsar на компьютерах, где уязвимость до сих пор не закрыта.

Ограничение прав пользователей. Не давайте пользователям прав администратора, не работайте сами под учетными записями администраторов, и, тем более, не отключайте UAC. Внимательный читатель напомнит нам, что мы писали «права администратора шифровальщикам и не нужны». Но ведь дело не только в шифровании файлов, например, Petya.A подменяет MBR, что невозможно без привилегированных прав. Также пользователи, обладающие достаточными правами, любят отключать «тормозящие» антивирусы или «надоедливые» обновления.

Ограничение использования программ. Средствами групповых политик нужно запретить запуск программ отовсюду, кроме папок Windows и Program Files. Таким образом, вы обезопаситесь от запуска вирусов из почтовых вложений или загруженных из интернета.

Сетевая безопасность. Разделяйте серверы и пользовательские компьютеры в разные VLAN’ы. Межсетевые экраны должны быть активны и настроены не только на пограничных маршрутизаторах, но и на рабочих станциях и серверах.

Описанные выше меры носят бюджетный характер – не требуют дополнительных материальных затрат. Если же бюджет на ИТ в компании позволяет выделить дополнительные средства на защиту, то стоит обратить внимание на следующие решения:

  • Использование корпоративного портала с поддержкой версионности файлов для хранения документов.
  • Использования систем обнаружения/предотвращения вторжений (IDS/IPS).
  • Регулярное использование сканеров безопасности для обнаружения и устранения уязвимостей в корпоративных информационных системах.

Защита от вирусов-шифровальщиков

Как происходит заражение

Типичная ситуация. В небольшой компании «Ромашка» работает секретарша Светочка. По долгу службы она обязана проверять всю входящую почту. Ей приходят счета за офисную канцелярию и интернет. Ей пишут соискатели по открытым вакансиям. К ней валятся рекламные сообщения. Естественно, многие письма содержат вложения - прайсы, резюме, коммерческие предложения. И вот однажды Светочка получает вроде обычное письмо с прикрепленным файлом. Она открывает файл. В этот момент шифровальщик начинает свою работу. Он проводит сканирование сегмента жесткого диска (как правило, это диск С) и шифрует все файлы, которые попадаются ему на пути. С компьютера секретаря шифровальщик легко распространяется по сети компании.

Вылечить зашифрованные файлы практически невозможно. У пользователя остается два пути. Заплатить выкуп за расшифровку файлов или смириться с потерей информации. Оба варианта малоприятны.

Почему опасны шифровальщики

Шифровальщики процветают благодаря человеческой невнимательности.Открывая вредоносный файл, пользователь сам разрешает шифровальщику начать атаку. Еще одна проблема – вирусы-шифровальщики не содержат вирусных сигнатур и фрагментов вредоносного кода. Поэтому без дополнительной грамотной настройки антивирус признает их безопасными.

Как уберечь себя от атаки шифровальщика?

1. Не открывайте вложения в подозрительных письмах. Если вам пишет компания, с которой вы уже работаете, то в письме должны присутствовать личное обращение и подпись менеджера. Письма с темами «Прочти, это очень важно», «Изменения в начислении зарплат», «За что вас могут оштрафовать» и им подобные удаляйте сразу. 
2. Если присланный файл не открывается привычной программой, например, файл doc не открывается через Microsoft Word, не пытайтесь открыть его с помощью другой программы. 

3. Опасны не только прикрепленные файлы, но и ссылки. Не пытайтесь перейти по ссылке в подозрительном письме. 
4. Если какой-то файл вызывает у вас сомнение - дополнительно просканируйте его с помощью антивирусной программы (нажмите правой кнопкой мыши, выберете «проверить на вирусы»). При принудительной проверке антивирус увидит не соответствующий сигнатурный код. 
5. Обеспечьте резервное копирование документов.

Как нейтрализовать человеческий фактор?

Заражение шифровальщиком всегда происходит по вине пользователя. Но грамотная ручная настройка антивируса позволяет предотвратить заражение, даже если пользователь пытается открыть вредоносный файл. 
Для этого необходимо вручную задать список защищаемых расширений и указать список программ, которым разрешено открывать файлы с данными расширениями. При проверке антивирус соотнесет расширение и программу и в случае несоответствия заблокирует операцию. 

Наши инженеры имеют готовые полные списки защищаемых расширений. А чем полнее перечень, тем эффективнее защита. Поэтому за быстрой настройкой эффективной защиты обращайтесь к нам. 8 (3852) 57-11-11 [email protected]

Как защититься от вируса-шифровальщика WannaCry в 2017 — СКБ Контур

WannaCry: как распространяется и чем опасен?

Новая вредоносная программа-вымогатель WannaCry (имеет также ряд других названий — WannaCry Decryptor, WannaCrypt, WCry и WanaCrypt0r 2. 0), заявила о себе миру 12 мая 2017 года, когда файлы на компьютерах в нескольких учреждениях здравоохранения в Великобритании оказались зашифрованы. Как вскоре выяснилось, в подобной ситуации оказались компании в десятках стран, а больше всех пострадали Россия, Украина, Индия, Тайвань. По данным «Лаборатории Касперского», только в первый день атаки вирус был обнаружен в 74 странах.

Чем опасен WannaCry? Вирус шифрует файлы различных типов (получая расширение.WCRY, файлы становятся полностью нечитаемыми) и затем требует выкуп в размере 600 долл. за расшифровку. Чтобы ускорить процедуру перевода денег, пользователя запугивают тем, что через три дня сумма выкупа увеличится, а 

через семь дней файлы вообще невозможно будет расшифровать.

Угрозе заразиться вирусом-шифровальщиком WannaCry подвержены компьютеры на базе операционных систем Windows. Если вы используете лицензионные версии Windows и регулярно выполняете обновление системы, то можете не переживать, что вирус проникнет в вашу систему именно этим путем.

Пользователям MacOS, ChromeOS и Linux, а также мобильных операционных систем iOS и Android атак WannaCry вообще не стоит бояться.

Что делать, если вы стали жертвой WannaCry?

Британское Национальное агентство по борьбе с преступностью (NCA) рекомендует малому бизнесу, который стал жертвой вымогателей и обеспокоен распространением вируса по сети, предпринять следующие действия:

  • Немедленно изолируйте компьютер, ноутбук или планшет от корпоративной / внутренней сети. Отключите Wi-Fi.  
  • Поменяйте драйвера.
  • Не подключаясь к сети Wi-Fi, напрямую подключите компьютер к интернету.
  • Обновите операционную систему и все остальное ПО.
  • Обновите и запустите антивирусник.
  • Повторно подключитесь к сети.
  • Осуществите мониторинг сетевого трафика и / или запустите сканирование на вирусы, чтобы удостовериться в том, что шифровальщик исчез.
Важно!

Файлы, зашифрованные вирусом WannaCry, не могут быть расшифрованы никем, кроме злоумышленников.  Поэтому не тратьте время и деньги на тех «ИТ-гениев», которые обещают вас избавить от этой головной боли.

Стоит ли платить деньги злоумышленникам?

Первые вопросы, которые задают пользователи, столкнувшиеся с новым вирусом-шифровальщиком WannaCry, — как восстановить файлы и как удалить вирус. Не находя бесплатных и эффективных способов решения, они стоят перед выбором — платить деньги вымогателю или нет? Поскольку часто пользователям есть что терять (в компьютере хранятся личные документы и фотоархивы), желание решить проблему с помощью денег действительно возникает.   

Защита информации от уничтожения

Но NCA настойчиво призывает не платить деньги. Если же вы все-таки решитесь это сделать, то имейте в виду следующее:

  • Во-первых, нет никакой гарантии, что вы получите доступ к своим данным.
  • Во-вторых, ваш компьютер и после оплаты по-прежнему может оставаться зараженным вирусом.
  • В-третьих, вы скорее всего просто подарите свои деньги киберпреступникам.

Как защититься от WannaCry?

Какие действия предпринять, чтобы предотвратить заражение вирусом, объясняет Вячеслав Белашов, руководитель отдела внедрения систем защиты информации СКБ Контур:

Особенность вируса WannaCry заключается в том, что он может проникнуть в систему без участия человека в отличие от других вирусов-шифровальщиков. Ранее для действия вируса требовалось, чтобы пользователь проявил невнимательность — перешел по сомнительной ссылке из письма, которое на самом деле ему не предназначалось,  либо скачал вредоносное вложение. В случае с WannaCry эксплуатируется уязвимость, имеющаяся непосредственно в самой операционной системе. Поэтому в первую очередь в группе риска оказались компьютеры на базе Windows, на которых не устанавливались обновления от 14 марта 2017 года. Достаточно одной зараженной рабочей станции из состава локальной сети, чтобы вирус распространился на остальные с имеющейся уязвимостью.

У пострадавших от вируса пользователей закономерен один главный вопрос — как расшифровать свою информацию? К сожалению, пока гарантированного решения нет и вряд ли предвидится. Даже после оплаты указанной суммы проблема не решается. К тому же ситуация может усугубиться тем, что человек в надежде восстановить свои данные рискует использовать якобы «бесплатные» дешифровщики, которые в действительности тоже являются вредоносными файлами. Поэтому главный совет, который можно дать, — это быть внимательными и сделать все возможное, чтобы избежать подобной ситуации.  

Что именно можно и необходимо предпринять на данный момент:

1. Установить последние обновления.

Это касается не только операционных систем, но и средств антивирусной защиты. Информацию по обновлению Windows можно узнать здесь.

2. Сделать резервные копии важной информации.

Рекомендуется хранить копии важных файлов в надежном месте на съемных носителях информации либо использовать специализированные средства резервного копирования.

3. Быть внимательными при работе с почтой и сетью интернет.

Необходимо обращать внимание на входящие письма с сомнительными ссылками и вложениями. Для работы с сетью Интернет рекомендуется использовать плагины, которые позволяют избавиться от ненужной рекламы и ссылок на потенциально вредоносные источники.

Предотвратим потерю информации

10 шагов для защиты от вирусов шифровальщиков – блог LWCOM

Невзирая на обилие информации по защите от шифровальщиков, мы, в рамках аудитов и работ у заказчиков, регулярно видим невыполнение базовых правил безопасности, о которых сегодня и хотим напомнить.

Если вы следите за новостями информационных технологий, то, наверняка, слышали о ряде компаний, пострадавших от подобных вирусов. Хитом этого года стал вымогатель по имени WannaCry.

Несмотря на то, что дебют шифровальщика состоялся в мае 2017года и большинство уже успели справиться с его последствиями, по данным сайта MalwareTech Botnet Tracke в настоящий момент в мире заражено более 500 000 компьютеров и 200 000 IP-адресов.

Напомним, что же такое шифровальщик?!

Программа-вымогатель (англ. ransomware) – это разновидность вредоносного ПО, которое заражает устройства, сети, ЦОДы и блокирует их работу до тех пор, пока пользователь или организация не выплатит определённую сумму для разблокировки.

Работа вредоносных программ-вымогателей обычно основывается на одном из следующих принципов: некоторые вымогатели-шифровальщики могут заразить операционную систему так, чтобы устройство невозможно было загрузить, другие шифруют отдельные файлы, папки или драйверы. В ряд вредоносных программ может быть встроен таймер, по истечении определенного срока вирус начинает удалять файлы на устройстве, пока не будет выплачена нужная сумма. В некоторых случаях на устройствах демонстрируется содержание порнографического или любого другого нецензурного характера. Таким образом, главной целью программ-вымогателей является блокировка жизненно важных файлов, баз данных, сервисов компаний или пользователей с целью получения выкупа за их разблокировку.

Вредоносное ПО может попасть на устройство различными способами, но, как правило, таким способом может быть зараженный файл, прикрепленный к письму, или ссылка в тексте сообщения. Также может произойти фоновая загрузка вируса при посещении зараженного сайта (привет, онлайн-кинотеатры с пиратским контентом) или скачивания файлов с непроверенных источников.

Однако есть ряд способов, соблюдая которые можно минимизировать риск скачивания вредоносного ПО и защитить себя и свой бизнес:

1. Разработайте план резервного копирования и восстановления системы. Регулярно осуществляйте резервное копирование своей системы и храните все данные оффлайн на отдельном автономном устройстве.

2. Используйте профессиональные e-mail и web-средства обеспечения безопасности, которые могут анализировать содержимое веб-сайтов, вложений электронных писем и файлов на наличие вредоносных программ, а также блокировать ненормативную рекламу и несоответствующие корпоративной политике сайты. Такие средства защиты должны включать функционал так называемой «песочницы», предназначенной для запуска и анализа новых или подозрительных программ в изолированном виртуальном пространстве.

3. Оказывайте техническую поддержку и осуществляйте обновления своей операционной системы, программного обеспечения и всех устройств на постоянной основе.

4. Убедитесь в том, что ваши устройства, антивирусное ПО, IPS (системы предотвращения вторжений) и средства защиты корпоративной почты обновлены до последней версии.

5. По возможности используйте "белые списки" программ (Application Whitelisting, AWL), которые смогут предотвратить несанкционированное скачивание или запуск вредоносного ПО.

6. Разбейте свою сеть на определенные зоны безопасности, так чтобы вредоносное ПО, оказавшееся в одной зоне, не смогло распространиться на остальные.

7. Установите контроль доступа и обеспечьте его соблюдение, чтобы сократить количество пользователей, имеющих потенциальную возможность заразить вредоносным ПО критически важные для бизнеса приложения, базы данных или сервисы.

8. Обеспечьте контроль политики безопасности BYOD (использование персональных устройств в рабочих целях), в рамках которой устройства, не отвечающие установленным сертификатам безопасности, будут сканироваться и при необходимости блокироваться (например, в случаях, когда не установлен клиент или антивирусное ПО, либо операционной системе требуются важные обновления или в случае, когда антивирусные файлы устарели и т.д.).

9. Задействуйте инструменты ретроспективного анализа, чтобы при атаке вредоносных программ можно было определить: а) откуда такое ПО пришло, б) как долго оно находилось в вашей системе, в) удалось ли избавиться от него на всех устройствах, г) не вернется ли вредоносное ПО снова.

10. И самое важное: не стоит рассчитывать на неукоснительное соблюдение всех требований безопасности вашими сотрудниками. Даже при том, что компании совершенствуют курсы тренингов по безопасности и учат работников не скачивать файлы, не открывать почтовые вложения или проходить по неизвестным ссылкам в сообщениях, человек – это наиболее уязвимое звено в цепочке безопасности, и вы должны учитывать данный факт при создании для предотвращения возможных рисков.

Если у Вас есть сомнения, что система безопасности вашей компании справится с атакой шифровальщика, технические специалисты LWCOM готовы провести ее комплексный аудит. Это поможет Вам взглянуть на ситуацию со стороны, а также получить документальное заключение и экспертные рекомендации.

Защита информации от вируса шифровальщика

Защита данных на компьютере чаще всего ассоциируется с установкой антивирусных программ, шифрованием критически важных директорий и своевременным резервным копированием. Однако (и это актуально при работе с базами 1С) шифрование директорий с  базами данных (БД) невозможно, а резервное копирование происходит на соседний жёсткий диск сервера или персонального компьютера, или даже на другой раздел этого же жёсткого диска (HDD). Антивирусная защита так же может оказаться недостаточной: вредоносная программа может быть не сразу идентифицирована или клиент может пренебрегать средствами защиты.

Кроме того, последние 5 лет малый и средний бизнес во всём мире столкнулся с вирусами-шифровальщиками, а для этого типа вредоносного ПО не имеет значения, на каком HDD лежит свежий backup вашей базы данных 1С — если уж вы допустили проникновение и запуск шифровальщика, он сделает бесполезными все найденные на ПК резервные копии (бэкапы).

Рассказать о том, как защитить базу данных 1С от шифровальщиков мы попросили нашего специалиста, отвечающего за организацию защиты данных.

Целый «букет» симптомов недавно преподнёс нам один клиент (это один из известных ресторанов на пешеходной улице Нижнего Новгорода). С самого начала клиентом было сделано всё для того, чтобы сработал первый закон Мэрфи: «если какая-нибудь неприятность может произойти — она произойдёт».

Во-первых, на сервере долгое время отсутствовало любое антивирусное ПО (одна из отговорок клиента была «дорого»). Приблизительно полгода назад, преодолев ожесточённое сопротивление сотрудников ресторана, нам удалось установить на сервер антивирус Kaspersky Free с очень ограниченным функционалом (только базовая защита, отсутствие контроля за сетевыми атаками, и, самое главное в данной ситуации, в нём отсутствует т.н. эвристический анализ поведения подозрительных программ). По тем же соображениям «дорого» не было антивирусного ПО и на других компьютерах ресторана (бухгалтерия, кассы, рабочие места официантов и поваров).

Во-вторых, все сотрудники ресторана имели неограниченный, и, самое главное, прямой доступ в интернет без какого-либо межсетевого экрана (firewall). Отговорка была примерно такой же: «платный firewall дорого, а бесплатный бесполезен».

В-третьих, регулярный backup базы данных 1С ресторана производился на второй HDD этого же сервера.

В четвёртых, один из сотрудников ресторана использовал в качестве своей рабочей станции сервер ресторана (как вы уже догадались, отговорка: «лишний компьютер — дорого»).

У нас с клиентом заключён договор абонентского обслуживания компьютеров этого ресторана (подробнее о таких услугах см. в статье «Обслуживание информационных систем предприятия») по которому, помимо разовых вызовов, наш специалист раз в месяц в любом случае посещает клиента для обслуживания. Специалиста уже ждали. Произошло заражение сервера вирусом-шифровальщиком panzer (источник заражения уже неизвестен, скорее всего, кто-то из сотрудников открыл ссылку в письме или посетил подозрительный сайт).   Поведение вируса panzer следующее: сначала на ПК жертвы попадает «разведывательный» модуль, который некоторое время (иногда довольно длительное) внешне никак не проявляет себя, а занимается просто анализом компьютера и пользовательских данных, и, не обнаруживаясь при этом базовой защитой, незаметно отправляет злоумышленникам информацию. На этом этапе, кстати, ситуацию уже мог бы спасти эвристический анализатор полноценного антивируса и грамотно настроенный firewall. Обнаружив что-то потенциально интересное (в данном случае, 1С базу, что говорит о, скорее всего, коммерческом назначении ПК) вирус по команде злоумышленников скачивает модуль шифрования, который работает примерно 45 минут, в течении которых успевает зашифровать алгоритмом AES-256 все файлы (кроме файлов ОС), в том числе и backup базы данных 1С на соседнем жёстком диске. После этого в каждой директории появляется текстовый файл с сообщением о том, что ваш ПК зашифрован и предложение связаться по любому из трёх e-mail со злоумышленниками для оплаты ключа дешифровки. При этом несложный анализ показывает, что восстановление зашифрованной алгоритмом AES-256  коммерческой информации сравнимо по стоимости или даже дороже суммы, запрашиваемой злоумышленниками, а время на расшифровку может измеряться месяцами или годами (в зависимости от доступных вычислительных мощностей). Сумма запрашивается в биткойнах для того, чтобы очень сложно (или невозможно) было отследить транзакции.

Чем закончилась история с зашифрованным сервером мы расскажем позже, а пока ответим на вопрос:

Так что же наша компания предлагает своим клиентам как средства обеспечения защиты информационных данных? Какие средства защиты баз данных в особенности мы предлагаем?

Защита от вируса-шифровальщика, чей модуль не обнаруживается антивирусным ПО — это регулярная выгрузка архива (backup БД клиента) в платное или бесплатное «облако».

1. На сервере клиента настраивается теневая архивация базы данных. При этом, перед выполнением архивации, специальный скрипт закрывает БД 1С на запись, чтобы не потерять данные, если в момент архивации начнётся запись в файлы базы данных.

2. На сервер клиента устанавливается безконсольное (или невидимое) приложение. Задача приложения: сохранить 4 бэкапа за три последних дня и 1 недельный бэкап. Перед выгрузкой бэкапы сжимаются в формат ZIP разделённый на несколько частей для того, чтобы упростить отправку при плохом или неуверенном соединении с интернет (в случае неудачной отправки делаются три попытки отправки). Для запуска используется стандартный планировщик задач Windows или Linux (приложение умеет архивировать файлы по маске или исключать ненужные).

3. После каждой успешной выгрузки специальный скрипт отправляет в нашу систему электронную отметку ОК. Если от клиента перестали выгружаться в «облако» резервные копии (например, скрипт перестал работать) то через некоторое время диспетчер автоматически получает СМС или уведомление о событии.

Таким образом, если допустить, что шифровальщик «пробился» через антивирусную защиту и зашифровал все данные на сервере (в том числе и последний бэкап), то, выгрузка данных в облако будет приостановлена (вирус зашифровал и само приложение, которое отвечает за выгрузку в «облако»), наш диспетчер получит уведомление о неудачи процедуры бэкапа и создаст задание на выезд технического специалиста к клиенту.

Хотелось бы особо подчеркнуть, что защита от шифровальщика файлов сама по себе не должна являться единственной мерой защиты вашего сервера. Мы настоятельно рекомендуем нашим клиентам установку современного антивирусного ПО как на сервер так и на рабочие места сотрудников, организовывать доступ в Интернет через межсетевой экран (в том числе и ограничивать доступ в Интернет при необходимости) и регулярно выполнять процедуру резервного копирования.

К сожалению, не все клиенты готовы прислушиваться к этим рекомендациям, руководствуюсь своими соображениями.

Ну а чем закончилась история с зашифрованным сервером? После долгих консультаций и анализа ситуации, заказчик решил не платить злоумышленникам «выкуп» (хотя они и прислали обратно расшифрованными выбранные нашим специалистом наугад некоторые файлы, чтобы подтвердить тот факт, что они действительно могут их расшифровать). Такой выбор клиент сделал не только из-за сложностей с переводом в биткойнах, но и из-за того, что по статистике каждая пятая российская компания в секторе малого или среднего бизнеса, заплатившая выкуп, так и не получила доступ к своим данным.

Клиенту, можно сказать, немного «повезло»: наши технические специалисты нашли HDD клиента полугодовой давности с актуальной на тот момент БД 1С и другими документами (HDD остался у нас после upgrade сервера) что и было отправной точкой для восстановления. Документы и БД 1С за последние полгода восстанавливали «руками» объединив силы бухгалтерии ресторана и наших технических специалистов. При этом мы не делаем секрета из того, что такая работа по восстановлению в сумме получилась ощутимо дороже той, что запросили злоумышленники (сверхурочные, надбавки за срочность).

Приобрести защиту от вируса шифровальщика, защитить данные на компьютере, звоните нам или закажите обратный звонок!

Как защититься от шифровальщиков на периметре сети

Хотя наиболее эффективная защита от шифровальщиков реализуется на конечных устройствах, тем не менее, стоит предпринять превентивные меры и на периметре сети. Расскажем, как это можно сделать с помощью Panda GateDefender.

События последних месяцев показали, что традиционные антивирусные решения не очень эффективны в борьбе против неизвестных угроз и атак, в том числе со стороны шифровальщиков. В своих статьях мы неоднократно пытались привлечь Ваше внимание к новой модели безопасности, основанной на использовании EDR-технологий, которые благодаря непрерывному мониторингу, отслеживанию взаимосвязи между всеми процессами и классификации 100% активных процессов позволяют значительно повысить уровень безопасности от современных неизвестных угроз: направленные атаки, безфайловые атаки, атаки без использования вредоносных программ, неизвестные эксплойты и шифровальщики и т. д. Например, семейство решений Panda Adaptive Defense, использующее EDR-технологии, как раз разработаны для борьбы с подобными «сюрпризами».

Но подобные решения представляют собой решения для защиты непосредственно конечных устройств. А что не мешало бы предпринять на периметре сети?

Сегодня в нашей статье мы расскажем о том, какие превентивные меры безопасности стоит реализовать на периметре сети, чтобы фильтровать шифровальщиков до проникновения в корпоративную сеть, а также снизить возможные последствия в том случае, если какие-то из представителей данного класса угроз все же будут активированы на конечных устройствах.

Немного о шифровальщиках

Как вы знаете, шифровальщики – это форма мошенничества, используемая для вымогательства денег у жертвы, чьи конечные устройства были заблокированы с помощью определенного типа вредоносных программ, в результате чего она (жертва) теряет доступ к данным на этих устройствах.

Шифровальщики – это тип вредоносных программ, который устанавливается на конечное устройство и шифрует содержимое (все или определенные типы файлов) его жестких дисков и на всех подключенных сетевых дисках. В результате этого пользователь теряет доступ к хранящимся данным до тех пор, пока он не заплатит выкуп (и то не факт, что после этого можно будет получить полноценный доступ ко всем данным!). CryptoLocker – это один из наиболее «популярных» примеров шифровальщиков, который использует открытый RSA-ключ. В последнее время стали также известны и другие нашумевшие примеры.

Если говорить упрощенно, то шифровальщики, как правило, распространяются в замаскированном виде через вполне легитимный контент, например, счет в виде почтового вложения, zip-файл, содержащий фотографии, или другие типы файлов, которые потенциальная жертва, скорее всего, откроет, т.к. не предполагает какой-либо опасности. Однако, при открытии таких файлов, шифровальщик связывается со своим сервером управления (так называемый сервер C&C), который отвечает за генерацию новой пары RSA-ключей (открытый/закрытый) и хранение закрытого ключа, а также отправляет открытый ключ на устройство жертвы, после чего зловред шифрует все, что он может найти на жестких дисках и подключенных ресурсах в локальной сети. После этого зашифрованные данные не могут быть доступны до тех пор, пока они не будут расшифрованы с помощью закрытого ключа, который доступен только на сервере C&C.

(Хотя стоит отметить, что последние экземпляры шифровальщиков «научились» активироваться и без действий со стороны потенциальной жертвы…).

Действительно, в силу того, что размер ключей, используемых для шифрования, как правило, составляет не менее 2048 бит, то расшифровать зашифрованные файлы без закрытого ключа практически невозможно: конечно, это возможно в теории, но на практике на это может потребоваться достаточно много времени. Таким образом, единственный способ восстановить доступ к данным – это либо переустановить все пострадавшие устройства и восстановить на них резервную копию, либо заплатить выкуп (что мы не рекомендуем делать!) и надеяться на получение закрытого ключа (хотя достаточно много случаев, когда жертвы не получали ключи после оплаты).

Поэтому мы советуем поддерживать все свои системы и приложения в обновленном состоянии, а также быть уверенным в том, что сотрудники вашего предприятия прекрасно осознают всю опасность открытия подозрительных файлов или сайтов. Превентивные меры – это лучшее решение для предотвращения неприятных событий!

Почему стоит обратить внимание на периметр сети?

Обеспечивая борьбу с шифровальщиками и другими современными угрозами, необходимо предпринимать превентивные меры по различным направлениям. Да, наиболее эффективные меры (если исключить строгие запреты вообще на все, чтобы никто толком не мог работать) могут быть предприняты на уровне конечных устройств. Те же EDR-технологии показывают очень высокую эффективность в борьбе с шифровальщиками и новыми угрозами.

Но в силу того, что подавляющее большинство угроз проникают в корпоративную сеть из Интернета, то реализация определенных мер безопасности на периметре сети однозначно позволит фильтровать известные угрозы и усложнить «общение» шифровальщиков со своими внешними серверами управления. Тем более, что делать придется не так и много.

Пример защиты от шифровальщиков на периметре сети

В качестве примера рассмотрим решение Panda GateDefender – это UTM-решение для интегрированной и комплексной защиты периметра сети, которое предлагает следующие модули: антивирус, антиспам, контент-фильтрация, URL-фильтрация, прокси, файервол, IPS/IDS, VPN, Hotspot, контроль веб-приложений и многое другое. Данное решение поставляется в аппаратной, программной и виртуальной версии.

С помощью этого решения мы покажем ряд методов, которые позволяют перехватывать эти угрозы на периметре сети, а также минимизировать их активность, блокируя каналы, используемые злоумышленниками для управления вредоносными процессами и распространения инфекции.

1. Используйте антивирус Panda

Panda GateDefender использует антивирусный движок Panda для фильтрации всех видов трафика. Он хранит свои сигнатуры в облаке, поэтому вы всегда будете использовать обновленные сигнатуры для идентификации и блокировки любых направлений заражений. Благодаря антивирусному движку Panda все проверки осуществляются в реальном времени с помощью самых «свежих» сигнатур и облачных баз знаний.

Чтобы включить антивирусный движок, в консоли управления Panda GateDefender перейдите к разделу Службы → Антивирусный движок, и на закладке Антивирус Panda настройте опции работы антивируса.


2.
Используйте службу IPS

Система предотвращения вторжений (IPS) способна не только обнаруживать, но и блокировать трафик, генерируемый от шифровальщиков к своим серверам управления.

Чтобы включить защиту с помощью системы IPS, в консоли управления Panda GateDefender перейдите в раздел Службы → Предотвращение вторжений, где нажмите на переключатель Включить IPS, если он выключен.

После включения данной службы на закладке Система предотвращения вторжений можно будет настроить дополнительные опции работы IPS.

Но нас в данном вопросе больше интересует следующая закладка Правила. Здесь на третьей странице найдите набор правил auto/emerging-trojans.rules.

У данного набора правил смените политику с предупреждения на активное применение, нажав на иконку с восклицательным знаком. После применения изменения иконка сменится на красный щит.

Теперь весь трафик, идентифицируемый с троянами, будет заблокирован. Вы также можете применить набор правил auto/emerging-tor.rules для дополнительной защиты.

3. Используйте файервол для исходящих соединений

Тот же CryptoLocker использует Torrents как вектор заражения, а TOR-соединения для взаимодействия со своими серверами управления C&C. Таким образом, еще один совет по повышению уровня безопасности – это заблокировать весь исходящий трафик, который использует эти два протокола.

В консоли управления Panda GateDefender перейдите в раздел Межсетевой экран → Исходящий трафик.

Здесь создайте новое правило с политикой отклонить или запретить для блокировки этого исходящего трафика. При этом для обеспечения более высокого уровня защиты, добавьте все сети или зоны, которые находятся после Panda GateDefender, указав значение <ЛЮБОЙ> у опции Источник/Тип.

Кроме того, данное правило обязательно должно быть первым в списке правил, поэтому необходимо поставить соответствующее значение у опции Политика/Позиция.
В результате в списке правил вы увидите примерно следующее:

4. Используйте HTTP-прокси 1/2: Веб-фильтр

Укажите профиль в HTTP-прокси, который блокирует вредоносные URL’ы, которые могут распространять шифровальщиков.

В консоли управления Panda GateDefender перейдите в раздел Прокси → HTTP.

Здесь перейдите на закладку Веб-фильтр, где внесите изменения в существующий профиль или создайте новый.

В блоке для выбора фильтруемых категорий веб-сайтов у категории Security заблокируйте доступ к категориям Anonymizers, Botnets, Compromised, Malware, Network Errors, Parked Domains, Phishing & Fraud, Spam Sites.

Кстати, этот метод лучше использовать в сочетании со следующим методом.

5. Используйте HTTP-прокси 2/2: Антивирусная проверка HTTP

На этой же странице с опциями проверьте, что опция

Активировать антивирусное сканирование

включена. По умолчанию, она как раз и включена, а потому мы рекомендуем оставить ее включенной.

6. Включите HTTPS-прокси

Для распространения заражения зачастую используются HTTPS-соединения. Таким образом, HTTPS-прокси может быть использован для перехвата соединений, разрешая только легитимные соединения с хорошо известными веб-сайтами.

Т.к. HTTPS-прокси работает только в паре с включенным HTTP-прокси, то предварительно проверьте, что последний включен в разделе Прокси → HTTP. После этого перейдите на закладку HTTPS-прокси и включите опцию Включить HTTPS-прокси.

7. Включите SMTP-прокси 1/2: Антивирусная проверка

Зачастую шифровальщики распространяются через вложения в электронные письма, которые на первый взгляд могут показаться письмами от известных и легитимных отправителей, но на самом деле они содержат ложную ссылку или поддельное опасное вложение. В связи с этим рекомендуется активировать в SMTP-прокси антивирусную проверку.

В консоли управления Panda GateDefender перейдите в раздел Прокси → SMTP и включите SMTP-прокси. Затем в блоке Вирусные настройки включите опцию Проверять почту на вирусы, чтобы активировать антивирусный движок для почтового трафика.

Вы также можете настроить и то, что делать с письмами, которые будут помечаться как спам, а также ряд других опций.

После этого нажмите кнопку Сохранить для сохранения новой конфигурации, после чего в подтверждающем сообщении необходимо применить измененную конфигурацию, чтобы перезагрузить SMTP-прокси.

8. Включите SMTP-прокси 2/2: Расширения файлов и двойные расширения

Еще один способ доставки шифровальщиков в виде почтового вложения – это назвать вложенный файл с применением двойного расширения. (например, meeting.png.bat), в результате чего почтовый клиент показывает только первое расширение (meeting.png), в силу чего пользователь думает, что получил файл с картинкой. Дважды кликнув на этом файле, пользователь не увидит никакого изображения, но при этом без разрешения пользователя запустится bat-файл. Так что еще одна хорошая рекомендация – это блокировка потенциально опасных расширений файлов и запрет на передачу почтовых вложений с двойным расширением.

Для настройки в консоли управления Panda GateDefender перейдите в раздел Прокси -> SMTP и включите SMTP-прокси (если он был выключен).

Затем в блоке Файловые настройки включите опцию Блокировать файлы по расширению, чтобы активировать систему проверки почтовых вложений.
После этого в списке для выбора типов файлов для блокировки по расширению выберите все расширения, которые должны блокироваться SMTP-прокси, а также включите опцию для блокировки файлов с двойным расширением и выберите соответствующие значения в появившемся выпадающем меню.

9. Включите DNS-прокси

Когда CryptoLocker или другие шифровальщики запускаются, то они попытаются изменить настройки DNSна зараженной машине, чтобы иметь возможность связываться со своими серверами управления для корректной работы. Такого развития событий можно избежать, включив DNS-прокси в решении Panda GateDefender. В этом случае все DNS-запросы от устройства, которое расположено за решением Panda GateDefender, будут всегда перехватываться им, блокируя любую возможность для шифровальщиков связаться со своим сервером управления.

Для этого перейдите в раздел Прокси → DNS.

Кстати, на закладке Антишпион есть смысл поставить ежедневные обновления, чтобы блокировать известные вредоносные домены.

Заключение

В результате вышеуказанных несложных действий вы сможете настроить защиту периметра сети от шифровальщиков, попытавшись заблокировать их проникновение в корпоративную сеть из Интернета, а также усложнив им возможность взаимодействия со своими серверами управления. Такие превентивные меры позволят значительно сократить риск заражения, а также смогут минимизировать возможные последствия после запуска шифровальщиков в корпоративной сети.


Более подробная информация о Panda GateDefender

Также Вы можете заказать бесплатную версию Panda GateDefender сроком на 1 месяц, отправив заявку на адрес [email protected] pandasecurity.com.

в чём опасность и как защищаться?

Шифровальщики и другие программы класса «ransomware» ежедневно атакуют организации по всему миру. Киберпреступников интересуют в том числе и медицинские учреждения. Как шифровальщики попадают в систему? Как предотвратить заражение? Нужно ли платить организаторам атаки? Обсудим истоки проблемы, ущерб, который может быть нанесён, а также методы противодействия.

 

 

 

 

 

  1. Введение
  2. Шифруем данные: гарантия, анонимность
  3. Чем происходящее опасно для медиков?
  4. Пути проникновения в систему
    1. 4.1. Заражение через внешние службы удалённого доступа
    2. 4.2. Атаки «drive-by»
    3. 4.3. Фишинговые рассылки через электронную почту
  5. Громкие атаки на медучреждения с использованием шифровальщиков
    1. 5.1. Прогнозы на будущее
  6. Как защититься?
    1. 6.1. Платить или не платить?
    2. 6.2. Локализация и ликвидация заражений
      1. 6. 2.1. Изоляция
      2. 6.2.2. Расследование и восстановление
      3. 6.2.3. Последующие работы
  7. Выводы

Введение

В 2020 году популярность вирусов-вымогателей взлетела до недостижимых прежде высот и сегодня продолжает бить рекорды. Программы этого типа, попадая в компьютер, шифруют все данные и требуют выкуп за доступ к заблокированной информации. Эксперты Check Point Research (CPR) подсчитали, что за первые четыре месяца нынешнего года с вирусами-вымогателями столкнулось на 102 % больше компаний, чем за аналогичный период прошлого года. Основная цель атакующих — компьютеры работающих удалённо сотрудников крупных компаний, потому что это позволяет получать доступ в корпоративные сети.

Злоумышленники сместили фокус атак с индивидуальных пользователей на крупные организации, в том числе — на государственные и медицинские учреждения. В топ-5 наиболее атакуемых отраслей входят производство, ретейл, государственные учреждения, здравоохранение, строительство. По данным CPR, чаще всего с хакерами-вымогателями сталкиваются в сфере здравоохранения: в среднем за неделю происходит 109 атак на одну организацию (см. рис. 1).

 

Рисунок 1. Количество атак хакеров-вымогателей в мире за неделю, 2021 г.

 

Статистика Positive Technologies гласит, что в большинстве случаев при атаках на крупные организации предметами интереса злоумышленников становятся персональные данные, коммерческая тайна и учётные записи, позволяющие получить расширенный доступ к системам организации (рис. 2).

По оценкам Group-IB, в 2020 году минимальный ущерб от атак с применением вирусов-шифровальщиков превысил миллиард долларов. Реальных цифр не знает никто — многие организации предпочитают не предавать огласке факт компрометации системы.

 

Рисунок 2. Какие данные интересны хакерам-вымогателям

 

Шифруем данные: гарантия, анонимность

В современных программах-вымогателях злоумышленники используют гибридное шифрование, совмещая высокие скорости симметричных систем и преимущества ключей ассиметричных алгоритмов, когда для расшифровки данных необходим ключ, которым владеет только злоумышленник. Если владелец отказывается платить выкуп за доступ к своей информации, злоумышленники обычно выставляют данные на продажу.

Шифровальщики — понятный и прибыльный для хакеров инструмент, поэтому стоит ожидать дальнейшего развития этого направления и усложнения атак. Вокруг этой темы уже вырос большой рынок. «Энтузиасты» предлагают готовые решения, услуги разработчиков, а также продажу доступов в корпоративные сети компаний и корпораций. Так, хакерская группировка DarkSide в течение многих месяцев сдавала в аренду вирусы-вымогатели для атак на промышленные предприятия, государственные и медицинские учреждения и заработала миллионы.

Чем происходящее опасно для медиков?

Медучреждения занимают первое место по числу совершаемых против них атак с применением шифровальщиков. Количество инцидентов в этой сфере, по оценкам аналитиков, продолжает стремительно расти. Почему так происходит? Большинство медицинских организаций не имеет надёжной защиты, не стремится предавать огласке инциденты в области утечек, но вместе с тем осознаёт опасность отсутствия доступа к данным в течение продолжительного периода и нередко платит преступникам.

Всё это вкупе с понятной и действенной схемой реализации атак открывает хакерам неплохие перспективы. Получив доступ к данным в корпоративной сети медучреждения, атакующие могут реализовать несколько вредоносных сценариев. Вот основные из них:

  1. блокирование нормальной деятельности медицинских систем, которое может привести к простою в работе, угрожать репутации организации, а также, что самое страшное, непосредственно повлиять на здоровье и жизни людей;
  2. блокирование данных и их копирование с целью дальнейшего шантажа; иногда после получения выкупа хакеры не останавливаются и через некоторое время переходят к угрозам выложить данные в публичный доступ, что может обернуться серьёзным ударом по репутации.

Пути проникновения в систему

Есть три основных способа первичной компрометации сети с помощью вируса-шифровальщика, с которых начинаются атаки.

Заражение через внешние службы удалённого доступа

Технологии удалённой работы и обучения используются сегодня повсеместно в связи с пандемией. При этом большинство организаций не в состоянии быстро внедрять решения для безопасной удалённой работы сотрудников вне офисов, а одна только уязвимость протокола удалённого рабочего стола (RDP) позволяет злоумышленникам получать административный доступ и, например, использовать те же вирусы-шифровальщики на компьютере жертвы.

Процесс атаки с использованием внешних служб удалённого доступа, как правило, реализуется следующим образом:

  1. Сканирование открытых RDP-портов.
  2. Вход в систему: злоумышленник может попытаться получить доступ физически или воспользоваться данными для авторизации, предлагаемыми на рынке соответствующих услуг.
  3. Отключение системы безопасности: в зависимости от уровня доступа злоумышленник нацелен на отключение максимального количества средств защиты на компьютере жертвы.
  4. Осуществление вредоносной деятельности: злоумышленник устанавливает вредоносные программы, использует заражённые машины для последующей атаки по сети, осуществляет кражу данных и др.
  5. Требование выкупа в случае установки вируса-шифровальщика.

Атаки «drive-by»

Метод «drive-by download», или скрытой загрузки, актуален в тех случаях, когда пользователь посещает сайт с вредоносными скриптами в HTTP- или PHP-коде, внедрёнными злоумышленниками вследствие взлома. Также подобная атака может быть реализована при попытках открытия заражённых HTML-сообщений, полученных иным путём. Скрипт способен установить вредоносный код — в том числе вирус-шифровальщик — напрямую на компьютер пользователя.

Для распространения такой атаки злоумышленники могут использовать, например, механизм автоматической установки элементов управления Internet Explorer — ActiveX. В медицинских учреждениях часто встречается устаревшее программное обеспечение, поэтому угроза вполне реальна. Последующая активация вредоносной нагрузки произойдёт в автоматизированном режиме без потребности в каких-то особых действиях со стороны пользователя. Стоит отметить, что для реализации атак типа «drive-by» используются обычные («законные») сайты, предварительно взломанные злоумышленником.

Как правило, атака производится за счёт встроенных в плавающие фреймы ссылок на взломанных веб-ресурсах. Злоумышленники размещают вредоносные скрипты во фреймах веб-страниц, которые могут показаться пользователю достойными доверия.

Другим распространённым способом реализации данного типа атаки является помещение скрипта загрузки стороннего ПО во всплывающие окна. Последние могут представлять собой рекламу или другую активную часть веб-ресурса, причём даже попытка закрытия всплывающего окна может привести к запуску скрипта злоумышленника.

Фишинговые рассылки через электронную почту

Основным каналом распространения шифровальщиков была и остаётся электронная почта. Злоумышленник маскирует письма с вредоносным кодом под обычную рабочую переписку: уведомления из налоговой инспекции, информацию о найме сотрудников и т. д.

Обычная схема выглядит так: злоумышленник отправляет короткое письмо от имени сотрудника компании, партнёра, заказчика и т. п., в тексте указывается минимум подробностей, прикрепляется вложение или URL для перехода в облачное хранилище документов. Также для «достоверности» злоумышленник может добавить отметку имитирующую сведения о проверке письма средствами защиты.

Несмотря на то что такие письма похожи на настоящие, в них обычно несложно распознать фишинговое послание. Если присмотреться, можно увидеть, что адрес отправителя не соответствует подписи и домен отличается от официального.

Громкие атаки на медучреждения с использованием шифровальщиков

Итак, чего конкретно ждать от шифровальщиков, к чему может привести реализация атаки с использованием подобных программ? Назовём некоторые из самых масштабных случаев.

Один из громких кейсов прошлого года, хорошо иллюстрирующий масштаб, — атака вымогателя Ryuk на организацию Universal Health Services (UHS), в состав которой входит 400 медучреждений в США, Великобритании и других странах. Атака затронула не все больницы и клиники, но многие. Компьютеры пользователей не загружались, на некоторых появлялось требование о выкупе. Затронута была и телефонная сеть. Какое-то время медучреждения работали без ИТ-сервисов, а некоторых пациентов пришлось перенаправить в другие больницы.

В марте этого года UHS опубликовала отчёт, где сообщила, что эта атака обошлась ей в 67 млн долларов США. Сюда включены расходы на восстановление данных из бэкапов, упущенная прибыль из-за простоя и снижения потока пациентов и так далее.

А вот инцидент в Ascend Clinical — компании специализирующейся на анализах для пациентов, которые страдают хронической болезнью почек — привёл к утечке данных свыше 77 тысяч больных. Причина заражения: один из сотрудников «неудачно» перешёл по ссылке из фишингового письма. Проникнув в систему, злоумышленники добрались в том числе до персональных данных пациентов — имён, дат рождения и номеров соцстрахования.

Интересно, что при атаках на здравоохранение злоумышленники часто предпочитают шифровать и воровать данные именно с серверов, а не с рабочих станций — как это случилось с серверами Florida Orthopaedic Institute, когда злоумышленники зашифровали (предварительно похитив) данные 640 тысяч пациентов. Впоследствии институт столкнулся с весьма неприятным иском от компании представляющей интересы пострадавших пациентов.

 

Рисунок 3. Распределение атак хакеров-вымогателей по странам

 

Прогнозы на будущее

На основе статистики можно с уверенностью сказать, что рост количества площадок для торговли данными по доступу к корпоративным сетям продолжится, что, в свою очередь, повысит число атак на крупные организации.

Не стоит ожидать снижения количества атак на почтовые сервисы с применением шифровальщиков: возможно хищение данных из локальных почтовых сервисов или выведение почтовой системы из строя.

Также стоит отметить нарастающую в России популярность фишинговых партнёрских программ и использование одноразовых ссылок на веб-фишинг через почтовые сервисы.

Как защититься?

Рассмотрим основные пути защиты компьютеров и сети организации от вирусов-шифровальщиков. Действовать нужно проактивно. Прежде всего необходимо внедрить способы, методы, программные решения, позволяющие проводить мониторинг, собирать и анализировать индикаторы компрометации. С учётом быстрого развития методов атак с использованием вирусов-шифровальщиков необходимо также уделять внимание обновлению инструментов мониторинга и обучению персонала.

Приведём основные рекомендации по техническому оснащению инфраструктуры организаций для предотвращения атак:

  1. Рассмотреть возможность использования решений типа Threat Intelligence для выявления возможных угроз и подозрительной активности до возникновения инцидента. Платформы Threat Intelligence предоставляют возможность сбора информации об угрозах, их классификации, а также выполнения действий направленных на последующий анализ и выгрузку данных в средства защиты и SIEM-системы в режиме реального времени. Рынок российских решений данного класса находится на стадии развития и представлен такими продуктами, как Group-IB Threat Intelligence, Kaspersky Threat Intelligence, Positive Technologies Cybersecurity Intelligence, R-Vision Threat Intelligence.
  2. Внедрить в организации практику по применению решений класса Malware Detonation Platform, которые эмулируют исполнение кода подозрительного программного обеспечения в изолированной среде для анализа действий. В России соответствующий сегмент рынка представлен такими решениями, как Group-IB Threat Hunting Framework / Polygon, Kaspersky Anti Targeted Attack (KATA), PT Sandbox.
  3. Обратить внимание на резервное копирование данных в организации. Резервирование должно производиться на постоянной основе, ему должны подлежать все критически важные данные. Копии следует хранить отдельно от основной среды, чтобы злоумышленники не могли получить к ним доступ даже в случае компрометации корпоративной сети. Для защиты файлов на конечных устройствах пользователей пригодится резервное копирование в облачные хранилища.
  4. Для постоянного поддержания уровня защищённости в сети необходимо развернуть систему безопасности, которая осуществляла бы круглосуточный мониторинг событий по информационной безопасности. Для каждого инцидента должны устанавливаться сложность и значимость для быстрого реагирования и анализа. Также стоит подготовить второй уровень реагирования на инциденты: в крупных компаниях возможна подготовка команды и высококвалифицированных специалистов, а в более мелких организациях — использование услуг сторонних ИТ-компаний (например, MSSP — провайдеров по решению задач информационной безопасности).
  5. Фишинг и социальная инженерия — в числе главных векторов компрометации, поэтому специалистам по информационной безопасности стоит уделять внимание не только техническим средствам защиты, но и рядовым сотрудникам организации. Необходимо актуализировать организационные документы в части информационной безопасности, проводить обучение по ним, а также осуществлять внеплановый контроль исполнения документов и политик — не только по угрозам фишинга, но и по всем аспектам безопасности при работе с сетью.
  6. Для достижения необходимого и постоянного уровня защищённости в организации необходимо регулярно проводить аудит безопасности, проверку специалистов и внутренних процессов. Следует разработать систему внутренних проверок, а также включить возможность привлечения третьей независимой стороны. Помимо аудита документации и настроек сети стоит проводить проверки имитирующие действия злоумышленников (испытания на проникновение) для выявления слабых мест в выстроенной системе безопасности.
  7. Если организация имеет в своём распоряжении крупную распределённую сеть, то необходимо развернуть SIEM-систему для аккумуляции информации о безопасности сети со всех средств защиты для быстрого анализа и реагирования. На российском рынке представлены такие решения, как MaxPatrol SIEM, RuSIEM, КОМРАД, SearchInform SIEM.
  8. Для обеспечения высокого уровня защиты данных внутри корпоративной сети необходимо сегментировать последнюю и установить межсетевые экраны, например используя такие решения, как Threat Detection System от Group-IB, PT Network Attack Discovery от Positive Technologies, межсетевой экран UserGate, Kaspersky Industrial CyberSecurity, ViPNet IDS и ViPNet xFirewall от компании «ИнфоТеКС», АПКШ «Континент» от компании «Код Безопасности».
  9. Атаки с использованием вирусов-шифровальщиков в большинстве случаев начинаются с конечных точек, где необходимо установить надёжные средства антивирусной защиты. Такие средства должны быть установлены на все устройства, которые имеют доступ как в корпоративную сеть организации, так и в интернет. Примером отечественного продукта такого рода может быть Kaspersky Endpoint Security.

Платить или не платить?

Здесь всё индивидуально, каждая организация решает сама и универсальных советов быть не может. В большинстве случаев восстановление доступа к похищенным или зашифрованным данным невозможно без ключа или декриптора, находящихся в руках злоумышленника, даже если применяется слабая криптография. Конечно, возможны и ошибки разработчиков вредоносных программ, однако это крайне редко приводит к дешифровке данных.

Также стоит обратить внимание на нежелание организаций афишировать факты компрометации системы и потери значимых данных. В таком случае предпочтение отдаётся варианту выкупа данных у злоумышленника.

О чём стоит помнить, когда вы платите злоумышленникам:

  1. При такой сделке нет никакой гарантии, что после перевода денег злоумышленник действительно предоставит декриптор для расшифровывания информации.
  2. В случае удачного расшифровывания данных предоставленным декриптором организация возвращает критически важную информацию и может восстановить работу, однако копия базы всё ещё может быть у злоумышленника. Тогда могут последовать продолжительные требования материального вознаграждения за нераспространение этих данных или информации о самом факте компрометации.
  3. Как правило, если злоумышленник смог успешно проникнуть в сеть и запустить вирус-шифровальщик, то это говорит о недостаточной защищённости системы. В таком случае нет гарантий, что злоумышленник не получил доступа к другим ресурсам или базам данных организации, что может привести к повторным атакам или вымогательству.
  4. Также в случае быстрого принятия решения о выплате выкупа у злоумышленника появляется мотивация для повторения мошенничества в сторону данной организации для получения лёгкого заработка.

Таким образом, в случае компрометации ресурсов в первую очередь стоит сконцентрироваться на предотвращении распространения шифровальщика по сети.

Локализация и ликвидация заражений

Как восстанавливаться после атаки? К сожалению, далеко не всегда удаётся обеспечить надлежащий уровень безопасности корпоративных сетей и сервисов организаций, в том числе по причине постоянного развития инструментария злоумышленников и из-за человеческого фактора. В таком случае встаёт вопрос о плане по устранению последствий инцидентов.

Изоляция

В случае обнаружения активности вируса-шифровальщика в корпоративной сети необходимо определить зону заражения, поскольку степень распространения на момент первого появления признаков неизвестна. Нужно изолировать все заражённые компьютеры и сегменты, чтобы вирус не распространялся на другие части сети.

Если сеть предприятия — небольшая и нераспределённая, то данную зону можно определить по логам антивируса, оповещениям от EDR и брандмауэров. В случае больших организаций стоит перед этим провести анализ логов от SIEM-систем.

Отсечение заражённых узлов от сети возможно по сетевому кабелю, через отключение сетевого интерфейса или порта на коммутаторе. Необходимо блокировать межсегментный трафик, исключая необходимые и незаражённые узлы внутри сети, с помощью межсетевых экранов и списков контроля доступа (ACL-листов) на коммутаторах.

На этапе локализации также стоит озаботиться сохранностью улик для последующего анализа путей распространения шифровальщика: следует обратить внимание на сохранность логов и других следов действия вируса на заражённых компьютерах. Также после локализации инцидента необходимо снять образы дисков и сохранить дампы памяти для последующего расследования.

Расследование и восстановление

После локализации инцидента и обеспечения работы незаражённой части сети в штатном режиме необходимо провести анализ действий шифровальщика: определить пути распространения и причины появления. В большинстве случаев источник вируса-шифровальщика — это другие вредоносные программы из семейства троянов, например дроппер, RAT, загрузчик и др. Необходимо найти первичную причину возникновения инцидента, локализовать её и начать процедуры по удалению стороннего программного обеспечения. Также стоит обратить внимание на причины отсутствия блокировки вируса на конечном компьютере.

По итогу анализа путей и причин возникновения шифровальщика необходимо:

  1. Уничтожить вредоносный код на всех единицах техники в корпоративной сети.
  2. Выявить уязвимость системы, послужившую причиной возникновения инцидента, и закрыть её через установку средств защиты или изменение настроек.
  3. Провести обучающие беседы с сотрудниками организации для предотвращения повторного возникновения угрозы.
  4. Установить все обновления для средств защиты и антивирусных баз.
Последующие работы

После устранения как самой угрозы, так и уязвимости, которая привела к её появлению, возможно введение ранее заражённых машин в общую сеть организации. Если нет необходимости сохранять данные на машинах для последующего анализа и расследования, то по возможности стоит отформатировать компьютеры и восстановить на них данные из резервных копий, сделанных ранее.

Для восстановления последних данных (или всей информации в случае отсутствия системы резервирования) возможно прибегнуть к помощи компаний предоставляющих услуги в сфере кибербезопасности или же попытаться найти открытый декриптор (например, на сайте проекта No More Ransom) для определённого вида шифровальщика.

Также стоит принять решение о том, раскрывать ли информацию об инциденте сотрудникам и акционерам, а также публике через СМИ. Обнародование информации о компрометации сети и возможной утечке данных может привести к репутационным рискам. Вместе с тем, появление данной информации в сети без участия организации может привести к ещё большим потерям.

Выводы

Всем компаниям, которые сталкиваются с действиями киберпреступников (и особенно когда речь идёт о шифровальщиках), необходимо помнить о том, что количество инцидентов будет расти, атаки будут повторяться, если не противостоять хакерам. Необходимо приложить максимум усилий к защищённости своих ресурсов, а также к созданию мощного информационного поля, которое поможет другим организациям. Ведь каждый обнародованный и тщательно изученный инцидент позволяет специалистам по ИБ улучшать стратегию защиты. Когда мы начнём противостоять злоумышленникам единым фронтом, хакерам станет намного сложнее атаковать, их инструменты перестанут работать, стоимость атак возрастёт. В первую очередь следует обеспечить надёжную защиту в медицинской сфере, где под ударом оказываются не только и не столько информационные ресурсы, сколько человеческие жизни.

Особенно важно вести такую работу по противостоянию кибератакам в России, поскольку в нашей стране не развита система страхования рисков для ИБ и отсутствует судебная практика по инцидентам с программами-вымогателями.

Защита от программ-вымогателей | Как защитить себя от программ-вымогателей в 2021 году

Узнайте больше о предотвращении и защите от программ-вымогателей в 2021 году. Но что такое программы-вымогатели? Если на ваш компьютер попадает программа-вымогатель или шифровальщик , он шифрует ваши данные или блокирует вашу операционную систему . Как только программа-вымогатель получает «цифрового заложника» , например файл, она требует выкуп за свое освобождение.Чтобы снизить вероятность оказаться перед заблокированным ноутбуком или зашифрованным файлом, важно быть готовым. Шансы заражения могут быть значительно уменьшены как с помощью программного обеспечения безопасности , так и путем уделения ему достаточного внимания. Используя программу-вымогатель , вы можете избежать ситуации, в которой вам придется заплатить огромные суммы за возможный выпуск ваших данных. Заражение программ-вымогателей может происходить по-разному, например, через незащищенных и мошеннических веб-сайтов , загрузок программного обеспечения и через спам-почту .Программы-вымогатели нацелены как на частных лиц, так и на компании любого размера.

Уязвимости в системе безопасности. Являетесь ли вы потенциальной целью атаки программ-вымогателей?

Существует ряд факторов, которые могут сделать вас целью атаки программы-вымогателя.

  • Используемое устройство уже не современное
  • В приборе устаревшее ПО
  • Браузеры и / или операционные системы больше не обновляются
  • Нет надлежащего плана резервного копирования существует
  • Недостаточное внимание уделяется кибербезопасности , и конкретный план отсутствует

Если один или несколько из этих пунктов относятся к устройству, вы рискуете стать жертвой атаки программы-вымогателя.Сканирование уязвимостей , которое может выполнить ваша программа безопасности Kaspersky, может исправить это. Программа сканирует устройство на предмет возможных уязвимостей безопасности в операционной системе или в программах, установленных на компьютере . Обнаружив эти уязвимости, которые позволяют проникнуть вредоносным программам, можно предотвратить заражение компьютера.

Защита от программ-вымогателей - как предотвратить заражение

  • Никогда не переходите по небезопасным ссылкам: Не переходите по ссылкам в спам-сообщениях или на неизвестных веб-сайтах.Если вы нажмете на вредоносные ссылки, может начаться автоматическая загрузка, что может привести к заражению вашего компьютера.
  • Избегайте раскрытия личной информации: Если вы получили звонок, текстовое сообщение или электронное письмо от ненадежного источника с запросом личной информации, не отвечайте. Киберпреступники, планирующие атаку с использованием программ-вымогателей, могут попытаться заранее собрать личную информацию, которая затем используется для адаптации фишинговых сообщений специально для вас. Если есть какие-либо сомнения относительно законности сообщения, свяжитесь напрямую с отправителем.
  • Не открывайте подозрительные вложения в сообщениях электронной почты: Программы-вымогатели также могут проникнуть на ваше устройство через вложения в сообщениях электронной почты. Избегайте открытия каких-либо подозрительных вложений. Чтобы убедиться, что электронное письмо заслуживает доверия, обратите особое внимание на отправителя и проверьте правильность адреса. Никогда не открывайте вложения, предлагающие запустить макросы для их просмотра. Если вложение заражено, при его открытии запускается вредоносный макрос, позволяющий вредоносным программам управлять вашим компьютером.
  • Никогда не используйте неизвестные USB-накопители: Никогда не подключайте USB-накопители или другие носители данных к своему компьютеру, если вы не знаете, откуда они пришли.Киберпреступники могли заразить носитель и разместить его в общественном месте, чтобы соблазнить кого-нибудь использовать.
  • Регулярно обновляйте свои программы и операционную систему: Регулярное обновление программ и операционных систем помогает защитить вас от вредоносных программ. При выполнении обновлений убедитесь, что вы используете последние исправления безопасности. Это затрудняет злоумышленникам использование уязвимостей в ваших программах.
  • Используйте только известные источники загрузки: Чтобы минимизировать риск загрузки программ-вымогателей, никогда не загружайте программное обеспечение или мультимедийные файлы с неизвестных сайтов.Положитесь на проверенные и заслуживающие доверия сайты для загрузок. Такие сайты можно распознать по печатям доверия. Убедитесь, что в адресной строке браузера на странице, которую вы посещаете, используется «https» вместо «http». Значок щита или замка в адресной строке также может указывать на безопасность страницы. Также будьте осторожны при загрузке чего-либо на свое мобильное устройство. Вы можете доверять Google Play Store или Apple App Store, в зависимости от вашего устройства.
  • Использование VPN-сервисов в общедоступных сетях Wi-Fi: Добросовестное использование общедоступных сетей Wi-Fi - разумная мера защиты от программ-вымогателей.При использовании общедоступной сети Wi-Fi ваш компьютер более уязвим для атак. Чтобы оставаться в безопасности, избегайте использования общедоступного Wi-Fi для конфиденциальных транзакций или используйте безопасный VPN-сервис.

Программное обеспечение для защиты от программ-вымогателей - в чем преимущества?

В дополнение к этим мерам по предотвращению заражения важно также использовать соответствующее программное обеспечение для защиты от программ-вымогателей. Например, использование антивирусных сканеров и фильтров содержимого на ваших почтовых серверах - это разумный способ предотвратить программы-вымогатели.Эти программы снижают риск попадания в ваш почтовый ящик спама с вредоносными вложениями или зараженными ссылками.

Решения безопасности в Интернете , такие как Kaspersky Internet Security , также должны быть установлены. Это программное обеспечение способно блокировать зараженные файлы при загрузке или потоковой передаче чего-либо, обеспечивая тем самым защиту в реальном времени. Это предотвращает заражение вашего компьютера программами-вымогателями и сдерживает киберпреступников. Kaspersky также предлагает специальный инструмент для защиты от программ-вымогателей , который может оказать дополнительную помощь.Этот инструмент помогает обнаруживать и блокировать программы-вымогатели, выполняя сканирование и защищая ваши данные как от локальных, так и от удаленных атак программ-вымогателей.

Если вы установили правильное программное обеспечение, вы уже сделали большой шаг в правильном направлении. Регулярно обновляйте свое решение для обеспечения безопасности в Интернете, чтобы использовать самые лучшие и новейшие средства защиты, которые оно может предложить. Каждое обновление содержит последние исправления безопасности и улучшает защиту от программ-вымогателей.

Защита данных - нейтрализовать угрозу худшего сценария

На что обращать внимание при создании резервных копий

Убедитесь, что ваши данные всегда защищены резервными копиями на случай, если ваш компьютер будет заражен программой-вымогателем и расшифровка будет невозможна.Используйте внешний жесткий диск и обязательно отключите его от компьютера после создания резервной копии. Если ваш жесткий диск подключен, когда программа-вымогатель становится активной, данные на диске также будут зашифрованы. Таким образом следует регулярно выполнять резервное копирование данных.

Программа резервного копирования - защита или угроза?

Если вы не хотите защищать свои данные вручную, вы можете использовать так называемое программное обеспечение резервного копирования . Но и здесь нужно проявлять осторожность.Это потому, что некоторые «средства безопасности» также могут оказаться троянами. Создание резервных копий - это основная задача программного обеспечения резервного копирования, что означает, что оно имеет доступ ко всем файлам и множество привилегий.

Программное обеспечение

обычно напрямую связано с провайдером, поэтому киберпреступники могут легко добавить дополнительные функции и команды. Они могут быть вредными и могут не распознаваться пользователем. Чтобы избежать такой ситуации, следует быть очень осторожным при поиске подходящего программного обеспечения для резервного копирования.Некоторые решения безопасности, такие как Kaspersky Total Security Tool , уже предлагают плагинов , которые могут создавать резервные копии. Используя этот вид подключаемого модуля, вам не нужно искать сторонних поставщиков.

Защита от программ-вымогателей - на что стоит обратить внимание компаниям

Атаки программ-вымогателей ни в коем случае не представляют собой угрозу только для отдельных лиц. Фактически, компании тоже часто становятся мишенью. Жертвами программ-вымогателей становятся не только крупные прибыльные компании; малые и средние предприятия (МСП) также становятся мишенью.У них обычно плохие системы безопасности, и поэтому они особенно привлекательны для злоумышленников. Ниже приведен список факторов, которые следует учитывать компаниям, желающим избежать заражения программами-вымогателями.

  • Всегда будьте в курсе с новейшим операционным программным обеспечением - в том числе и в корпоративной среде. Прошлый опыт показывает (например, WannaCry 2017), что компании, пренебрегающие этой областью, особенно уязвимы для атак программ-вымогателей.
  • Повысьте осведомленность сотрудников - человек, который знает, на что обращать внимание, будет более эффективно противостоять атакам.Внедрите протокол безопасности, который позволяет сотрудникам оценивать надежность вложения, ссылки или сообщения электронной почты.
  • Будьте готовы - убедитесь, что есть план на случай заражения программой-вымогателем.
  • Рассмотрите возможность использования облачных технологий , если вы еще этого не сделали. Преимущество перед локальными системами состоит в том, что уязвимости в облачных архитектурах труднее использовать. Кроме того, облачные хранилища позволяют восстанавливать старые версии ваших файлов.Это означает, что если файлы зашифрованы программой-вымогателем, вы сможете вернуться к незашифрованной версии с помощью облачного хранилища.
  • Резервное копирование - даже в бизнес-средах важно всегда выполнять резервное копирование критически важных бизнес-данных на внешние устройства. Ответственность за эту важную задачу должна быть четко указана и доведена до сведения.

Программы-вымогатели сегодня - разработка вредоносных программ

Хотя основная концепция атак программ-вымогателей - шифрование данных и вымогательство выкупа - остается неизменной, киберпреступники регулярно меняют методы своей работы.

  • От PayPal к биткойнам - поскольку их труднее отследить, киберпреступники теперь требуют выкупа в биткойнах. В прошлом для этой цели в основном использовался PayPal.
  • Распространение - изначально основной атакой считались спам-письма. Хотя сегодня они не утратили своей актуальности, уязвимости VPN и их распространение через ботнеты также стали обычным явлением.

Подобно тому, как киберпреступники стимулируют разработку программ-вымогателей, защита от программ-вымогателей развивается, становясь все более эффективной и действенной.

Заключение

Как и другие виды вредоносных программ, осторожных действий и использование превосходного программного обеспечения безопасности - это шаг в правильном направлении, когда дело доходит до борьбы с программами-вымогателями. Особое значение в отношении этого типа вредоносных программ имеет создание резервных копий , так как это позволяет хорошо подготовиться даже в худшем случае. Если вы стали жертвой атаки программы-вымогателя, несмотря на эти превентивные и защитные меры, вы можете найти дополнительную информацию здесь о том, как избавиться от вредоносного программного обеспечения.

Статьи по теме:

Защита от программ-вымогателей: как обезопасить данные в 2021 году

Kaspersky

Что делает программа-вымогатель и как я могу защитить себя? Узнайте, как защитить свой компьютер с помощью сканеров программ-вымогателей

Программа-вымогатель: 11 шагов, которые следует предпринять для защиты от бедствий

Программа-вымогатель продолжает оставаться одной из самых больших угроз в Интернете.Нажатия на неправильную ссылку может быть достаточно, чтобы запустить последовательность событий, которая заканчивается тем, что все ваши данные зашифровываются мошенниками, которые разблокируют их только в обмен на крупный выкуп - обычно в биткойнах или другой трудно отслеживаемой криптовалюте. .

Преступные банды вымогателей хорошо финансируются (благодаря всем этим выкупам биткойнами) и используют все более изощренную тактику. Только мошенники низкого уровня заинтересованы в шифровании компьютеров по одному: большие банды ищут лазейки в корпоративных сетях, а затем исследуют их, пока не будут готовы вызвать максимальный хаос (и большую зарплату), зашифровав как можно больше устройств в одном. идти.

Не только преступные группировки заметили силу программ-вымогателей: поддерживаемые государством хакерские группы также использовали программы-вымогатели для создания хаоса и получения прибыли для своих покровителей.

Мы наблюдаем гонку вооружений между мошенниками, ищущими новые способы взлома систем, и предприятиями, пытающимися восполнить все бреши в своей защите.

Этот уровень угрозы означает, что невозможно полностью защитить себя или свой бизнес от программ-вымогателей или любого другого вредоносного ПО.Но есть ряд шагов, которые вы можете предпринять, чтобы минимизировать поверхность атаки.

Getty Images / iStockphoto

11. УБЕДИТЕСЬ, ЧТО СВОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ АНТИВИРУСА СОВЕРШЕННО.

Это кажется очевидным, но иногда это игнорируется небольшими организациями. Многие антивирусные пакеты теперь предлагают функции обнаружения программ-вымогателей или надстройки, которые пытаются обнаружить подозрительное поведение, характерное для всех программ-вымогателей: шифрование файлов.Эти приложения отслеживают ваши файлы на предмет неожиданного поведения - например, странного нового программного обеспечения, пытающегося зашифровать их все - и стремятся предотвратить это. Некоторые пакеты безопасности даже делают копии файлов, которым угрожает программа-вымогатель.

10. ПОНИМАТЬ, ЧТО ПРОИСХОДИТ В СЕТИ

Существует множество связанных инструментов безопасности - от систем предотвращения и обнаружения вторжений до пакетов информации о безопасности и управления событиями (SIEM), которые могут дать вам представление о трафике. в вашей сети.Эти продукты могут дать вам актуальное представление о вашей сети и должны помочь вам определить виды аномалий трафика, которые могут указывать на то, что вы были взломаны хакерами, независимо от того, намерены ли они заразить ваши системы программами-вымогателями или имеют что-то еще в виду. Если вы не видите, что происходит в сети, вы не можете остановить атаку.

Getty Images / iStockphoto

9.СКАНИРУЙТЕ И ФИЛЬТРУЙТЕ ЭЛЕКТРОННЫЕ ПИСЬМА ДО того, как они дойдут до ваших пользователей

Самый простой способ запретить сотрудникам переходить по ссылке, содержащейся в сообщении с программой-вымогателем, - это сделать так, чтобы письмо никогда не приходило в их почтовый ящик. Это означает использование сканирования содержимого и фильтрации электронной почты, которые должны устранить множество случаев фишинга и мошенничества с программами-вымогателями, прежде чем они действительно достигнут сотрудников.

Getty Images / iStockphoto

8.СОСТАВЬТЕ ПЛАН ОТВЕТОВ НА АТАКУ С ПОМОЩЬЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ПРОВЕРЬТЕ ЕГО

План восстановления, охватывающий все типы технических сбоев, должен быть стандартной частью бизнес-планирования и должен включать ответ на программы-вымогатели. Это не только технический ответ - очистка ПК и переустановка данных из резервных копий, но и более широкий бизнес-ответ, который может потребоваться. Следует подумать о том, как объяснить ситуацию клиентам, поставщикам и прессе. Подумайте, нужно ли уведомлять регулирующие органы, или вам следует вызывать полицию или страховщиков.Недостаточно иметь документ: вам также необходимо проверить сделанные вами предположения, потому что некоторые из них будут ошибочными.

Getty Images / iStockphoto

7. ДУМАЙТЕ ОЧЕНЬ ДОЛГО И ТРУДНО, ПРЕЖДЕ ЧЕМ ВЫ ПЛАТИТЬ ВЫКУП

Мошенники-вымогатели пробрались сквозь вашу защиту, и теперь каждый компьютер в компании зашифрован. Вы можете восстановить данные из резервных копий, но это займет несколько дней, а преступникам нужно всего несколько тысяч долларов.Пора платить?

Для некоторых это может быть очевидным выводом. Если злоумышленникам нужна только относительно небольшая сумма, то в краткосрочной перспективе может иметь смысл заплатить с точки зрения бизнеса, потому что это означает, что бизнес может быстро заработать и снова заработать. Однако есть причины, по которым вы можете не платить.

SEE: 10 советов для новых профессионалов в области кибербезопасности (бесплатный PDF)

Во-первых, нет никакой гарантии, что преступники передадут ключ шифрования, когда вы заплатите - в конце концов, они мошенники.Если ваша организация будет готова платить, это, вероятно, будет способствовать увеличению числа атак со стороны той же группы или других лиц. Также следует учитывать более широкое влияние. Выплата выкупа из собственных средств или через киберстрахование означает вознаграждение этих банд за их поведение. Это будет означать, что они получат еще большее финансирование и смогут проводить еще более изощренные кампании против вас или других организаций. Это может избавить вас от боли в краткосрочной перспективе, но уплата выкупа только разжигает эпидемию программ-вымогателей.

Getty Images / iStockphoto

6. ПОНИМАЙТЕ, ЧТО ЯВЛЯЮТСЯ САМОЕ ВАЖНЫМИ ДАННЫМИ, И СОЗДАЙТЕ ЭФФЕКТИВНУЮ СТРАТЕГИЮ РЕЗЕРВНОГО КОПИРОВАНИЯ

Наличие безопасных и актуальных резервных копий всей критически важной для бизнеса информации является жизненно важной защитой, особенно от программ-вымогателей. В том случае, если программа-вымогатель взламывает некоторые устройства, наличие последней резервной копии означает, что вы можете восстановить эти данные и снова начать работу.Но очень важно понимать, где на самом деле хранятся критически важные для бизнеса данные. Хранятся ли важные данные финансового директора в электронной таблице на его рабочем столе, а не в облаке, как вы думали? Бесполезно иметь резервную копию, если вы создаете резервную копию не того материала или создаете резервную копию настолько редко, что это бесполезно.

5. ПОНИМАТЬ, ЧТО ПОДКЛЮЧЕНО К ВАШЕЙ СЕТИ

ПК и серверы могут находиться там, где хранятся ваши данные, но это не единственные устройства, о которых вам нужно беспокоиться.Благодаря офисному Wi-Fi, Интернету вещей и работе из дома, теперь к корпоративной сети подключается большое количество разнообразных устройств, многие из которых не будут иметь той встроенной защиты, которую вы ожидаете от корпоративного устройства. . Чем больше устройств, тем выше риск того, что кто-то предложит хакерам бэкдор в вашу сеть, а затем воспользуется этим доступом для перехода через ваши системы к более прибыльным целям, чем плохо защищенный принтер или умный торговый автомат. Также подумайте, у кого еще есть доступ к вашим системам: осведомлены ли ваши поставщики о потенциальном риске программ-вымогателей и других вредоносных программ?

4.СДЕЛАЙТЕ ПУТЕШЕСТВИЕ ПО СЕТИ

Банды программ-вымогателей все чаще ищут максимально возможную зарплату. Шифрование данных на одном ПК не сделает их богатыми, поэтому они, скорее всего, получат доступ к сети, а затем широко исследуют, чтобы распространить свое вредоносное ПО как можно дальше, прежде чем нажать на спусковой крючок и все зашифровать. Сделайте это сложнее, сегментируя сети, а также ограничивая и защищая количество учетных записей администраторов, которые имеют широкий доступ.Известно, что фишинговые атаки нацелены на разработчиков просто потому, что они имеют широкий доступ к нескольким системам.

Getty Images / iStockphoto

3. ОБУЧАЙТЕ ПЕРСОНАЛ УЗНАВАТЬ ПОДОЗРИТЕЛЬНЫЕ ЭЛЕКТРОННЫЕ ПОЧТЫ

Один из классических способов проникновения программ-вымогателей в вашу организацию - электронная почта. Это связано с тем, что рассылка вредоносного ПО на тысячи адресов электронной почты - дешевый и простой способ для банд вымогателей попытаться распространить вредоносное ПО.Несмотря на базовый характер этой тактики, она по-прежнему удручающе эффективна.

SEE: Кризис программ-вымогателей станет намного хуже

Обучение персонала распознаванию подозрительных электронных писем может помочь защитить от программ-вымогателей и других рисков, связанных с электронной почтой, таких как фишинг. Основное правило: не открывайте электронные письма от отправителей, которых вы не знаете. И не нажимайте на ссылки в электронном письме, если вы не совсем уверены, что это законно. По возможности избегайте вложений и остерегайтесь вложений, которые просят вас включить макросы, поскольку это классический путь к заражению вредоносным ПО.Рассмотрите возможность использования двухфакторной аутентификации в качестве дополнительного уровня безопасности.

Getty Images / iStockphoto

2. ИЗМЕНЕНИЕ ПАРОЛЕЙ ПО УМОЛЧАНИЮ ВО ВСЕХ ТОЧКАХ ДОСТУПА

Нажатие на плохую ссылку в электронном письме, вероятно, самый известный способ заражения вредоносным ПО, но далеко не единственный. Согласно исследованию F-Secure, почти треть программ-вымогателей была распространена с помощью грубой силы и атак по протоколу удаленного рабочего стола (RDP).Атаки методом грубой силы - это попытки хакеров получить доступ к серверам и другим устройствам, пытаясь как можно больше паролей, обычно с помощью ботов, в надежде сорвать джекпот.

SEE: Выигрышная стратегия кибербезопасности (специальный отчет ZDNet) | Загрузить отчет в формате PDF (TechRepublic)

Поскольку многие компании не могут изменить пароли по умолчанию или использовать легко угадываемые комбинации, атаки методом грубой силы регулярно оказываются эффективными.RDP позволяет удаленно управлять компьютерами и является еще одним распространенным способом атак программ-вымогателей. Есть шаги, которые вы предпринимаете для снижения риска атаки через RDP, от обеспечения использования надежных паролей до изменения порта RDP и ограничения его доступности только для устройств, которые действительно в нем нуждаются.

Изображение: F-Secure

1. ПРИМЕНЯЙТЕ ПАТЧИ ДЛЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ЧТОБЫ ПОДДЕРЖИВАТЬ СИСТЕМУ ДО ДЕЙСТВИЯ

Исправление недостатков программного обеспечения - болезненная, трудоемкая и утомительная работа.Это также жизненно важно для вашей безопасности. Банды вредоносных программ воспользуются любыми уязвимостями программного обеспечения и попытаются использовать их для проникновения в сети, прежде чем компании успеют протестировать и развернуть исправления. Классическим примером того, что происходит, если вы не устанавливаете патч достаточно быстро, является WannaCry. Эта программа-вымогатель вызвала хаос летом 2017 года, в том числе серьезно нарушила работу Национальной службы здравоохранения Великобритании. Патч для базового эксплойта протокола Windows Server Message Block, который позволил WannaCry распространиться так далеко, был выпущен за несколько месяцев до атаки вымогателя.Но недостаточно организаций применили исправление к своей инфраструктуре, и было заражено более 300 000 компьютеров. Это урок, который многим организациям еще предстоит усвоить: каждый третий ИТ-специалист признал, что его организация была взломана в результате незащищенной уязвимости, согласно опросу, проведенному компанией по безопасности Tripwire.

Getty Images / iStockphoto

БОНУСНЫЙ СОВЕТ: НЕ ПОДКЛЮЧАЙТЕ ЭТУ СЛУЧАЙНУЮ USB-ПАКЕТУ...

... ну знаете, ту, которую вы нашли на улице возле офиса.

Серьезно, мы еще должны предупреждать об этом?

Защита от программ-вымогателей | CISA

Что такое программы-вымогатели?

Программы-вымогатели - это тип вредоносных программ, используемых злоумышленниками для заражения компьютеров и шифрования компьютерных файлов до уплаты выкупа. (Дополнительные сведения о вредоносных программах см. В разделе «Защита от вредоносного кода».) После первоначального заражения программа-вымогатель попытается распространиться на подключенные системы, включая общие накопители и другие доступные компьютеры.

Если требования злоумышленника о выкупе не выполняются (т. Е. Если жертва не платит выкуп), файлы или зашифрованные данные обычно остаются зашифрованными и недоступными для жертвы. Даже после уплаты выкупа за разблокировку зашифрованных файлов злоумышленники иногда требуют дополнительных платежей, удаляют данные жертвы, отказываются расшифровать данные или отказываются предоставить рабочий ключ дешифрования для восстановления доступа жертвы. Федеральное правительство не поддерживает оплату требований программ-вымогателей.(См. Статью ФБР о программах-вымогателях.)

Как работают программы-вымогатели?

Программа-вымогатель идентифицирует диски в зараженной системе и начинает шифровать файлы на каждом диске. Программа-вымогатель обычно добавляет расширение к зашифрованным файлам, например .aaa , .micro , .encrypted , .ttt , .xyz , .zzz , .locky , .crypt , .cryptolocker , .vault или .petya , чтобы показать, что файлы были зашифрованы - используемое расширение файла уникально для типа вымогателя.

После завершения шифрования файлов программа-вымогатель создает и отображает файл или файлы, содержащие инструкции о том, как жертва может заплатить выкуп. Если жертва платит выкуп, злоумышленник может предоставить криптографический ключ, который жертва может использовать для разблокировки файлов, делая их доступными.

Как доставляется программа-вымогатель?

Программы-вымогатели обычно доставляются через фишинговые сообщения электронной почты или через «скрытые загрузки». Фишинговые электронные письма часто выглядят так, как если бы они были отправлены законной организацией или кем-то, кто известен жертве, и побуждают пользователя щелкнуть вредоносную ссылку или открыть вредоносное вложение.«Попутная загрузка» - это программа, которая автоматически загружается из Интернета без согласия пользователя или часто без его ведома. Возможно, вредоносный код запустится после загрузки без вмешательства пользователя. После запуска вредоносного кода компьютер заражается программой-вымогателем.

Что я могу сделать, чтобы защитить свои данные и сети?

  • Создайте резервную копию вашего компьютера. Регулярно выполняйте резервное копирование системы и других важных файлов и регулярно проверяйте резервные копии.Если ваш компьютер заражен программой-вымогателем, вы можете восстановить свою систему до ее предыдущего состояния с помощью резервных копий.
  • Храните резервные копии отдельно. Рекомендуется хранить резервные копии на отдельном устройстве, к которому нельзя получить доступ из сети, например на внешнем жестком диске. После завершения резервного копирования обязательно отключите внешний жесткий диск или отключите устройство от сети или компьютера. (См. Страницу Института программной инженерии о программах-вымогателях).
  • Обучите свою организацию. Организации должны гарантировать, что они проводят обучение своего персонала по вопросам кибербезопасности. В идеале организации должны проводить регулярные обязательные тренинги по повышению осведомленности о кибербезопасности, чтобы их персонал был проинформирован о текущих угрозах кибербезопасности и методах злоумышленников. Чтобы повысить осведомленность сотрудников, организации могут тестировать свой персонал с помощью оценок фишинга, имитирующих реальные фишинговые электронные письма.

Что я могу сделать, чтобы предотвратить заражение программами-вымогателями?

  • Обновите и исправьте свой компьютер. Убедитесь, что ваши приложения и операционные системы (ОС) обновлены последними исправлениями. Уязвимые приложения и ОС являются целью большинства атак программ-вымогателей. (См. Общие сведения об исправлениях и обновлениях программного обеспечения.)
  • Будьте осторожны с ссылками и при вводе адресов веб-сайтов. Будьте осторожны, нажимая прямо на ссылки в сообщениях электронной почты, даже если отправителем оказывается кто-то из ваших знакомых. Попытайтесь самостоятельно проверить адреса веб-сайтов (например, обратитесь в службу поддержки вашей организации, поищите в Интернете веб-сайт организации-отправителя или тему, указанную в электронном письме).Обратите внимание на адреса веб-сайтов, на которые вы нажимаете, а также на те, которые вы вводите сами. Адреса вредоносных веб-сайтов часто выглядят почти идентичными законным сайтам, часто с небольшими вариациями в написании или с другим доменом (например, .com вместо .net ). (См. Раздел «Осторожно» с вложениями электронной почты.)
  • Осторожно открывайте вложения электронной почты. С осторожностью открывайте вложения электронной почты даже от отправителей, которых вы думаете, что знаете, особенно если вложения представляют собой сжатые файлы или файлы ZIP.
  • Храните вашу личную информацию в безопасности. Прежде чем предоставлять информацию, проверьте безопасность веб-сайта и убедитесь, что отправляемая вами информация зашифрована. (См. Защита вашей конфиденциальности.)
  • Проверьте отправителей электронной почты. Если вы не уверены, является ли электронное письмо законным, попробуйте проверить его подлинность, связавшись напрямую с отправителем. Не нажимайте ни на какие ссылки в письме. Если возможно, используйте предыдущий (законный) адрес электронной почты, чтобы убедиться, что имеющаяся у вас контактная информация об отправителе является подлинной, прежде чем связываться с ним.
  • Информируйте себя. Будьте в курсе последних угроз кибербезопасности и новейших методов вымогателей. Вы можете найти информацию об известных фишинговых атаках на веб-сайте Anti-Phishing Working Group. Вы также можете подписаться на уведомления о продуктах CISA, которые будут предупреждать вас, когда будет опубликовано новое предупреждение, аналитический отчет, бюллетень, текущая активность или совет.
  • Используйте и поддерживайте профилактические программы. Установите антивирусное программное обеспечение, брандмауэры и фильтры электронной почты и постоянно обновляйте их, чтобы уменьшить вредоносный сетевой трафик.(См. Раздел Общие сведения о брандмауэрах для дома и малого офиса.)

Как мне реагировать на заражение программой-вымогателем?

  • Изолируйте зараженную систему. Удалите зараженную систему из всех сетей и отключите на компьютере беспроводную связь, Bluetooth и любые другие потенциальные сетевые возможности. Убедитесь, что все общие и сетевые диски отключены, будь то проводные или беспроводные.
  • Выключите другие компьютеры и устройства. Отключение и разделение (т.е. удалите из сети) зараженный компьютер (ы). Отключите и отделите любые другие компьютеры или устройства, которые совместно с зараженными компьютерами используют сеть, которая не была полностью зашифрована программой-вымогателем. Если возможно, соберите и защитите все зараженные и потенциально зараженные компьютеры и устройства в централизованном хранилище, четко пометив все компьютеры, которые были зашифрованы. Отключение и разделение зараженных компьютеров и компьютеров, которые не были полностью зашифрованы, может позволить специалистам восстановить частично зашифрованные файлы.(См. Перед подключением нового компьютера к Интернету, чтобы получить советы о том, как сделать компьютер более безопасным, прежде чем повторно подключать его к сети.)
  • Защитите свои резервные копии. Убедитесь, что данные резервного копирования находятся в автономном режиме и в безопасности. Если возможно, просканируйте данные резервной копии с помощью антивирусной программы, чтобы убедиться, что они не содержат вредоносных программ.

Что мне делать, если мой компьютер заражен программой-вымогателем?

Что мне делать для защиты от программ-вымогателей?

Инфекции могут быть разрушительными для человека или организации, а восстановление может быть трудным процессом, который может потребовать услуг авторитетного специалиста по восстановлению данных.

US-CERT рекомендует пользователям и администраторам принимать следующие превентивные меры для защиты своих компьютерных сетей от заражения программами-вымогателями:

  • Используйте план резервного копирования и восстановления всей важной информации. Выполняйте и тестируйте регулярное резервное копирование, чтобы ограничить влияние потери данных или системы и ускорить процесс восстановления. Обратите внимание, что на резервные копии, подключенные к сети, также могут повлиять программы-вымогатели; критические резервные копии должны быть изолированы от сети для оптимальной защиты.
  • Держите свою операционную систему и программное обеспечение в актуальном состоянии с помощью последних исправлений. Уязвимые приложения и операционные системы являются объектами большинства атак. Обеспечение их исправления последними обновлениями значительно сокращает количество уязвимых точек входа, доступных злоумышленнику.
  • Поддерживайте актуальное антивирусное программное обеспечение и проверяйте все программное обеспечение, загруженное из Интернета, перед запуском.
  • Ограничить возможность (разрешения) пользователей устанавливать и запускать нежелательные программные приложения и применять принцип «наименьших прав» ко всем системам и службам.Ограничение этих привилегий может помешать запуску вредоносного ПО или ограничить его способность распространяться по сети.
  • Избегайте включения макросов из вложений электронной почты. Если пользователь открывает вложение и включает макросы, встроенный код выполнит вредоносное ПО на машине.
  • Не переходите по нежелательным веб-ссылкам в электронных письмах. Обратитесь к фишинговым ресурсам на этом веб-сайте для получения дополнительной информации.

Физическим лицам или организациям не рекомендуется платить выкуп, поскольку это не гарантирует, что файлы будут выпущены.Однако ФБР сообщило, что, если задействованы Cryptolocker, Cryptowall или другие сложные формы вымогателей, жертва не сможет вернуть свои данные, не заплатив выкуп.

Как защитить свои файлы от программ-вымогателей

Перемещайтесь с вирусами, избегайте червей: программы-вымогатели находятся в центре внимания и не собираются отказываться от них. От разрушения целых топливопроводов до захвата больничных сетей - это настоящая кибератака. Мало того, что у вас есть потенциально катастрофические последствия блокировки ваших самых важных файлов и систем, вы также должны решить, готовы ли вы заплатить холодную, твердую наличность, чтобы снова получить к ним доступ, , если вы даже получите доступ после оплаты.

Отсюда и название - атаки программ-вымогателей буквально удерживают ваши данные для получения выкупа. Есть несколько вариаций этой темы, но обычно она очень узнаваема. Вредоносные программы используются для шифрования ваших файлов (в некоторых случаях даже для двойного шифрования), поэтому для их разблокировки требуется определенный ключ. Ущерб может быстро распространиться по компьютерам и сетям. В некоторых случаях ваша система может быть полностью заблокирована вместе с любыми другими системами в той же сети.

Программы-вымогатели несложно разработать или развернуть, и это выгодно.Вначале это была проблема для домашних пользователей, но теперь она распространилась и превратилась в проблему для бизнеса, и в последнее время несколько громких атак были нацелены на правительственные учреждения и инфраструктурные компании. Угроза очень реальна, независимо от того, кто вы - так как же от нее защититься?

Защита вашего компьютера от программ-вымогателей на самом деле мало чем отличается от защиты от любых других вредоносных программ, и применяются очень похожие правила. Атака программы-вымогателя невозможна без определенного доступа к вашей системе, который обычно достигается через мошенническое приложение - будьте осторожны при загрузке или открытии любых файлов из Интернета или вашей электронной почты, если вы не уверены в их источнике.

Хакеры теперь используют различные методы социальной инженерии, такие как подделка электронного письма, которое выглядит как срочное послание от вашего начальника, чтобы попытаться заставить вас установить то, что вам не следует, или загрузить файлы, которые, по вашему мнению, являются вложениями, но не т. Подумайте еще раз, прежде чем открывать и запускать что-либо на вашем компьютере, особенно если это приходит без предупреждения.

Windows и macOS

Снимок экрана: Дэвид Нилд через Microsoft

Программа-вымогатель не всегда должна заставлять вас что-то устанавливать: иногда она может распространяться сама по себе, используя дыры в безопасности в законном программном обеспечении, которое не было должным образом обновлено или исправлено.Это одна из причин, по которой вам, как правило, следует устанавливать на свой компьютер как можно меньше программ и придерживаться тех разработчиков, которым можно доверять, чтобы они обеспечивали безопасность своих приложений и своевременно предоставляли необходимые обновления безопасности.

Помимо осторожности в отношении того, что вы делаете на своем компьютере, и программ, которым вы предоставляете доступ, применяются три стандартных правила безопасности системы: Обновление, защита и резервное копирование . Все вредоносные программы, включая программы-вымогатели, часто используют старое или неустановленное программное обеспечение, поэтому жизненно важно, чтобы все, что запущено на вашем компьютере (и да, включая пользователей Windows и MacOS), было обновлено по крайней мере с последними обновлениями безопасности.

Эти назойливые обновления операционной системы раздражают по какой-то причине - очень важно, чтобы вы установили их. Хорошая новость заключается в том, что обновления программного обеспечения настолько важны для безопасности, что большинство программ обрабатывает их автоматически и в фоновом режиме. Например, Google Chrome загружает обновления самостоятельно, и вы увидите цветной значок на панели инструментов, когда требуется обновление. (По мере того, как обновление становится более срочным, он становится ближе к красному.)

Что это такое и как вы можете защитить себя

Офисный служащий проверяет свою электронную почту, видит сообщение, которое выглядит важным, и нажимает на ссылку.Позже на экране его компьютера появляется сообщение о том, что его система - и все файлы в ней - заблокированы. У него есть 72 часа, чтобы заплатить выкуп, чтобы разблокировать его, иначе файлы будут потеряны навсегда.

Хотя сообщения и методы различаются, типичный сценарий атаки с использованием программ-вымогателей имеет одни и те же общие элементы: вредоносное ПО, которое предотвращает доступ пользователя к зараженной системе, и требование оплаты. К сожалению, в наши дни такой сценарий разыгрывается все чаще и чаще.

Программа-вымогатель, возможно, является одним из самых опасных типов компьютерного вредоносного ПО из-за того, как оно работает и как влияет на своих жертв, но, несмотря на все предупреждения, многие пользователи по-прежнему становятся жертвами этого типа угроз.Но что такое программа-вымогатель на самом деле? Когда большинство людей думают о компьютерной безопасности или конфиденциальности, на ум приходят обычные подозреваемые - вредоносные программы, такие как трояны, черви и регистраторы нажатия клавиш, которые крадут учетные данные для получения доступа к онлайн-учетным записям и корпоративным сетям.

Программа-вымогатель - это тип вредоносного ПО, которое блокирует экран вашего компьютера и не позволяет вам получить доступ к файлам до тех пор, пока вы не заплатите определенную плату или «выкуп», что предполагает передачу вашего пароля или денег анонимному злоумышленнику. В прошлом программы-вымогатели были разработаны для отключения ваших систем путем блокировки экранов компьютеров с предупреждением, требующим оплаты.Они существуют уже давно и приняли множество различных форм, но, как и любое другое успешное начинание, программы-вымогатели также превратились в ряд новых, более опасных вариантов.

В 2013 году появился новый тип программ-вымогателей, названный шифровальщиками-вымогателями. Примером этого является CryptoLocker, вариант, который не только блокирует систему своей жертвы, но и шифрует файлы. Это необходимо для гарантии того, что жертва все равно заплатит, даже если сама вредоносная программа была удалена. Спустя годы были обнаружены более распространенные варианты, такие как Curve-Tor-Bitcoin (CTB) Locker, которые, как и другие новые варианты вымогателей, шифруют файлы жертв.Однако вместо того, чтобы отбрасывать инструкции по расшифровке файлов, он отображает большое диалоговое окно, предлагающее пользователю ввести идентификатор транзакции.

Недавно мы стали свидетелями добавления новых «функций» в CTB Locker, таких как услуга «бесплатного дешифрования» (разработанная, чтобы доказать, что стоит заплатить), продленный срок для расшифровки файлов (в конце концов, злоумышленник ничего не получит, если никто не заплатит выкуп по истечении крайнего срока), а также возможность изменить язык сообщения и инструкций с требованием выкупа.Новые приманки приходят через спам-электронные письма, симулирующие важные обновления и уведомления от популярных сервисов, таких как Google Chrome и Facebook.

[Подробнее: Нет простых решений для крипто-вымогателей ]

Как работает программа-вымогатель?

Программа-вымогатель иногда представляет собой поддельный установщик антивируса и полагается на уловки социальной инженерии, чтобы заманить или запугать пользователей, заставляя их нажимать на ссылки или предоставлять учетные данные своей учетной записи.Человек может непреднамеренно загрузить и установить программу-вымогатель, открыв зараженный файл с вредоносной электронной почты или веб-сайта. Характер атаки программы-вымогателя во многом зависит от мотивов злоумышленника. По сути, злоумышленник создает код, предназначенный для захвата компьютера и перехвата файлов. После запуска в системе программа-вымогатель может либо заблокировать экран компьютера, либо зашифровать заранее определенные файлы.

В первом контексте зараженная система будет отображать полноэкранное изображение или уведомление, которое не позволяет жертвам использовать свои компьютеры, если не будет уплачен выкуп.Сообщение также включает инструкции о том, как пользователи могут платить. Во втором сценарии злоумышленник дает жертве ограничение по времени для оплаты заблокированных файлов, документов, электронных таблиц и других важных файлов. Однако оплата не гарантирует доступа к зараженной системе. Более того, зараженные системы рискуют стать непригодными для использования, поскольку после шифрования файлов средства защиты от вредоносных программ могут удалить только вариант вредоносного ПО из системы, но по-прежнему оставляют зашифрованные файлы непригодными для использования.

Сумма выкупа варьируется от минимальной суммы до сотен долларов и выплачивается с помощью онлайн-способов оплаты.Злоумышленник по-прежнему получает прибыль, независимо от того, насколько мизерна сумма, поскольку он может зарабатывать деньги на общем количестве зараженных компьютеров. Если пользователь не заплатит, злоумышленник может создать дополнительное вредоносное ПО для дальнейшего уничтожения файлов до тех пор, пока не будет выплачен выкуп.

[Подробнее: от заражения до процедур оплаты, посмотрите, как работает программа-вымогатель, в этой инфографике]

Что можно сделать, чтобы не стать жертвой программы-вымогателя?

Какими бы опасными ни были программы-вымогатели, простое знание последних тенденций в области программ-вымогателей и постоянное обновление может иметь большое значение для защиты ваших данных и систем.Вот полезные советы о том, как защитить себя от вероятного нападения.

Внимательно изучите электронные письма, прежде чем открывать их

Остерегайтесь писем из непроверенных источников. Вы можете проверить, связавшись напрямую с предполагаемым отправителем, чтобы подтвердить, отправили ли они сообщения.

Не нажимайте встроенные ссылки, обнаруженные в непроверенных электронных письмах
Такие уловки социальной инженерии могут привести к загрузке программы-вымогателя. Кроме того, будьте осторожны с сайтами, которые предлагают вам ввести код CAPTCHA, поскольку это может быть связано с атакой программы-вымогателя.Чтобы проверить его действительность, вы можете использовать бесплатные сервисы, такие как Trend Micro Site Safety Center, чтобы проверить репутацию сайта.

Резервное копирование важных файлов
Хотя профилактика всегда лучше лечения, наличие резервной копии важных файлов может по крайней мере уменьшить потенциальный ущерб, нанесенный атакой программы-вымогателя. Хотя отсутствие доступа к вашей собственной системе - это всегда плохо, по крайней мере, это не полная катастрофа, поскольку вы всегда можете получить свои важные файлы. Здесь применяется правило резервного копирования 3-2-1: три резервных копий ваших данных на двух разных носителях и одна из этих копий в отдельном месте.

[Подробнее: что, когда, где и почему нужно создавать резервные копии и как это делать]

Регулярно обновляйте программное обеспечение, программы и приложения
Обновление их до последних версий может обеспечить дополнительный уровень защиты от сетевых угроз, поскольку некоторые программы-вымогатели прибывают через эксплойты уязвимостей.

Используйте пакет многоуровневой защиты

Это поможет обнаружить угрозы до того, как они проникнут в вашу систему. Решения безопасности, такие как Trend Micro Security, могут блокировать опасные веб-сайты, включая вредоносные ссылки, обнаруженные на веб-сайтах, в социальных сетях, в электронной почте и мгновенных сообщениях, а также защищать от вирусов, фишинга и других сетевых угроз.

Для тех, кто имеет дело с заблокированными экранами из-за заражения программой-вымогателем, Trend Micro AntiRansomware Tool 3.0 можно запустить с USB-накопителя.

[Подробнее: просмотрите последние статьи и обновления на нашей странице о программах-вымогателях]

СКРЫТЬ

Нравится? Добавьте эту инфографику на свой сайт:
1. Щелкните поле ниже. 2. Нажмите Ctrl + A, чтобы выбрать все. 3. Нажмите Ctrl + C, чтобы скопировать.4. Вставьте код на свою страницу (Ctrl + V).

Изображение будет такого же размера, как вы видите выше.

Как предотвратить программы-вымогатели: основы

Согласно отчету Verizon Data Breach Report за 2019 год, программы-вымогатели являются второй по частоте атакой вредоносных программ после атак команд и управления (C2). Электронная почта по-прежнему является основным механизмом доставки всех вредоносных программ, включая программы-вымогатели. Так как же заставить пользователей перестать переходить по фишинговым ссылкам?

Совет от профессионала: нельзя.Люди будут делать человеческие дела. Таким образом, мы должны подойти к проблеме программ-вымогателей иначе. В этом посте мы рассмотрим основы программ-вымогателей и объясним, как автоматизированная система обнаружения и предотвращения, такая как Varonis, является способом предотвратить атаки программ-вымогателей из строя.

Хотите изучить основы работы с программами-вымогателями и заработать кредит CPE? Попробуйте наш бесплатный курс.

«Всего за час я научу вас основам работы с программами-вымогателями и научу, что вы можете сделать, чтобы защитить их и подготовиться к ним.”

Чтобы узнать больше о программах-вымогателях, посетите бесплатный курс Троя Ханта «Введение в программы-вымогатели». Стоит 1 CPE.

Что такое программы-вымогатели?

Программа-вымогатель - это вредоносная программа, которая шифрует данные целевой жертвы. Затем злоумышленник пытается заставить жертву заплатить выкуп за ключ для расшифровки их файлов.

Первый вымогатель появился в 1989 году, распространялся на дискетах и ​​требовал выкупа в размере 189 долларов.

В 2019 году город Балтимор подвергся атаке с использованием программ-вымогателей, восстановление которой обошлось примерно в 18 миллионов долларов.

Но как именно работает программа-вымогатель?

Как работает программа-вымогатель

Программа-вымогатель - это многоэтапная атака, которую злоумышленники упаковывают разными способами. Основы обычно такие же. Проникните в сеть цели, зашифруйте как можно больше данных, вымогайте выкуп.

1. Инфекция

Во-первых, злоумышленникам необходимо доставить вредоносное ПО к цели. Чаще всего это простая фишинговая атака с использованием вредоносных программ во вложенных файлах.Отсюда программа-вымогатель либо работает локально, либо пытается реплицироваться на другие компьютеры в сети.

2. Обмен ключами безопасности

Затем вредоносная программа обращается к злоумышленникам, чтобы сообщить им, что они заразили жертву, и получить криптографические ключи, необходимые программе-вымогателю для шифрования данных жертвы.

3. Шифрование

Теперь программа-вымогатель шифрует файлы жертвы. Он может начать с локального диска, а затем попытаться проверить сеть на наличие сопоставленных или открытых общих ресурсов для атаки.Программа-вымогатель CryptoWall удалила файлы теневого копирования тома, чтобы затруднить восстановление из резервной копии, и искала кошельки BitCoin, чтобы украсть. WannaCry использовала уязвимость EternalBlue для распространения на другие компьютеры и последующего шифрования.

4. Вымогательство

Жертва полностью pwnd, и злоумышленник отправляет записку с требованием выкупа. Обычно к ним прилагается некоторая цифра в долларах и ссылка на биткойн с сообщениями с угрозами, такими как «заплатите нам, или ваши данные получат это».

Стоит отметить, что криптовалюта позволила вымогателям стать прибыльной профессией.В настоящее время трудно измерить прибыльность преступной деятельности, но частота нападений указывает на то, что преступники видят преимущества в продолжении использования этих методов.

Недавно злоумышленники использовали угрозу раскрытия данных как часть своего плана вымогательства. Программа-вымогатель может не только зашифровать данные на месте, но и передать их злоумышленникам! Угроза заключается в том, заплатите нам или мы передадим ваши данные.

5. Разблокировка и восстановление

Наконец, платит ли жертва выкуп и надеется ли, что преступник будет честен и пришлет ключи дешифрования? Или жертва удаляет заражение вредоносным ПО и пытается вручную восстановить зашифрованные данные.

Злоумышленники обычно не доставляют ключи даже после того, как забрали деньги. Я знаю, это шокирует. Вот почему инцидент с вымогательством в городе Балтимор стоил так дорого, а восстановление заняло так много времени. Балтимор не платил, поэтому ИТ-персоналу приходилось восстанавливать те данные, которые они могли, и перестраивать те машины, которые они не могли.

План восстановления также должен учитывать угрозу выпуска данных. Но как помешать злоумышленнику раскрыть украденные данные? Ты не можешь. Это делает защиту и предотвращение программ-вымогателей гораздо более важными, чем использование резервных копий данных для восстановления.

Узнайте больше о том, как работают программы-вымогатели, в видео ниже - оно взято из нашего бесплатного введения в курс по программам-вымогателям, состоящего из 8 частей, который ведет Трой Хант.

Для воспроизведения видео требуется Adobe Flash Player.
Загрузите последнюю версию Flash Player или посмотрите это видео на YouTube.

Как защититься от программ-вымогателей: основные советы

При построении защиты от атак программ-вымогателей есть вещи, которые могут делать отдельные люди, и действия, которые могут сделать предприятия для предотвращения первоначального заражения.

Не нажимайте на ссылку!

Я знаю, я знаю, вы слышали это раньше. Но всегда стоит повторить. В 2019 году фишинговые электронные письма доставили большой процент вредоносных программ. Люди не перестанут нажимать на ссылку, и я знаю это, потому что щелкнул ссылку. Итак, как смертные люди, подверженные ошибкам, мы можем по крайней мере немного более скептически относиться к электронной почте. И, возможно, этот небольшой скептицизм снижает количество вредоносных программ, которые мы позволяем заражать наши компании. Загляните в наш блог «Анатомия фишингового письма», взорвите инфографику и разместите ее в своем офисе.

Создание средств защиты электронной почты и защиты конечных точек

Как предприятие, мы знаем, что люди будут переходить по ссылке.

  • Сканируйте все электронные письма на предмет известных штаммов вредоносных программ и обновляйте брандмауэры и средства защиты конечных точек с помощью последних известных сигнатур вредоносных программ.
  • Уведомлять пользователей о сообщениях электронной почты вне сети
  • Предоставление пользователям VPN для использования вне сети

Хранить резервные копии

Сохраняйте актуальные резервные копии важных данных как для предприятий, так и для личной защиты.Лучший и самый быстрый способ предотвратить появление программ-вымогателей - это быстрое повторное создание образа диска, а затем восстановление данных из последней надежной резервной копии - если только в результате атаки не были удалены данные, что является другой проблемой.

Защитите свою личную информацию

Люди генетически предрасположены доверять другим людям. Это одна из эволюционных причин огромного распространения нашего вида. Это базовое доверие - то, как менталисты могут заставить нас поверить, что это была наша идея сделать определенный выбор, или как злоумышленники заставляют нас раскрывать наши пароли или девичьи фамилии.

Опять же, будьте скептичны и следуйте протоколу, когда кто-то спрашивает вас о конфиденциальной информации. Это та же проблема, что и со ссылками, но это может быть реальное личное общение. Этот совет имеет двойное значение для пользователей C-Suite, которые являются целями китовых фишинговых кампаний.

Кто подвергается риску?

Технически каждый человек подвергается риску атаки программы-вымогателя. С экономической точки зрения, более изощренные атаки, похоже, нацелены на более крупные организации с большей платежеспособностью.Но не все атаки программ-вымогателей также являются целевыми. Некоторые злоумышленники используют методы ковровой бомбардировки и пытаются заразить как можно больше пользователей одновременно.

В итоге программы-вымогатели представляют реальную опасность для пользователей и организаций.

7 типов программ-вымогателей, которые необходимо знать

Злоумышленники постоянно разрабатывают новые виды программ-вымогателей, которые используют различные векторы атаки, такие как вредоносная реклама, черви-вымогатели и программы одноранговой передачи файлов.

Атаки программ-вымогателей не обязательно должны быть изощренными, чтобы быть эффективными.WannaCry и NotPetya использовали для распространения хорошо известную уязвимость, и они оказались суперэффективными.

И теперь есть даже программа-вымогатель как услуга, когда хакеры продают свое вредоносное ПО другим киберпреступникам, увеличивая частоту и охват программ-вымогателей. Авторы программ-вымогателей могут привлечь к регистрации любого, и обе стороны будут получать процент от прибыли.

Вот еще несколько видов программ-вымогателей и некоторые сведения о том, как они работают.

Шифрование

Первая и наиболее распространенная категория программ-вымогателей - это программы-вымогатели-шифровальщики.CryptoLocker и CryptoWall имеют репутацию надежных программ-вымогателей для шифрования. Шифрование - это процесс кодирования данных, поэтому их невозможно прочитать без соответствующего ключа. А чтобы расшифровать данные, вам понадобятся ключи. Есть два типа ключей: симметричный и открытый.

Симметричные ключи

Advanced Encryption Standard (AES), Rivest Cipher 4 (RC4) и Data Standard Encryption Standard (DES) являются примерами алгоритма с симметричным ключом. При шифровании с симметричным ключом один и тот же ключ используется как для шифрования, так и для дешифрования.Это эффективно только тогда, когда симметричный ключ хранится в секрете двумя вовлеченными сторонами.

Открытые ключи (асимметричный ключ)

Ривест, Шамир и Адлеман используют два разных ключа в своем знаменитом алгоритме RSA. Открытый ключ, к которому у каждого есть доступ, и закрытый ключ, которым управляет человек, с которым вы хотите общаться.

Взлом шифрования

Взлом методом грубой силы - попытка всех возможных комбинаций чисел для нахождения правильного ключа - алгоритм с симметричным ключом занимает от пары часов для маленького 20-битного ключа до миллионов лет для 128-битного ключа.

Теоретически можно взломать как открытые, так и симметричные ключи. Но рассчитывать на это не стоит. Современное шифрование слишком сложно даже для самых быстрых компьютеров.

Короче говоря, шансы грубой силы расшифровать файлы, пораженные атакой программы-вымогателя, находятся где-то между малым и нулевым и намного ближе к нулевому.

Удаление

При удалении злоумышленники угрожают и предупреждают: любая ваша попытка расшифровать файлы приведет только к «безвозвратной потере ваших данных.«Или, если вы не заплатите, файлы будут удалены. Популярные примеры удаления включают Gpcode и FileCoder.

Pro Совет: если ваши файлы «удалены» программой-вымогателем, они могут не быть перезаписаны на диске. Конечно, лучше всего выполнить восстановление из резервной копии, но если у вас нет резервной копии и вам нужно вернуть файлы, вы можете восстановить данные с диска.

Блокировка

Злоумышленники также создали новые экраны входа в систему или HTML-страницы, которые пытаются обмануть вас, заставляя думать, что копы преследуют вас, и вам нужно заплатить штраф или выполнить какое-то другое мошенничество.Они даже могли отключить сочетания клавиш, чтобы избавиться от экрана было сложно. Примеры включают Winlock и Urausy.

Совет от профессионалов: все, что появляется на вашем компьютере с просьбой о выплате денег, является мошенничеством.

Mobile Ransomware

И поскольку программы-вымогатели так хорошо работают на ПК, злоумышленники создали программы-вымогатели для атак на мобильные платформы. В основном это разновидность блокировки, поскольку шифрование мобильного устройства, для которого вы все время делаете резервное копирование, довольно бессмысленно.

Примеры программ-вымогателей

Вот некоторые из наиболее интересных штаммов вымогателей.

КриптоЛокер Один из наиболее ранних и типичных штаммов программ-вымогателей. Один из первых, кто потребует оплату через биткойн. Его отличает хорошее «обслуживание клиентов» и тот факт, что он действительно расшифровывает ваши файлы.
Петя / NotPetya Штамм был распространен через уязвимость в веб-системе бухгалтерского учета, используемой восточноевропейскими компаниями. Это примечательно тем, что это повлияло на процессы загрузки, не давая пользователям войти в систему.
PUBG PUBG (Players Unknown’s Battlegrounds) - популярная онлайн-игра. Один активный сторонник взял несколько готовых программ-вымогателей и сделал ключ разблокировки зависимым от часа игры.

Как реагировать на атаку программ-вымогателей

Выполните следующие действия, чтобы управлять активными атаками программ-вымогателей и смягчать их последствия.

1. Изоляция

Первым шагом к борьбе со вспышкой программ-вымогателей является изоляция зараженных систем от остальной сети.Выключите эти системы и отсоедините сетевой кабель. Выключите WIFI. Зараженные системы необходимо полностью изолировать от других компьютеров и запоминающих устройств в сети.

2. Идентификация

Затем выясните, какое вредоносное ПО заразило компьютеры. Группа реагирования на инциденты, ИТ-организация или сторонний консультант смогут определить тип вируса-вымогателя и приступить к планированию наилучшего способа борьбы с заражением.

3. Привлечение властей

В зависимости от воздействия инцидента и применимых правил может потребоваться сообщить об инциденте в ФБР или другие правительственные органы.В 2016 году ФБР выпустило PSA с просьбой сообщать о программах-вымогателях, чтобы повысить их возможности и понимание атак программ-вымогателей.

4. Удалите вредоносное ПО

Теперь удалите вредоносное ПО из зараженных систем, чтобы предотвратить дальнейшее повреждение или распространение вредоносного ПО.

5. Восстановить данные

Когда атака вредоносного ПО остановлена, запустите процесс восстановления после атаки. Выкуп - это вариант - возможно, злоумышленники - благородные воры и дадут вам ключи, необходимые для расшифровки данных.Лучшим вариантом является восстановление из самой последней доступной резервной копии. Предполагая, что имеется хорошая резервная копия.

Стоит ли платить за программы-вымогатели?

Нет. В большинстве случаев выкуп платить не следует. Для меня приоритетом являются защита от программ-вымогателей, а также доступные сегодня варианты резервного копирования и восстановления. Сделайте работу сейчас, чтобы предотвратить и защитить данные от программ-вымогателей, поэтому платить выкуп нельзя.

Однако это гораздо более сложный вопрос, особенно если вы читаете эту статью постфактум.

Существует ли киберстрахование от атак программ-вымогателей? Можно ли купить биткойны, чтобы вовремя заплатить выкуп? Существуют ли резервные копии для атакованных систем? Являются ли данные критически важными? Это несколько вопросов, которые организациям, возможно, придется задать и ответить, когда они решат заплатить выкуп или нет.

Перед рассмотрением платежей

Вот некоторые моменты, о которых следует подумать, прежде чем будет принято решение платить / не платить.

Проверьте свой полис киберстрахования

Киберстрахование - относительно новое изобретение, которое может помочь покрыть расходы на борьбу с утечкой данных или аналогичным инцидентом, связанным с кибербезопасностью.Киберстрахование может помочь управлять такими расходами и покрывать такие расходы, как:

  • Уведомление клиентов и затронутых сторон в случае утечки данных
  • Восстановление личности и компенсация пострадавшим
  • Восстановление скомпрометированных данных
  • Восстановление компьютерных систем
Сотрудничать с правоохранительными органами

Официально ФБР не поощряет выплату выкупа. Однако это не означает, что если вы обратитесь в правоохранительные органы, они порекомендуют вам не платить.

Если правоохранительные органы все-таки вмешаются, они будут обладать опытом и знаниями, которые помогут принять эти решения, поэтому, если это уместно, действительно привлекайте их.

Например, они могут определить, исходит ли атака группа, о которой они уже знают, что привносит предшествующие знания и опыт в этот инцидент.

Кроме того, ФБР может гарантировать, что вы случайно не заплатите террористу, если заплатите выкуп. Выплаты известным террористическим организациям могут быть незаконными, и это никому не нужно на его совести.

Ищите средство дешифрования

Подключитесь к Интернету, чтобы узнать, существует ли средство дешифрования. Если ключи для этой атаки уже существуют, платить не нужно. Иногда, когда полиция и эксперты по безопасности расследуют деятельность киберпреступников, они потенциально могут получить ключи дешифрования с вредоносных серверов и поделиться ими в Интернете. Вот некоторые из них:

Когда стоит подумать об оплате

На саммите по кибербезопасности Джозеф Бонаволонта, помощник специального агента, отвечающий за программу ФБР по кибербезопасности и контрразведке, сказал: «Честно говоря, мы часто советуем людям просто платить выкуп.”

Он объяснил: «Успех программы-вымогателя в конечном итоге приносит пользу жертвам: из-за того, что платит очень много людей, авторы вредоносных программ менее склонны выжимать сверхприбыль из какой-либо отдельной жертвы, сохраняя низкий выкуп. И большинство мошенников-вымогателей держат свое слово. Вы получите доступ обратно ».

Если вы платите, ФБР заявило, что большинство платежей вымогателей обычно составляют от 200 до 10 000 долларов.

Но были случаи, когда оплата была намного выше.В 2014 году злоумышленники зашифровали файлы города Детройта и потребовали выкуп в размере 2 000 биткойнов на сумму около 800 000 долларов на тот момент. У этой истории счастливый конец: Детройту не понадобилась база данных, и он не заплатил штраф.

Иногда платить - правильное решение. Офис шерифа округа Диксон Теннесси выплатил 622 доллара США в биткойнах хакерам, которые зашифровали файлы уголовных дел департамента. Детектив Джефф МакКлисс сказал: «На самом деле все сводилось к выбору между потерей всех этих данных и невозможностью предоставить жизненно важные услуги, которые эти данные помогли бы нам в предоставлении сообществу, или потратить 600 с лишним долларов. для получения данных.«Управлению повезло - они получили доступ к своим файлам.

Ты не должен платить: когда рассматривать сопротивление

Некоторые эксперты по безопасности не согласны с замечаниями г-на Бонаволонта и призывают вас не платить выкуп, поскольку нет гарантии, что даже после того, как вы заплатите выкуп, ваши файлы вернутся в исходное состояние. Более того, оплата усугубляет существующую проблему, делая вас мишенью для новых вредоносных программ.

В 2016 году сообщалось, что больница Канзаса, пораженная программой-вымогателем, заплатила выкуп в надежде на скорейшее возобновление работы, но этот платеж позволил лишь частично расшифровать их файлы.Вместо этого киберпреступники потребовали больше денег для расшифровки остальных файлов. В результате больница отказалась платить второй выкуп, потому что это больше не было «мудрым маневром или стратегией».

Хуже того, если вы заразитесь дефектным штаммом, таким как Power Worm, вы не получите обратно свои файлы, независимо от того, что вы делаете. Даже с намерением заплатить выкуп эта атака неизбежно уничтожит данные жертвы во время шифрования их данных.

В качестве альтернативы, если вы столкнетесь с атакой типа NotPetya, целью которой было не получение финансовой выгоды, а уничтожение данных, даже если вы накапливаете биткойны для выплаты выкупа, вы не получите свои данные обратно.

Министерство внутренней безопасности также посоветовало жертвам не вступать в переговоры с хакерами. Противоречивые советы вызвали дебаты о том, поощряет ли ФБР поведение, которое приведет к еще большему количеству хакерских атак.

В интервью Wall Street Journal пресс-секретарь ФБР Кристен Сетера отказалась сообщить, рекомендуют ли чиновники ФБР платить хакерам выкуп, как заявил г-н Бонаволонта.

Методы смягчения последствий для ИТ-администраторов: как может помочь Varonis

Varonis Data Security Platform - это идеальная передовая линия защиты от атак программ-вымогателей на первичное хранилище данных.Когда в 2014 году появилась первая волна современных программ-вымогателей, у Varonis уже была система обнаружения и предотвращения - и с тех пор она только улучшилась.

Мониторинг активности файловой системы

Varonis отслеживает активность файловой системы в системах хранения и ведет полный контрольный журнал всей активности в этих системах для криминалистической экспертизы и анализа, если это необходимо.

При атаке программы-вымогателя вредоносная программа шифрует файлы, что вызывает массу внезапных файловых операций, которые для Varonis выглядят одинаково.Варонис видит, как один пользователь одновременно изменяет сотни файлов, имя которых может даже содержать «зашифровать» или что-то подобное. Такая видимость фактических событий на уровне файлов, которые происходят во время инцидента с программой-вымогателем, имеет неоценимое значение при восстановлении и исправлении.

Обнаружение угроз и реагирование

Varonis не просто показывает, что произошла атака с использованием программы-вымогателя. Он обнаруживает угрозу и может нейтрализовать атаку до того, как будет нанесен слишком большой урон.

Позвольте мне еще раз сказать, что Varonis обнаруживает и останавливает атаки программ-вымогателей в полете.

Обнаружение угрозы DatAlert видит события мониторинга файлов, сопоставляет эти события с одной из моделей угроз вымогателей, а затем запускает предупреждение, которое нейтрализует атаку. Предупреждение уведомляет команду об атаке, но время задержки между уведомлением и реакцией может означать, что зашифровываются еще тысячи файлов. Поэтому мы автоматизировали для вас ответ программы-вымогателя.

Когда DatAlert обнаруживает атаку программы-вымогателя, он запускает сценарий PowerShell для отключения учетной записи пользователя и выключения его машины, что останавливает атаку.DatAlert может запускать множество различных действий при предупреждении, такое использование PowerShell - лишь один из примеров, который мы наиболее часто применяем для программ-вымогателей.

Насколько здорово было бы остановить атаку программы-вымогателя после того, как она зашифровала только несколько сотен файлов, а не всю вашу систему хранения? И вы знаете, какие файлы были зашифрованы, поэтому вы можете восстановить только эти файлы из резервной копии.

Модель с наименьшими привилегиями

Varonis также помогает вам подготовить и защитить сеть от программ-вымогателей до того, как произойдут какие-либо инциденты.DatAdvantage собирает все разрешения пользователей для папок на устройствах хранения, как локально, так и в облаке, и показывает, где файлы чрезмерно открыты из-за глобального доступа, чрезмерных разрешений или нарушенных списков контроля доступа.

Затем

Varonis автоматизирует процессы удаления глобального доступа, исправления неработающих списков контроля доступа и удаления лишних и ненужных разрешений у пользователей и групп, чтобы перейти к настройке разрешений с минимальными привилегиями.

Пользователи не могут изменять файлы, к которым у них нет доступа.Это известно. Таким образом, программа-вымогатель имеет доступ только для шифрования файлов, к которым имеет доступ зараженный пользователь. Создавая эти барьеры в сети с минимальными привилегиями доступа, необходимыми для выполнения пользователями своей работы, программы-вымогатели ограничивают размер ущерба, который они могут причинить.

Дополнительные ресурсы и литература

Вот еще несколько статей о программах-вымогателях и ссылки на конкретные штаммы, обнаруженные группой исследования безопасности Varonis.

Ресурсы для программ-вымогателей

Varonis Ransomware Discovery

Ransomware никуда не денется - похоже, это часть нового стандарта кибербезопасности.В этом случае, как я уже говорил, лучше всего создать надежную защиту и не позволять программам-вымогателям нанести серьезный ущерб в случае / в случае атаки. Настройте Varonis для обнаружения и предотвращения атак программ-вымогателей и не забудьте про курс Троя Ханта по программам-вымогателям.

Ваш комментарий будет первым

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *