Как бороться с шифровальщиками: 10 методов защиты от шифровальщиков-вымогателей

Содержание

10 методов защиты от шифровальщиков-вымогателей

Одной из самых опасных угроз в современном кибермире являются трояны-вымогатели. Попав в систему, эти программы по-тихому шифруют файлы пользователя — документы, видеозаписи и фотографии. Все процессы проходят в фоновом режиме, чтобы жертва не смогла обнаружить, что происходит.

Закончив свое мерзкое дело, троян выводит на экран сообщение, в котором рассказывает пользователю что-то вроде «ваши файлы зашифрованы, если хотите их вернуть, отправьте кругленькую сумму на этот счет». Платить придется в биткойнах. Так как часто жертвами программ-вымогателей становятся неопытные пользователи, помимо сбора денег им еще придется разобраться, где и как эти самые биткойны можно купить.

Этот метод мошенничества отличается особенно злой иронией: все файлы остаются у пользователя, только открыть их не получается — они надежно зашифрованы. Очень обидно.

«Вылечить» данные без ключа практически невозможно, новейшие версии вымогателей используют очень стойкое шифрование, а ключи хранят там, где до них не доберешься. Поэтому легче предотвратить заражение системы, чем иметь дело с последствиями.

10 советов по борьбе с вирусами-шифровальщиками.

  1. Регулярно делайте резервные копии всех важных файлов. Желательно, чтобы у вас было два бэкапа: один в облаке, например в Dropbox, Google Drive и других специализированных сервисах. А другой на сменном носителе (съемный жесткий диск, большая флешка, запасной ноутбук).
    Для этого устройства установите ограниченные права доступа только на чтение и запись, без возможностей удаления или перезаписи. Резервные копии пригодятся вам и в других случаях — если вы случайно удалите важный файл или при поломке основного жесткого диска.
  2. Регулярно проверяйте, в порядке ли сделанные бэкапы. Система бэкапов — это тоже программа. Она может поломаться и скопировать данные с ошибками.
  3. Преступники часто создают фальшивые письма, похожие на сообщения от интернет-магазинов или банков, чтобы распространять вредоносное ПО, — это называется «фишинг». Так что настройте спам-фильтр в почте и никогда не открывайте вложения к письмам, отправленным незнакомыми людьми.
  4. Не доверяйте никому. Такой вирус могут прислать со взломанного аккаунта вашего друга в Skype или «ВКонтакте», товарища по онлайн-играм или даже коллеги с работы.
  5. Включите функцию «Показывать расширения файлов» в настройках. Так вам будет легче разобраться, какой файл является опасным. Трояны — это программы, значит, опасаться нужно в первую очередь подозрительных файлов с расширениями «exe», «vbs» и «scr». Но расслабляться нельзя в любом случае, так как многие другие файлы тоже могут быть опасными. Мошенники часто ставят несколько расширений подряд, чтобы замаскировать вирус под видео, фото или документ, например: hot-chics.avi.exe или report.doc.scr.
  6. Регулярно устанавливайте обновления для вашей ОС, браузера, антивируса и другого ПО. Преступники используют «дыры» в программном обеспечении, чтобы заразить устройства пользователей.
  7. Установите надежный антивирус, который умеет бороться с троянами-вымогателями. Мы можем предложить Kaspersky Internet Security, который в большинстве случаев просто не даст вирусам попасть к вам в систему, а если это произойдет, защитит важные файлы с помощью специальной функции.
  8. Если вам кажется, что вы обнаружили какой-то подозрительный процесс, отключите компьютер от Интернета. Если троян-вымогатель не успеет стереть ключ шифрования на вашем компьютере, то есть шанс восстановить файлы. Правда, новейшие версии этой заразы используют заранее заданный ключ, так что с ними этот совет не сработает.
  9. Если вы уже попались, то не платите выкуп, если в этом нет серьезной необходимости. Помните: каждый денежный перевод — это вливание в преступный бизнес, который будет развиваться и дальше, до тех пор, пока поступают деньги.
  10. Еще один совет для уже заразившихся: проверьте — возможно, вам повезло, и вам попался один из старых шифровальщиков. Раньше вымогатели были далеко не такими продвинутыми, как сейчас, зашифрованные ими файлы сравнительно несложно восстановить.
    Кроме того, полиция и специалисты по кибербезопасности (в том числе «Лаборатория Касперского») периодически ловят преступников и выкладывают инструменты для восстановления файлов в Сеть. Стоит проверить, можно ли вернуть свои файлы абсолютно бесплатно. Для этого посетите noransom.kaspersky.com.

Как бороться с вирусом шифровальщиком

Как защититься от шифровальщиков за минуту

Как защититься от шифровальщиков за минуту

Добрый день уважаемые читатели и гости блога, как вы помните в мае 2017 года, началась масштабная волна заражения компьютеров с операционной системой Windows, новым вирусом шифровальщиком, по имени WannaCry, в результате чего он смог заразить и зашифровать данные, более чем на 500 000 компьютеров, вы только вдумайтесь в эту цифру. Самое страшное, что данная разновидность вирусов, практически не отлавливается современными антивирусными решениями, что делает его еще более угрожающим, ниже я вам расскажу метод, как обезопасить свои данные от его влияния и

как защититься от шифровальщиков за минуту, думаю вам это будет интересно.

Что такое вирус шифратор

Вирус шифровальщик – это разновидность троянской программы, в задачи которой входит заражение рабочей станции пользователя, выявления на нем файлов необходимого формата (например, фото, аудиозаписи, видео файлы) их последующее шифрование со сменой типа файла, в результате чего пользователь их больше не сможет открыть, без специальной программы дешифратора. Выглядит это вот так.

Форматы зашифрованных файлов

Самыми распространенными форматами файлов после шифрования являются:

Последствия вируса шифровальщика

Опишу самый распространенный случай в котором задействован вирус шифратор. Представим себе обычного пользователя в любой абстрактной организации, в 90 процентах случаев у пользователя есть интернет за его рабочим местом, так как с помощью него он приносит прибыль компании, он совершает серфинг в интернет пространстве. Человек не робот и может отвлекаться от работы, просматривая интересные ему сайты, или сайты которые ему посоветовал его друг. В результате этой деятельности, он может заразить свой компьютер шифровальщиком файлов, сам того не подозревая и узнать об этом, тогда, когда уже будет поздно. вирус сделал свое дело.

Вирус в момент своей работы старается обработать все файлы, к которым у него есть доступ, тут и начинается, что важные документы в папке отдела, к которым у пользователя есть доступ, вдруг превращаются в цифровой мусор, локальные файлы и многое другое. Понятно, что должны быть резервные копии файловых шар, но как быть с локальными файлами, которые могут составлять всю работу человека, в результате компания теряет деньги, за простой работы, а системный администратор выходит из зоны комфорта и тратит свое время на расшифровку файлов.

То же самое может быть и у рядового человека, но последствия тут локальные и касаются лично его и его семьи, очень печально видеть случаи, когда вирус зашифровал все файлы, включая семейных архив фотографий и у людей не осталось резервной копии, ну не принято у обычных пользователей ее делать.

С облачными сервиса все не так просто, если вы все храните там и не используете толстого клиента у себя в операционной системе Windows, одно дело, там в 99% вам ничего не грозит, но вот если вы используете, например, «Яндекс диск» или «mail Облако» синхронизируя файлы со своего компьютера на него, то заразившись и получив, что все файлы зашифрованы, программа их отправит прямиком облако и вы так же все потеряете.

В итоге вы видите картинку на подобие этой, где вам сообщается, что все файлы зашифрованы и вам необходимо отправить деньги, сейчас это делается в биткоинах, чтобы не вычислить злоумышленников. После оплаты, вам якобы должны прислать, дешифратор и вы все восстановите.

Источники троянов шифровальщиков

Давайте попытаемся выделить основные источники проникновения шифратора к вам на компьютер.

  1. Электронная почта > очень часто людям приходят непонятные или фейковые письма с ссылками или зараженными вложениями, кликнув по которым, жертва начинает устраивать себе бессонную ночь. Как защитить электронную почту я вам рассказывал, советую почитать.
  2. Через программное обеспечение – вы скачали программу из неизвестного источника или поддельного сайта, в ней зашит вирус шифратор, и при установке ПО вы его себе заносите в операционную систему.
  3. Через флешки – люди до сих пор очень часто ходят друг к другу и переносят через флешки кучу вирусов, советую вам почитать «Защита флешки от вирусов»
  4. Через ip камеры и сетевые устройства имеющие доступ в интернет – очень часто из-за кривых настроек на роутере или ip камере подключенной в локальную сеть, хакеры заражают компьютеры в той же сети.

Как защитить от вируса шифровальщика ваш ПК

Защищает от шифровальщиков грамотное использование компьютера, а именно:

  • Не открывайте не известную вам почту и не переходите по непонятным ссылкам, каким бы образом они к вам не попали, будь то почта или любой из мессенджеров
  • Максимально быстро устанавливайте обновления операционной системы Windows или Linux, они выходят не так часто, примерно раз в месяц. Если говорить про Microsoft, то это второй вторник, каждого месяца, но в случае с шифровальщиками файлов, обновления могут быть и нештатные.
  • Не подключайте к своему компьютеру неизвестные флешки, просите друзей скинуть лучше ссылку на облако.
  • Убедитесь, что если вашему компьютеру не нужно быть доступным в локальной сети для других компьютеров, то выключите доступ на него.
  • Ограничьте права доступа на файлы и папки
  • Установка антивирусного решения
  • Не устанавливайте непонятные программы, взломанные непонятно кем

С первыми тремя пунктами все понятно, а вот на оставшихся двух я остановлюсь подробнее.

Отключаем сетевой доступ к вашему компьютеру

Когда меня спрашивают как организовывается в windows защита от шифровальщиков, то первым делом я рекомендую людям отключить «службу доступа к файлам и принтерам сетей Microsoft», которая позволяет другим компьютерам получить доступ к ресурсам данного компьютера с помощью сетей Microsoft. Это так же актуально от любопытных системных администраторов, работающих у вашего провайдера.

Отключить данную службу и защититься от шифровальщиков в локальной или провайдерской сети, можно следующим образом. Нажимаем сочетание клавиш WIN+R и в открывшемся окне выполнить, вводим команду ncpa.cpl. Я это покажу на своем тестовом компьютере с операционной системой Windows 10 Creators Update.

Выбираем нужный сетевой интерфейс и кликаем по нему правой кнопкой мыши, из контекстного меню выбираем пункт «Свойства»

Находим пункт «Общий доступ к файлам и принтерам для сетей Microsoft» и снимаем с него галку, после чего сохраняем, все это поможет защитить компьютер от вируса шифровальщика в локальной сети, ваша рабочая станция просто не будет доступна.

Ограничение прав доступа

Защита от вируса шифровальщика в windows может быть реализована вот таким интересным способом, я расскажу как я сделал для себя. И так основная проблема в борьбе с шифровальщиками, заключается в том, что антивирусы, просто не могут в режиме реального времени с ними бороться, ну не может он на сегодняшний момент защитить вас, поэтому будем хитрее. Если у вирус шифратора нет прав на запись, то он и не сможет ничего сделать с вашими данными. Приведу пример, у меня есть папка фотографии, она хранится локально на компьютере, плюс есть две резервные копии на разных жестких дисках. На своем локальном компьютере я сделал на нее права, только на чтение, для той учетной записи под которой сижу за компьютером. Если бы вирус попал, то прав у него просто не хватило бы, все как видите просто.

Как все это реализовать, чтобы защититься от шифровальщиков файлов и все уберечь, делаем следующее.

  • Выбираем нужные вам папки. Старайтесь использовать именно папки, с ними проще назначать права. А в идеале создайте папку, под названием только для чтения, и уже в нее помещайте все нужные вам файлы и папки. Чем хорошо, назначив на верхней папке права, они автоматически будут применены и для других, находящихся в ней папок. Как только скопируете все нужные файлы и папки в нее, переходите к следующему пункту
  • Щелкаем по папке правым кликом из из меню выбираем «Свойства»

  • Переходим на вкладку «Безопасность» и нажимаем кнопку «Изменить»

  • Пробуем удалить группы доступа, если получаете окно с предупреждением, что «Невозможно удалить группу, так как этот объект наследует разрешения от своего родителя», то закрываем его.

  • Нажимаем кнопку «Дополнительно». В открывшемся пункте, нажмите «отключить наследования»

  • На вопрос «Что вы хотите сделать с текущим унаследованными разрешениями» выберите «Удалить все унаследованные разрешения из этого объекта»

  • В итоге в поле «Разрешения» все будут удалены.

  • Сохраняем изменения. Обратите внимание, что теперь только владелец папки может изменять разрешения.

  • Теперь на вкладке «Безопасность» нажмите «Изменить»

  • Далее нажимаем «Добавить – Дополнительно»

  • Нам необходимо добавить группу «Все», для этого нажмите «Поиск» и выберите нужную группу.

  • Для защиты Windows от шифровальщика, у вас для группы «Все» должны быть выставлены права, как на картинке.

  • Все теперь никакой вирус шифратор вам для ваших файлов в данной директории не грозит.

Я надеюсь, что Microsoft и другие антивирусные решения смогут улучшить свои продукты и защитят компьютеры от шифровальщиков, до их вредоносной работы, но пока этого не произошло, соблюдайте те правила, что я вам описал и делайте всегда резервные копии важных данных.

Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.

Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:

1. Запустите антивирус или антивирусный сканер для удаления трояна

Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.

Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.

Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.

Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.

2. Попробуйте расшифровать файлы с помощью бесплатных утилит

Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.

“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.

Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:

  • Выберите и загрузите два зашифрованных файла с компьютера.
  • Укажите на сайте электронный адрес, который отображается в информационном сообщение с требованием выкупа.
  • Если адрес электронной почты неизвестен, загрузите файл .txt или .html, содержащий заметки шифровальщика.

Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.

Инструменты дешифрования

Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:

Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!

Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.

Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:

  • Выбираем один из зашифрованных файлов в системе и файл, который еще не был зашифрован. Помещает оба файла в отдельную папку на компьютере.
  • Загружает средство дешифрования Philadelphia и перемещаем его в папку с нашими файлами.
  • Выбираем оба файла и перетаскиваем их на иконку исполняемого файла декриптора. Инструмент запустит поиск правильных ключей для дешифрования.
  • Данный процесс может занять приличное время в зависимости от сложности угрозы.
    • После завершения работы, вы получите ключ дешифрования для восстановления доступа ко всем заблокированным шифровальщикам файлам.
    • Затем нужно принять лицензионное соглашение и выбрать варианты расшифровки. Вы можете изменить местоположение объектов и опционально сохранить зашифрованные версии.
    • В конечном итоге появится сообщение об успешном восстановлении файлов.

    Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.

    Если есть резервная копия: очистите систему и восстановите бэкап

    Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.

    Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.

    Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.

    Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.

    Несколько простых и действенных правил, которые помогут вам защитить свои файлы от заражения трояном-шифровальщиком.

    Одной из самых опасных угроз в современном кибермире являются трояны-вымогатели. Попав в систему, эти программы по-тихому шифруют файлы пользователя — документы, видеозаписи и фотографии. Все процессы проходят в фоновом режиме, чтобы жертва не смогла обнаружить, что происходит.

    Закончив свое мерзкое дело, троян выводит на экран сообщение, в котором рассказывает пользователю что-то вроде «ваши файлы зашифрованы, если хотите их вернуть, отправьте кругленькую сумму на этот счет». Платить придется в биткойнах. Так как часто жертвами программ-вымогателей становятся неопытные пользователи, помимо сбора денег им еще придется разобраться, где и как эти самые биткойны можно купить.

    Платить нельзя, не платить: как мы вернули файлы десяткам тысяч жертв программ-вымогателей https://t.co/uKQJ2h9zPG pic.twitter.com/FiZvoM1IzM

    Этот метод мошенничества отличается особенно злой иронией: все файлы остаются у пользователя, только открыть их не получается — они надежно зашифрованы. Очень обидно.

    «Вылечить» данные без ключа практически невозможно, новейшие версии вымогателей используют очень стойкое шифрование, а ключи хранят там, где до них не доберешься. Поэтому легче предотвратить заражение системы, чем иметь дело с последствиями.

    Наш эксперт об эпидемии программ-вымогателей и о том, почему эта проблема касается всех: https://t.co/j2Ln1R3jQg pic.twitter.com/biiui40a0q

    10 советов по борьбе с вирусами-шифровальщиками.

    1. Регулярно делайте резервные копии всех важных файлов. Желательно, чтобы у вас было два бэкапа: один в облаке, например в Dropbox, Google Drive и других специализированных сервисах. А другой на сменном носителе (съемный жесткий диск, большая флешка, запасной ноутбук).
      Для этого устройства установите ограниченные права доступа только на чтение и запись, без возможностей удаления или перезаписи. Резервные копии пригодятся вам и в других случаях — если вы случайно удалите важный файл или при поломке основного жесткого диска.
    1. Регулярно проверяйте, в порядке ли сделанные бэкапы. Система бэкапов — это тоже программа. Она может поломаться и скопировать данные с ошибками.
    1. Преступники часто создают фальшивые письма, похожие на сообщения от интернет-магазинов или банков, чтобы распространять вредоносное ПО, — это называется «фишинг». Так что настройте спам-фильтр в почте и никогда не открывайте вложения к письмам, отправленным незнакомыми людьми.

    10 советов как защититься от фишинга. Здесь же можно узнать что такое фишинг 😉 https://t.co/dDgEE3aHzV

    1. Не доверяйте никому. Такой вирус могут прислать со взломанного аккаунта вашего друга в Skype или «ВКонтакте», товарища по онлайн-играм или даже коллеги с работы.

    Троянцы-шифровальщики переключились с офисных работников и бухгалтеров на геймеров: http://t.co/bVrlKT4Hcb pic.twitter.com/85tUvUzDO4

    1. Включите функцию «Показывать расширения файлов» в настройках. Так вам будет легче разобраться, какой файл является опасным. Трояны — это программы, значит, опасаться нужно в первую очередь подозрительных файлов с расширениями «exe», «vbs» и «scr». Но расслабляться нельзя в любом случае, так как многие другие файлы тоже могут быть опасными. Мошенники часто ставят несколько расширений подряд, чтобы замаскировать вирус под видео, фото или документ, например: hot-chics.avi.exe или report.doc.scr.

    10 способов спастись от программ-вымогателей #безопасность #вирусы #ransomware

    1. Регулярно устанавливайте обновления для вашей ОС, браузера, антивируса и другого ПО. Преступники используют «дыры» в программном обеспечении, чтобы заразить устройства пользователей.
    1. Установите надежный антивирус, который умеет бороться с троянами-вымогателями. Мы можем предложить Kaspersky Internet Security, который в большинстве случаев просто не даст вирусам попасть к вам в систему, а если это произойдет, защитит важные файлы с помощью специальной функции.

    Вирусы-вымогатели приносят своим создателям серьезный доход, даже если платит лишь 1% жертв: http://t.co/BReZ0s36Rw

    1. Если вам кажется, что вы обнаружили какой-то подозрительный процесс, отключите компьютер от Интернета. Если троян-вымогатель не успеет стереть ключ шифрования на вашем компьютере, то есть шанс восстановить файлы. Правда, новейшие версии этой заразы используют заранее заданный ключ, так что с ними этот совет не сработает.
    1. Если вы уже попались, то не платите выкуп, если в этом нет серьезной необходимости. Помните: каждый денежный перевод — это вливание в преступный бизнес, который будет развиваться и дальше, до тех пор, пока поступают деньги.

    Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами / Хабр

    Вирусы-шифровальщики уже не первый год сотрясают ИТ-рынок последствиями своей подпольной работы. Скрываясь за ссылкой в email или в JavaScript коде на странице веб сайта, они молчаливо инсталлируются на рабочие компьютеры или сервера и начинают тихо зашифровывать всю информацию. После окончания шифрования, одни просто удаляют ключ шифрования, другие требуют выкуп, но далеко не все пользователи, заплатившие его получают ключ шифрования. Как же с ними можно бороться? Самое главное средство борьбы – быть подготовленным к наихудшему.

    Пытаться защититься от вирусов и других хакерских атак только средствами антивирусов и межсетевых экранов, это все равно что навесить замков на двери, поставить сигнализацию\видеонаблюдение и рассчитывать на то, что не найдется кто-то, кто это сможет обойти. Как показывает практика, даже самые сложные замки, самые умные системы защиты можно обойти. Нужно иметь «План Б» и быть готовым к наихудшему. Единственный выход — иметь возможность быстро и гарантированно восстановить данные. На примере решений NetApp рассмотрим такие возможности.


    Системы хранения NetApp FAS/ONTAP

    Имеют не только множество интеграций с множеством софта для резервного копирования, антивирусными системами и другими инфраструктурными системами, но также обеспечивают высокую доступность для NAS (NFS, CIFS/SMB) и SAN (iSCSI, FC, FCoE). Унифицированное хранилище позволяет обеспечивать прозрачную миграцию данных между нодами кластера, который может состоять из 24 узлов, а также позволяет задействовать одновременно все ноды для обслуживания NAS и SAN с целью повышения производительности. Таким образом можно полностью отказаться от подверженных уязвимостям Windows Server — не покупать лицензии и не строить кластеры для высокой доступности, ведь весь функционал уже имеется в NetApp ONTAP, в том числе интеграция с AD, настройки безопасности файлов и папок, Access Based Enumeration и всем привычная консоль управления MMC.

    Резервное копирование

    Как в самых больших организациях, так и в маленьких фирмах рабочие файлы располагают на общедоступном файловом хранилище, чтобы все могли ими пользоваться. Централизация хранения даёт удобство для совместной работы нескольким людям над одними и теми же файлами, но это накладывает и ответственность по защите такой информации. Естественно для борьбы с вирусами-шифровальщиками необходимо регулярно выполнять резервное копирование по схеме 3-2-1. Резервные копии важно хранить отдельно от основной системы.

    Системы хранения NetApp FAS/ONTAP имеют в своем арсенале снэпшоты не влияющие на производительность и репликацию на базе этих снэпшотов, которые позволяют интегрироваться с широким списком систем резервного копирования использующие технологии системы хранения данных NetApp, как для среды NAS так и SAN:

    Давайте изучим чуть детальнее одну из таких систем резервного копирования, Veeam Backup & Replication, которая завоевала доверие и уважение благодаря лёгкости и простоте интерфейса управления. Но это далеко не все преимущества этого продукта, который не только умеет управлять снэпшотами и репликами между системами NetApp FAS, ONTAP Select, ONTAP Cloud и AltaVault. Он также позволяет средствами СХД клонировать данные на одной из площадок для тестирования работоспособности и восстанавливаемости из таких бэкапов. Клонирование как и снэпшоты на системе NetApp FAS/ONTAP, это весьма удобная технология, которая также не влияет на производительность и в начальный момент снятия снэпшота практически не занимает пространство на хранилище. Кроме того на создание требуется меньше секунды, вне зависимости от величины клонируемых данных.

    Снэпшоты для спасения

    Но полное восстановление, во-первых, может быть достаточно длительным, а во-вторых резервное копирование может выполняться не каждые 15 минут, таким образом увеличивая RPO. И вот здесь становится понятно, насколько важной частью резервного копирования являются снэпшоты, которые можно выполнять намного чаще нежели резервные копии с NAS или SAN хранилища и соответственно восстанавливать такие данные намного быстрее из снэпшотов, таким образом существенно уменьшив значение RPO. И вот здесь становится понятно насколько важно, чтобы такие снэпшоты функционировали как часы, не тормозили работу всего хранилища, не имели архитектурных проблем по удалению и консолидации. При этом снэпшоты это не замена резервному копированию, а важное дополнение для полноценной стратегии резервного копирования. Так процедуру создания снэпшотов можно выполнять достаточно часто, чтобы захватывать самые последние изменения вашей информации.

    Снэпшоты это не полная копия данных, только разница новых данных на блочном уровне, своего рода обратный инкрементальный бэкап, который более рационально использует пространство хранилища, нежели полный бэкап. Но всё равно это пространство используется, чем больше изменений, тем больше попадает информации в снэпшот. Настроенное расписание авто-удаления старых снэпшотов позволит более рационально использовать ресурсы хранилища и не съесть всё доступное пространство на дорогостоящем NAS хранилище. А резервное, будет хранить намного дольше по времени копии более старых версий информации.

    Среда SAN

    Снэпшоты NetApp ONTAP одинаково эффективны как в среде NAS, так и SAN, одинаково архитектурно устроены, имеют одинаковый интерфейс, настройку, скорость снятия и восстановления, что позволяет более быстро откатываться назад в случае повреждения данных.

    Снэпшоты и технология NetApp FabricPool

    Отдельно стоит отметить технологию

    FabricPool

    , позволяющую прозрачно смещать снепшоты и холодные данные с SSD накопителей на медленные диски в объектное хранилище, что позволит активно и часто использовать настолько важную технологию снэпшотирования на дорогостоящих носителях информации.

    Есть отдельный документ как бороться с вирусами-шифровальщиками используя системы NetApp TR4572.

    Как снэпшоты не должны работать

    Многие уже сталкивались с различными реализациями снэпшотов и уже на практике знают, как снэпшоты не должны работать:

    • они не должны увеличивать нагрузку на дисковую подсистему просто от наличия снэпшота;
    • они не должны увеличивать нагрузку просто от большего числа снэпшотов;
    • они не должны медленно создаваться и удаляться и этот процесс не должен влиять на производительность дисковой подсистемы;
    • они не должны удаляться так чтобы повредить основные данные;
    • им не должно быть разницы сколько данных, всё должно работать быстро, моментально и без малейшей возможности повредить информацию из-за удаления или консолидации снэпшота.

    Снэпшоты в операционной системе

    ONTAP для хранилищ NetApp так не работают

    . Они были впервые реализованы в операционной системе ONTAP, как часть файловой системы WAFL в 1993 году, как видим, эти технологии апробированы временем. Кстати само слово «снэпшот» (Snapshot ) является зарегистрированной торговой маркой компании NetApp, а технология снэпшотирования запатентована. Чтобы изучить вопрос, как работают снэпшоты WAFL можно бесплатно скачать на тестовый период виртуальную машину с образом хранилища ONTAP, который можно запросить у Дистрибьютора или Интегратора.

    mysupport.netapp.com/NOW/cgi-bin/software/?product=ONTAP+Select&platform=Deploy+Install

    Автоматизация восстановления

    Интеграция снэпшотов хранилища с операционными системами позволит снять рутину с администратора хранилища по восстановлению отдельных файлов. Чтобы пользователи сами могли восстанавливать свои файлы из снэпшотов прямо из своего Windows компьютера стандартными средствами ОС.


    Репликация снэпшотов

    Просто удаление старых снэпшотов, которые уже есть в хранилище и настроены в хорошо налаженной стратегии резервного копирования — это существенная трата ресурсов. Ведь снэпшоты можно использовать для их репликации на вторую, третью и т.д. системы хранения. Во-первых снэпшоты уже есть, почему-бы их не использовать, во-вторых намного выгоднее передавать дельту нежели весь набор данных каждый раз, в третьих снэпшоты работают наподобие обратных инкрементальных бэкапов. Т.е. не требуют времени на «склеивание в полный бэкап», в четвертых снэпшоты ONTAP подобны обратным инкрементальным бэкапам, но они не требуют склеивания или консолидации ни до восстановления, ни во время репликации, ни во время восстановления, как это происходит с традиционными инкрементальным бэкапом или обратным инкрементальным бэкапом. Но магии не бывает, снэпшоты при репликации данных всё равно вычитываются из целевой системы изменения, чтобы быть отправленными на удалённую систему, это порождает дополнительные операции чтения во время реплики, но это намного лучше в сравнении с фулл-бэкапом, который каждый раз вычитывает заново все данные целиком.

    WORM

    Технология Write Once Read Manу или WORM, также известна и под другими коммерческими названиями, к примеру NetApp SnapLock построенная на базе снэпшотирования, позволяет заблокировать данные на длительный срок от изменений, в том числе и от пользователей системы хранения с повышенными привилегиями. Так можно хранить прошивки, конфигурации от разнообразных устройств, к примеру свичей, роутеров и прочее. Подобного рода файлы редко если вообще меняются в течении жизни устройства, а хранилища с поддержкой WORM надежное место для расположения важных файлов-настроек для инфраструктуры, которые точно не заражены, их нельзя менять, но их можно читать. Это свойство можно использовать для того, чтобы загружать конфигурации и прошивки для ключевых компонент вашей инфраструктуры.

    Антивирусная защита NAS

    Ну и конечно же возможность проверки файлов

    на стороне хранилища тоже будет не лишней

    . Системы NetApp FAS/ONTAP интегрируются с широким списком антивирусных систем которые будут выполнять проверку корпоративных данных на NAS хранилище. Поддерживаются самые известные системы антивирусного сканирования:

    • Symantec
    • Trend Micro
    • Computer Associates
    • McAfee
    • Sophos
    • Kaspersky

    Снэпшоты как индикатор заражения RansomWare

    Как было сказано ранее снэпшоты хранят в себе блочную дельту, — разницу между предыдущим своим состоянием и между текущим, то есть актуальным. И чем больше изменений внесено в актуальные данные, тем больше занимает снэпшот. Кроме того, стоит ещё упомянуть про технологии компрессии и дедупликации данных, которые позволяют сжимать оригинальные данные, экономя пространство на хранилище. Так вот некоторые данные не компрессируются. К примеру фото, видео или аудио данные, а какие данные ещё не жмутся? Правильно, зашифрованные файлы. И вот представьте вы настроили расписание снэпшотов, у вас работает дедупликация и компрессия. Снэпшоты снимаются, а более старые удаляются, данные жмутся, потребление пространства достаточно размеренное и стабильное. И вдруг снэпшоты начинают занимать намного, намного больше места нежели раньше, а дедупликция и компрессия перестали быть эффективными. Это и есть индикаторы молчаливой и вредоносной работы вируса-шифровальщика: ваши данные, во-первых, сильно изменяются (растут снэпшоты в объёме, по сравнению с тем, как это было раньше), во-вторых дедуп и компрессия перестали давать результат (значит записывается несжимаемая информация, к примеру оригиналы файлов подменяются на зашифрованные версии). Эти два косвенных показателя приводят к нерациональному потреблению пространства на хранилище, и вы можете заметить это на графике потребления пространства в интерфейсе мониторинга NetApp, который внезапно начал геометрически расти вверх.


    Файл-Скрининг Fpolicy

    Fpolicy и ONTAP directory-security API это механизмы которые позволяют анализировать файл, и в зависимости от настроенных политик разрешать или не разрешать, записывать его или работать с ним для протокола SMB/CIFS. Анализ файла можно проводить на основе расширения файла (встроенный функционал Fpolicy в ONTAP) или по содержимому, тогда нужно специализированное ПО использующее эти два механизма.

    Free Cleondis SnapGuard Light Edition

    Бесплатный продукт

    Cleondis SnapGuard Light Edition (SGLE) предназначен не только для выявления на CIFS/SMB шаре, но и для восстановления после вирусов-шифровальщиков при помощи снэпшотов на платформе NetApp ONTAP

    . SGLE способен распознавать шаблоны вредоносной работы вирусов шифровальщиков, которые начинают шифровать ваши файлы и остановить клиенты которые заражены от дальнейшего нанесения вреда и полностью совместим с существующими антивирусными системами.

    Free Prolion DataAnalyzer-light

    Бесплатный продукт

    Prolion DataAnalyzer-light предоставляет возможности детекции вирусов-шифровальщиков на платформе NetApp ONTAP с SMB/CIFS шарой

    .

    Varonis

    Varonis

    очень мощьное промышленное решение, которое не только способно отследить шифрование, отключить зараженных пользователей от NAS (CIFS/SMB), но также найти и восстановить те файлы, которые были зашифрованы.

    SMB1 и WannaCry / Petya

    Вирусы WannaCry / Petya используют уязвимость в протоколе SMB1 на Windows машинах, этой уязвимости нет в системах NetApp ONTAP. Но попав на Windows вирус может зашифровать файлы расположенные на NAS хранилище, по-этому рекомендуется настроить снепшоты по расписанию. Компания NetApp рекомендует отключить SMB1 и перейти на более новые версии протоколов SMB v2 или v3 на клиентских Windows Workstation, чтобы избежать заражения.

    Более новые версии вируса способны отключать теневое копирование VSS на Windows хостах, но так как расписание снэпшотов на NAS хранилище NetApp настраиваются, включаются и выключаются на самом СХД, то выключенный VSS никак не повлияет на работу снэпшотов.

    Выключить SMB1 и SMB2

    Открыть Powershall от имени администратора и вставить следующие строки

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
    netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
    netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
    netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"


    PS.

    Также обратите внимание на документ описывающий

    настройки безопасности ONTAP для усиления защиты (Security Hardening Guide for NetApp ONTAP 9)

    .

    В связи с массовыми заражениями данных вирусами типа RansomWare, Megatrade, официальный дистрибьютор NetApp в Украине запускает акцию для своих существующих и будущих клиентов по:

    • настройке ONTAP снэпшотов для NAS, SnapRestore, Virtual Storage Console
    • установке бесплатного ПО мониторинга заражения RansomWare для ONTAP (CIFS/SMB)
    • настройке интеграции ONTAP с антивирусными системами для CIFS/SMB
    • обучению по использованию ONTAP снэпшотов с SAN доступом

    Вывод

    В заключение стоит отметить, что снэпшоты это не замена, а важная часть стратегии резервного копирования, которая позволяют более быстро, более часто резервировать данные и быстрее их восстанавливать. Снэпшоты WAFL являются базисом для клонирования, SnapLock и репликации данных на резервную СХД, не тормозят систему, не требуют консолидации и склеивания, являются эффективным средством резервного копирования данных. Системы хранения корпоративного уровня NetApp FAS/ONTAP имеют множественные технологии и интеграции позволяющие быть готовым к наихудшему. Ну, и в контексте последних событий, рассмотренные выше технологии еще и становится весьма актуальной для защиты вашей информации от различных зловредов.

    Перевод на английский:
    How to protect your corporate storage system against ransomware

    Сообщения по ошибкам в тексте прошу направлять в ЛС. Замечания, дополнения и вопросы по статье напротив, прошу в комментарии.

    Crusis (Dharma) — вирус троян-шифровальщик

    Продолжаю печально известную рубрику на своем сайте очередной историей, в которой я сам оказался пострадавшим. Я расскажу о вирусе-вымогателе шифровальщике Crusis (Dharma), который зашифровал все файлы на сетевом диске и поставил им расширение .combo. Поработал он не только над локальными файлами, как бывает чаще всего, но и над сетевыми.

    Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Курс не для новичков, для поступления нужно пройти вступительный тест.

    Введение

    История будет от первого лица, так как пострадали от шифровальщика данные и инфраструктура, которой я управлял. Как не прискорбно в этом признаваться, но частично я сам виноват в том, что произошло, хотя знаком с шифровальщиками очень давно. В свое оправдание скажу, что данные потеряны не были, все было быстро восстановлено и расследовано по горячим следам. Но обо всем по порядку.

    Нескучное утро началась с того, что в 9:15 системный администратор с одного удаленного объекта позвонил и сказал, что в сети шифровальщик, уже зашифрованы данные на сетевых дисках. Холодок пробежал по коже 🙂 Он начал своими силами проверять источник заражения, а я своими. Конечно же, я сразу пошел на сервер, отключил сетевые диски и стал смотреть лог обращений к данным. Сетевые диски настроены на samba, обязательно включено логирование файловых операций. По логу сразу увидел источник заражения, учетную запись, от которой работал шифровальщик, и время начала шифрования.

    Описание вируса шифровальщика Crusis (Dharma)

    Дальше началось расследование. Зашифрованные файлы получили расширение .combo. Их было очень много. Шифровальщик начал работать поздно вечером, примерно в 23 часа. Повезло — бэкап пострадавших дисков как раз был завершен к этому времени. Данные потеряны не были вообще, так как успели забэкапиться в конце рабочего дня. Я сразу же начал восстановление из бэкапа, который лежит на отдельном сервере без доступа по smb.

    За ночь вирус успел зашифровать примерно 400 Гб данных на сетевых дисках. Банальное удаление всех зашифрованных файлов с расширением combo заняло продолжительное время. Я сначала хотел удалить их все разом, но когда только подсчет этих файлов длился уже 15 минут, я понял, что дело бесполезное в данный момент времени. Вместо этого стал накатывать актуальные данные, а почистил диски от зашифрованных файлов уже после.

    Сразу скажу прописную истину. Наличие актуальных, надежных бэкапов делает любую проблему разрешимой. Что делать, если их нет, либо они не актуальны, даже не представляю. Я всегда уделяю повышенное внимание бэкапам. Холю, лелею их и никому не даю к ним доступа.

    После того, как запустил восстановление зашифрованных файлов, появилось время спокойно разобраться в ситуации и повнимательнее посмотреть на вирус-шифровальщик Crusis (Dharma). Тут меня ждали сюрпризы и удивления. Источником заражения стала виртуальная машина с Windows 7 с проброшенным rdp портом через резервный канал. Порт был не стандартный — 33333. Думаю, это была основная ошибка, использовать такой порт. Он хоть и не стандартный, но очень популярный. Конечно, лучше вообще не пробрасывать rdp, но в данном случае это было действительно необходимо. К слову, сейчас, вместо этой виртуалки, используется тоже виртуальная машина с CentOS 7, у нее в докере запущен контейнер с xfce и браузером. Ну и доступов у этой виртуалки никуда нет, только куда нужно.

    Что пугает во всей этой истории. Виртуальная машина была с обновлениями. Шифровальщик начал работу в конце августа. Когда было сделано заражение машины, точно уже не установить. Вирус много чего подтер в самой виртуалке. Обновления на эту систему ставились в мае. То есть каких-то старых открытых дырок на ней быть не должно. Я теперь вообще не знаю, как оставлять rdp порт доступным из интернета. Слишком много кейсов, где это действительно нужно. Например, терминальный сервер на арендованном железе. Не будешь же к каждому серверу арендовать еще и шлюз для vpn.

    Теперь ближе к делу и самому шифровальщику. У виртуальной машины был отключен сетевой интерфейс, после этого запустил ее. Меня встретила стандартная табличка, какую я уже много раз видел у других шифровальщиков.

    All your files have been encrypted!
    All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected]
    Write this ID in the title of your message 501BED27
    In case of no answer in 24 hours write us to theese e-mails:[email protected]
    You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
    Free decryption as guarantee
    Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
    How to obtain Bitcoins
    The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
    https://localbitcoins.com/buy_bitcoins 
    Also you can find other places to buy Bitcoins and beginners guide here: 
    
    How Can I Buy Bitcoin?
    Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

    На рабочем столе были 2 текстовых файла с именами FILES ENCRYPTED.TXT следующего содержания:

    all your data has been locked us
    You want to return?
    write email [email protected]

    Любопытно, что изменились права на директорию Рабочий стол. У пользователя не было прав на запись. Видимо, вирус сделал это, чтобы пользователь случайно не удалил информацию в текстовых файлах с рабочего стола. Там же на рабочем столе была директория troy, в которой был сам вирус — файл l20VHC_playload.exe.

    Как вирус вымогатель Crusis (Dharma) шифрует файлы

    Спокойно во всем разобравшись и почитав похожие обращения на тему шифровальщиков в интернете, я узнал, что словил разновидность известного вируса-шифровальщика Crusis (Dharma). Касперский его детектит как Trojan-Ransom.Win32.Crusis.to. Он ставит разные расширения к файлам, в том числе и .combo. У меня список файлов выглядел примерно вот так:

    Расскажу еще некоторые подробности о том, как шифровальщик поработал. Я не упомянул важную вещь. Данный компьютер был в домене. Шифрование файлов было выполнено от доменного пользователя!!! Вот тут возникает вопрос, откуда вирус его взял. На логах контроллеров доменов я не увидел информации и подборе пароля пользователя. Не было массы неудачных авторизаций. Либо использовалась какая-то уязвимость, либо я не знаю, что и думать. Использована учетная запись, которая никогда не логинилась в данную систему. Была авторизация по rdp от учетной записи доменного пользователя, а затем шифрование. На самой системе тоже не было видно следов перебора пользователей и паролей. Практически сразу был логин по rdp доменной учеткой. Нужно было подобрать, как минимум, не только пароль, но и имя.

    К сожалению, на учетной записи был пароль 123456. Это была единственная учетная запись с таким паролем, которую пропустили админы на местах. Человеческий фактор. Это был руководитель и по какой-то причине целая череда системных администраторов знали про этот пароль, но не меняли его. Очевидно, в этом причина использования именно этой учетной записи. Но тем не менее, остается неизвестен механизм получения даже такого простого пароля и имени пользователя.

    Зараженную шифровальщиком виртуальную машину я выключил и удалил, предварительно забрав образ диска. Из образа забрал сам вирус, чтобы посмотреть на его работу. Дальнейший рассказ будет уже на основе запуска вируса в виртуальной машине.

    Еще небольшая подробность. Вирус просканировал всю локальную сеть и попутно зашифровал информацию на тех компьютерах, где были какие-то расшаренные папки с доступом для всех. Я первый раз видел такую модификацию шифровальщика. Это действительно страшная вещь. Такой вирус может просто парализовать работу всей организации. Допустим, по какой-то причине, у вас был доступ по сети к самим бэкапам. Или использовали какой-то ненадежный пароль для учетной записи. Может так получиться, что будет зашифровано все — и данные, и архивные копии. Я вообще теперь подумываю о хранении бэкапов не только в изолированной сетевой среде, но вообще на выключенном оборудовании, которое запускается только для того, чтобы сделать бэкап.

    Как лечить компьютер и удалить вымогатель Crusis (Dharma)

    В моем случае вирус шифровальщик Crusis (Dharma) особо не прятался и удалить его не должно составить каких-то проблем. Как я уже сказал, он лежал в папке на рабочем столе. Помимо этого он записал сам себя и информационное сообщение в автозапуск.

    Само тело вируса было продублировано в пуске в разделе Startup у всех пользователей и в windows/system32. Более внимательно я не смотрел, так как не вижу в этом смысла. После заражения шифровальщиком я настоятельно рекомендую переустановить систему. Это единственный способ гарантированно удалить вирус. Вы никогда не будете полностью уверены в том, что вирус удален, так как он мог использовать какие-то еще неопубликованные и неизвестные уязвимости для того, чтобы оставить закладку в системе. Через некоторое время через эту закладу вы можете получить какой-то новый вирус и все повторится по кругу.

    Так что я рекомендую сразу же после обнаружения шифровальщика не заниматься лечением компьютера, а переустанавливать систему, сохранив оставшиеся данные. Возможно, вирус успел не все зашифровать. Эти рекомендации относятся к тем, кто не собирается пытаться восстановить файлы. Если у вас есть актуальные бэкапы, то просто переустанавливайте систему и восстанавливайте данные.

    Если у вас нет бэкапов и вы любой ценой готовы восстановить файлы, то тогда компьютер стараемся не трогать вообще. Первым делом просто отключите сетевой кабель, скачайте пару зашифрованных файлов и текстовый файл с информацией на чистую флешку, дальше завершаем работу компьютера. Больше компьютер включать нельзя. Если вы вообще не разбираетесь в компьютерных делах, то с вирусом вы справиться сами не сможете, тем более расшифровать или восстановить файлы. Обратитесь к тому, кто разбирается. Если же вы считаете, что что-то сможете сделать сами, то читайте дальше.

    Где скачать дешифратор Crusis (Dharma)

    Дальше идет мой универсальный совет по всем вирусам шифровальщикам. Есть сайт — https://www.nomoreransom.org На нем теоретически может оказаться дешифратор для Crusis или Dharma, либо еще какая-то информация по расшифровке файлов. На моей практике такое еще ни разу не случалось, но вдруг вам повезет. Попробовать стоит. Для этого на главной странице соглашаемся, нажав ДА.

    Прикрепляем 2 файла и вставляем содержимое информационного обращения шифровальщика и жмем Проверить.

    Если вам повезет, получите какую-то информацию. В моем случае ничего не нашлось.

    Все существующие дешифраторы для шифровальщиков собраны на отдельной странице — https://www.nomoreransom.org/ru/decryption-tools.html Существование этого списка позволяет рассчитывать, что какой-то смысл в этом сайте и сервисе все же есть. Похожий сервис есть у Касперского — https://noransom.kaspersky.com/ru/ Можете попытать счастья там.

    Искать где-то еще дешифраторы через поиск в интернете, я думаю, не стоит. Вряд ли они найдутся. Скорее всего это будет либо обычный развод с мусорным софтом в лучшем случае, либо новый вирус.

    Важное дополнение. Если у вас установлена лицензионная версия какого-то антивируса, обязательно создайте запрос в ТП антивируса на тему расшифровки файлов. Иногда это действительно помогает. Я видел отзывы об успешной расшифровке силами поддержки антивируса.

    Как расшифровать и восстановить файлы после вируса Crusis (Dharma)

    Что же делать, когда вирус Crusis (Dharma) зашифровал ваши файлы, никакие описанные ранее способы не помогли, а файлы восстановить очень нужно? Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

    • Инструмент теневых копий windows.
    • Программы по восстановлению удаленных данных

    Перед дальнейшими манипуляциями я рекомендую сделать посекторный образ диска. Это позволит зафиксировать текущее состояние и если ничего не получится, то хотя бы можно будет вернуться в исходную точку и попробовать что-то еще. Дальше нужно удалить самого шифровальщика любым антивирусом с последним набором антивирусных баз. Подойдет CureIt или Kaspersky Virus Removal Tool. Можно любой другой антивирус установить в режиме триал. Этого хватит для удаления вируса.

    После этого загружаемся в зараженной системе и проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

    Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer. Скачивайте архив, распаковывайте программу и запускайте.

    Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

    Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

    Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

    Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec.

    Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe. Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

    Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

    Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

    • R.saver
    • Starus File Recovery
    • JPEG Recovery Pro
    • Active File Recovery Professional

    Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

    Весь процесс восстановления файлов с помощью перечисленных программ подробно показан в видео в самом конце статьи.

    Касперский, eset nod32 и другие в борьбе с шифровальщиком Crusis (Dharma)

    Как обычно, прошелся по форумам популярных антивирусов в поисках информации о шифровальщике, который ставит расширение .combo. Явно заметна тенденция на распространение вируса. Очень много запросов начинаются с середины августа. Сейчас вроде не видно их, но, возможно временно, либо просто изменилось расширение зашифрованных файлов.

    Вот пример типичного обращения с форума Касперского.

    Там же ниже комментарий модератора.

    На форуме EsetNod32 давно знакомы с вирусом, который ставит расширение .combo. Как я понял, вирус не уникальный и не новый, а разновидность давно известной серии вирусов Crusis (Dharma). Вот типичное обращение с просьбой расшифровать данные:

    А вот опыт одного из пользователей, который заплатил злоумышленникам и восстановил свои файлы.

    Обратил внимание, что на форуме Eset много отзывов о том, что вирус проник на сервер через rdp. Похоже, это реально сильная угроза и оставлять rdp без прикрытия нельзя. Возникает только вопрос — как же все таки вирус заходит по rdp. Подбирает пароль, подключается уже с известным пользователем и паролем, либо как-то еще.

    Методы защиты от вируса-шифровальщика

    Я не буду перечислять очевидные вещи на тему запуска неизвестных программ из интернета и открытие вложений в почте. Это сейчас все и так знают. К тому же я об этом писал много раз в своих статья в разделе про вирусы. Обращу внимание на бэкапы. Они должны не просто быть, а быть недоступны извне. Если это какой-то сетевой диск, то доступ к нему должен быть у отдельной учетной записи со стойким паролем.

    Если бэкапите личные файлы на флешку или внешний диск, не держите их постоянно подключенными к системе. После создания архивных копий, отключайте устройства от компьютера. Идеальным я вижу бэкап на отдельное устройство, которое включается только чтобы сделать бэкап, а потом снова отключается физически от сети отключением сетевого провода или просто завершением работы.

    Резервные копии должны быть инкрементными. Это нужно для того, чтобы избежать ситуации, когда шифровальщик зашифровал все данные, а вы этого не заметили. Было выполнено резервное копирование, которое заменило старые файлы новыми, но уже зашифрованными. В итоге архив у вас есть, но толку от него никакого нет. Нужно иметь глубину архива хотя бы в несколько дней. Я думаю, в будущем появятся, если еще не появились, шифровальщики, которые будут незаметно шифровать часть данных и ждать какое-то время, не показывая себя. Сделано это будет в расчете на то, что зашифрованные файлы попадут в архивы и там со временем заменять настоящие файлы.

    Это будет тяжелое время для корпоративного сектора. Я выше уже привел пример с форума eset, где зашифровали сетевые диски с 20Тб данных. А теперь представьте, что у вас такой сетевой диск, но зашифровано только 500G данных в каталогах, к которым не обращаются постоянно. Проходит пару недель, никто не замечает зашифрованных файлов, потому что они лежат в архивных каталогах, и с ними постоянно не работают. Но в конце отчетного периода данные нужны. Туда заходят и видят, что все зашифровано. Обращаются в архив, а там глубина хранения, допустим, 7 дней. И на этом все, данные пропали.

    Тут нужен отдельный внимательный подход к архивам. Нужно программное обеспечения и ресурсы для долгосрочного хранения данных.

    Видео c расшифровкой и восстановлением файлов

    Здесь пример похожей модификации вируса, но видео полностью актуально и для combo.

    Помогла статья? Подписывайся на telegram канал автора
    Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

    Восстановление файлов после заражения шифровальщиком из снимков VSS

    Продолжаем серию статей о методах противодействия вирусам-шифровальщикам. В прошлый раз мы рассмотрели простую методику превентивной защиты от шифровальщиков на файловых серверах с помощью FSRM. Сегодня речь пойдет о методе восстановления данных, позволяющем безболезненно восстановить файлы, в случаях, если вирус уже прорвался и зашифровал документы на компьютере пользователя.

    Самый простой способ вернуть оригинальные данные после шифрования документов трояном-шифровальщиком – восстановить данные из резервной копии. И если централизованное резервное копирование данных на серверах еще можно организовать, то бэкап данных с компьютеров пользователей обеспечить гораздо сложнее. К счастью, в Windows уже есть встроенный механизм ведения резервных копий — теневые копии, создаваемые службой Volume Shadow Copy Service (VSS).

    Для обеспечения возможности восстановления старых версий файлов из VSS снапшотов, должны выполняться следующие условия:

    • служба VSS должна быть включена для защищаемых томов
    • на диске должно быть достаточно свободного места для хранения снимков (не менее 10-20%)
    • у пользователя не должно быть прав локального администратора на своем компьютере (большинство современных шифровальщиков, запущенных с правами администратора удаляют все доступные VSS снимки), а защита User Account Control (UAC) включена

    Рассмотрим механизм централизованного управления политикой создания снимков в доменной среде Active Directory для обеспечения возможности восстановления данных после атаки вируса-шифровальщика.

    Включение службы VSS на компьютерах с помощью GPO

    В первую очередь создадим групповую политику, которая бы включала службу Volume Shadow Copy Service (VSS) на компьютерах пользователей. Для этого в консоли GPMC.msc создадим новый объект GPO с именем VSSPolicy и назначим его на OU с компьютерами пользователей.

    Перейдем в режим редактирования GPO. Затем в разделе Computer Configuration->Windows Settings->Security Settings->System Service в списке служб нужно найти службу Volume Shadow Copy и задать для нее тип запуска Automatic.

    Копирование файла vshadow.exe на компьютеры пользователей с помощью GPO

    Для создания и управления теневыми копиями на ПК пользователей нам понадобится утилита vshadow.exe из комплекта Windows SDK. В данном примере мы будем использовать vshadow из SDK для Windows 7 x64 (в моем случае она корректно отработала как на Windows 7 так и на Windows 10 x64). С помощью GPP скопируем файл vshadow.exe в каталог %windir%\system32 на все компьютеры.

    Совет. Файл vshadow.exe можно скачать по этой ссылке: vshadow-7×64.zip

    Для этого в разделе политики Computer Configuration –> Preferences –> Windows Settings -> Files создадим новую политику, копирующую файл vshadow.exe из каталога \\domain.loc\SYSVOL\domain.loc\scripts\ (файл должен быть скопирован сюда предварительно) в каталог %windir%\system32\vshadow.exe (нужно указывать имя файла в destination) . Эту политику можно настроить, чтобы она отработала только один раз (Apply once and do not reapply).

    PowerShell скрипт для создания теневых снимков всех томов

    Далее нам понадобится скрипт, который бы определял список дисков в системе, включал бы для всех ведение теневых снимков и создавал бы новый VSS-снапшот. У меня получился такой скрипт:

    $HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3"
    foreach ($HDD in $HDDs) {
    $Drive = $HDD.DeviceID
    $vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
    $vsscreatess = "vshadow.exe -p $Drive"
    cmd /c  $vssadminEnable
    cmd /c  $vsscreatess
    }

    Первая срока позволяет найти все диски в системе, а затем для каждого диска утилита vshadow активирует ведение теневых копий, которые должны занимать не более 10% места и создает новую копию.

    Этот скрипт сохраним в файл vss-script.ps1 и также скопируем на компьютеры пользователей через GPO.

    Задание планировщика по созданию VSS-снимков

    Последнее, что осталось сделать – создать на всех ПК задание планировщика, которое регулярно бы запускало скрипт PowerShell vss-script.ps1 и создавало бы новый vss снимок дисков. Проще всего создать такое задание через GPP. Для этого в разделе Computer Configuration -> Preferences -> Scheduled Tasks создадим новое задание планировщика (New-> Scheduled Task (at least Windows 7) с именем: create vssnapshot, которое запускается от имени NT AUTHORITY\System с повышенными правами.

    Допустим, задание должно запускаться каждый день в обед в 13:20 (здесь нужно самостоятельно продумать необходимую частоту создания снимков).

    Запускаемый скрипт: %windir%\System32\WindowsPowerShell\v1.0\powershell.exe

    с аргументом %windir%\system32\vss-script.ps1

    Совет. Нужно предусмотреть также создание еженедельного задания планировщика, удаляющего старые VSS снимки. Для этого нужно создать новое задание планировщика, запускающего скрипт аналогичный первому, но со строками:

    $vssadminDeleteOld = “vshadow.exe -do=%$Drive”
    cmd /c  $vssadminDeleteOld

    Восстановление исходных данных из теневой копии тома

     

    В том случае, если шифровальщик все-таки попал на ПК пользователя и сделал свое черное дело, после искоренения его из системы, администратор может восстановить документы пользователя из последнего снимка.

    Список всех доступных снимком можно вывести командой:

    vssadmin.exe list shadows

    В нашем примере последний снимок сделан 10/6/2016 1:33:35 AM и имеет Shadow Copy ID = {6bd666ac-4b42-4734-8fdd-fab64925c66c}.

    Смонтируем снапшот на чтение в виде отдельного драйва системы по его ID:

    vshadow -el={6bd666ac-4b42-4734-8fdd-fab64925c66c},Z:

    Теперь с помощью File Explorer или любого файлового менеджера скопируйте оригинальные файлы с диска Z:, представляющего собой содержимое подключенного снимка диска.

    Чтобы отмонтировать диск со снимком:

    mountvol Z:\ /D

    Совет. Есть и более удобный графический инструмент для просмотра и извлечения данных из снимков VSS – ShadowExplorer.

    Заключение

    Конечно, теневые копии VSS не являются методом борьбы с вирусами-шифровальщиками и не отменяют комплексного подхода в организации безопасности сети от вирусов (антивирусы, блокировка запуска исполняемых файлов с помощью SRP или AppLocker политик, репутационные фильтры SmartScreen и т.д.). Однако, простота и доступность механизма теневых копий томов является, на мой взгляд, большим преимуществом этого простого способа восстановления зашифрованных данных, который очень вероятно пригодится в случае проникновения заразы на компьютер пользователя.

    Вирус зашифровал файлы — 9 способов решения проблемы

    Вирусы доставляют и нам, и компьютеру множество проблем. В самом компьютере вирусы не размножаются. Они заселяются в ПК с загрузками, ссылками, письмами, рассылками, и начинают вредить, когда пользователь сам запускает процесс. А вот распространяться вирус может вполне, при этом он стремится заразить как можно больше папок. И какой неприятной новостью становится осознание того факта, что вирус зашифровал файлы.

    Виды работСтоимость
    Диагностика0 р.
    Вызов0 р.
    Удаление вирусов230 р.
    Удаление / лечение вируса с сохранением информации300 р.
    Антивирусная профилактика180 р.
    Удаление / лечение программ шпионов230 р.
    Установка антивируса180 р.

    К сожалению, антивирусные программы не дают стопроцентной гарантии того, что в дальнейшем ваше устройство снова не подхватит компьютерную заразу. Вирус способен запороть не только важные данные, но и всю операционную систему, интернет и так далее. С каждым стартом компа вирус запускается автоматически.

    Типов компьютерных вирусов великое множество, хотя среднестатистический пользователь знает всего пару-тройку. Но даже один вид вируса имеет множество модификаций. Различаются вирусы по тому, какое вредоносное воздействие они оказывают на комп. Например, вирус шифровальщик может не просто зашифровать файлы, но повредить их так, что данные не будут подлежать дешифровке.

    На вирусе шифровальщике авторы зарабатывают огромные деньги. Разработчики предлагают своей жертве выкупить уникальный код дешифровки вируса за внушительную сумму.

    Симптомы заражения шифровальщиком

    Если вирус зашифровал файлы, то пользователь просто не сможет открыть эти папки и получить информацию. При попытке открыть зараженные файлы, на экране может выскакивать ошибка архива.

    Зашифрованы будут все файлы, которые находятся в работе: это системные файлы, фото, видео, архив, тексты и другие. Те папки, которыми не пользуются, затронуты не будут.

    Причем, не будет доступа не только к тем данным, которые записаны на системном диске, но и на всех носителях, с которыми работал пользователь: флеш-карта, винчестер, сетевой диск и так далее.

    С флэшкой шифровальщик поступает особенно хитро: на этом накопителе вирус создает еще один раздел для текстового файла, который содержит инфу о других папках в этом же архиве, а основные данные вирус надежно прячет, то есть шифрует. При этом информация на флэшке сохранится, но открыть ее будет невозможно.

    Существует множество видов вируса шифровальщика, но разбираться, какой именно вид «нашалил» в конкретном компьютере нет никакого смысла, но урон он наносит громадный, как компьютеру, так и пользователю. Вирус шифровальщик ведет себя, как умный живой организм, после того, как он позашифровывал все, что только можно, он исчезает, чтоб его не обнаружили и не дешифровали зараженные файлы. Так можно ли с этим как-то бороться, или лучше сразу попрощаться с информацией на зараженных носителях?

    Что делать, если вирус зашифровал файлы

    • С вредоносным программным обеспечением может справиться специальная утилита антивирус. К сожалению, простое избавление от зараженной папки не решит проблему, и даже может навредить. Здесь необходимо заменить «больной» файл на «здоровый», или отредактировать зараженную папку, а затем удаляют код, отвечающий за работу вредоносной программы. Загружается и запускается лицензированная антивирусная утилита с официального сайта, в противном случае, можно подцепить кучу других вирусов. Чтобы открылся доступ ко всем системным файлам, программу устанавливают в безопасном режиме.
    • Вручную проверьте наличие антивирусной базы и обновите ее. Если этого не сделать, то антивирус не сможет удалять вирусы с новыми кодами.
    • После загрузки антивирусной утилиты и обновления баз, отключите комп от интернет-сети. Отключайте интернетовский шнур из системника и/или Wi-Fi. Таким образом, вашим данным гарантируется безопасность, поскольку вирус может действовать через интернет-сеть путем антиблокировки сети. В этом случае вы сможете отключить интернет только вручную, то есть, отключив сетевой шнур.
    • Теперь необходимо проверять систему на вирусы, причем глубоким анализом. Если на вашем диске информации масса, то анализ занимает много времени, но другого выхода нет, поверхностная проверка ничего не даст, поскольку вирус может скрываться где угодно.

      Особенно много времени занимает сканирование документальных файлов и архивов. Гораздо быстрее проверяются музыкальные файлы, папки с видео, фото и так далее.
    • Если вы неопытный пользователь, и не в курсе, насколько вредоносное ПО внедрилось в ваш компьютер, то подозрительные папки лучше скопируйте на сторонний накопитель (внешний ЖД, флешка, CD-диск). А на ПК избавьтесь от зараженных файлов, очистите корзину. Перезапустите комп и проверьте работу файлов. Теперь, как бы ни пошло дело, у вас есть скопированная информация.
    • Когда вы решили, что избавились от вирусов, еще раз протестируйте операционную систему с помощью другой антивирусной утилиты. Для этого удалите прежний антивирус, перезагрузите комп, загрузите новый антивирусный софт и запустите анализ.
    • Если вам удалось избавиться от вируса шифровальщика, то главное теперь, не допустить его нового появления. Существует специальная антивирусная утилита, которая обеспечивает безопасность интернет-соединения.

      Имеющиеся базовые методики безопасности в программном антивирусном обеспечении по умолчанию, можно усилить вручную. Для этого войдите в настройки и внесите нужные изменения в программу.
    • После удаления вируса с компа, не забудьте поработать со всеми рабочими носителями (компакт-диски, флэшки, все разделы винчестера, внешний ЖД).

      Проверять каждый носитель необходимо отдельно, не открывая проводник и содержимое файла, чтобы не запустить туда вредоносное ПО. Если вы избавитесь от вируса только на компьютере, то проблема никуда не денется.

    • Если вирус зашифровал файлы, попробуйте просто переустановить систему Виндовс, это может помочь избавиться от заразы на компьютере.

    Защита от вирусов шифровальщиков

    Чаще всего шифрующие вирусы запускаются в комп через вложения в электронном письме. Когда вы открываете прикрепленное к письму вложение (чаще это Анкета, Резюме, Предложения и другие), то вы автоматически впускаете вредоносное ПО в свой компьютер. Чтобы защитить свои данные, делайте следующее:

    • Письма, пришедшие от незнакомых вам адресатов, сразу удаляйте, особенно те, которые имеют вложения. Ни в коем случае не открывайте прикрепленные файлы! Остальную корреспонденцию тоже не спешите открывать, пусть их вначале просканирует антивирусная программа.
    • Дублируйте важную информацию на другом независимом носителе (бэкап). Копирование займет у вас несколько минут, зато вы не будете переживать, что можете из-за вирусов лишиться каких-то важнейших данных.

    Важно: тщательно проанализируйте, как именно ваш компьютер подцепил вредоносное программное обеспечение, какие сайты вы посещали, что скачивали. Впредь избегайте таких ошибок, ведь заразиться гораздо проще, чем лечиться. Лучшая защита от вирусов шифровальщиков – это ваша бдительность, информированность, незначительные компьютерные навыки и элементарное отсутствие лени.

    Если не разбираетесь в программах, в их видах и в их работе, проконсультируйтесь со специалистом, в конечном итоге, это вам обойдется гораздо дешевле, чем, если вирус зашифрует файлы.

    Расшифровка файлов после вируса

    • Дешифровать зараженные файлы можно попытаться с помощью антивирусных программ из лаборатории Касперского.

      Скачайте утилиты с официального сайта, берите все софты, коих множество, имеющие отношение к расшифровке папок. Дешифровать файлы придется методом исключения, запускайте программы одну за одной, и пытайтесь расшифровывать, какой-то софт сработает.

    • Можно решить данный вопрос платно, с помощью ресурсов компании Доктор Веб, хотя гарантию вряд ли кто-то даст.
    • Если вы предприняли все меры, но файлы так и не расшифровались, то скопируйте важную информацию на независимый накопитель, и отложите до поры до времени, пока не выйдет новая утилита, которая вам подойдет. Правда, неизвестно, сколько это может занять времени.

    А бывает, что информация нужна срочно. В данном случае имеется хороший выход: обратитесь к профессионалам в сервисный центр «Эксперт». Высококвалифицированные мастера центра излечат ваш компьютер и носители от вируса шифровальщика, расшифруют зараженные файлы, и вы вовремя получите свою нужную информацию!

    Важно: вирус шифровальщик – наиболее вредоносный и разрушительный.

    И может так случиться, что если изобретен новейший вирус с неизвестным кодом, то расшифровать файлы не удастся совсем. Тогда останется только положить зараженные файлы на полочку, предварительно продублировав их.

    И еще несколько важных советов:

    1. если заподозрили заражение компьютерным вирусом шифровальщиком, не гуглите незнакомые сайты в поисках информации, иначе рискуете нацеплять кучу других вирусов;
    2. не жалейте средств на приобретение качественных антивирусов, и работайте себе спокойно. Посоветуйтесь со специалистом, какая антивирусная программа лучше всего подойдет вашему ПК на данный момент;
    3. не доверяйте частным предложениям в интернете о том, что вам дешифруют зашифрованный файл. В лучшем случае, вы просто расстанетесь с определенной суммой денег и останетесь с носом, то бишь с вредоносным программным обеспечением. В худшем случае, вам пришлют обратно вашу же папку, но уже с другими вирусами, обнаружить которые не так легко.

    Мы Вам поможем удалить вирус шифровальщик!

    Лучше сразу обращайтесь к профессионалам, в частности в сервисный центр «Эксперт».

    Вы оформляете заявку онлайн или по телефону

    Мастер выезжает по адресу в течении 1 часа

    Мастер выявляет неисправность и устраняет её

    Вы принимаете работу мастера и оплачиваете

    Возможно, решение вашей проблемы в сервис-центре обойдется несколько дороже, чем в частном порядке, но зато намного надежнее и быстрее.

    Бесплатная консультация

    Перезвоним в течении 1 минуты

    Отправить

    Мы не передаем ваши данные третьим лицам

    ПИР-Центр

    Поимка хакеров из группировки REvil показала, что США и Россия могут совместно бороться с цифровыми угрозами. Однако дальнейшее сотрудничество в этой сфере зависит от того, как российско-американские отношения переживут нынешний кризис системы европейской безопасности. Читайте об этом в данной статье.

    Вскоре после новогодних праздников ФСБ совместно со Следственным департаментом МВД задержала 14 человек, обвиняемых в причастности к группировке REvil. Операция проводилась после обращения правоохранительных органов США, передавших российским коллегам информацию о причастности группировки к атакам программ-шифровальщиков на зарубежные, в том числе и американские, компании. Согласно официальному сообщению, правоохранителям удалось установить полный состав группировки и ликвидировать ее.

    Киберпреступники №1

    REvil — известное с 2019 года семейство шифровальщиков, этим же названием нередко обозначают и причастных к их созданию и распространению русскоязычных хакеров. Создатели вредоносной программы использовали модель «шифровальщик как услуга», сдавая ее в аренду партнерам в обмен на долю полученных средств. У своих жертв злоумышленники требовали выкуп за расшифровку данных, а также шантажировали их украденной информацией.

    Проблема шифровальщиков обострилась в последние несколько лет, когда вместо того, чтобы атаковать отдельных пользователей, хакеры-вымогатели переключились на крупные структуры: частные компании, медицинские и образовательные учреждения, госорганы, а размер выкупа вырос до десятков миллионов долларов. Этот тренд раньше всего проявился в США и Западной Европе, но не ограничился ими. В 2021 году, например, из-за атаки шифровальщика на несколько дней была нарушена работа порта в ЮАР, в Бразилии жертвами становились министерства финансов и здравоохранения, а в Таиланде — авиакомпания Bangkok Airways. Хотя в России давно не было громких случаев, есть оценки, что количество таких преступлений выросло в 2021 году более чем втрое.

    REvil получила известность после ряда громких атак: в 2020-м ее жертвой стала американская бутиковая юридическая фирма для знаменитостей Grubman Shire Meiselas & Sachs: хакеры слили часть документов, связанных с работой юристов на Леди Гагу, и угрожали опубликовать некую информацию о Дональде Трампе (хотя тот не был клиентом фирмы). В марте 2021 года атаке группировке подвергся производитель компьютерной техники Acer.

    Но по-настоящему в центре внимания REvil оказалась летом 2021-го. 2 июня ФБР назвало группировку виновной в атаке на крупнейшего производителя мяса JBS. А месяц спустя злоумышленники потребовали выкуп у компании Kaseya, производителя программного обеспечения для удаленного администрирования, и сотен ее клиентов. К этому моменту на фоне угрозы, которую шифровальщики стали представлять для американской критической инфраструктуры, администрация Байдена сделала борьбу с ними приоритетом национальной безопасности, сопоставимым по значимости с контртеррористическими операциями.

    Дипломатический канал

    В своей первой реакции на операцию против REvil США приветствовали усилия России по борьбе с киберпреступниками, среди которых, по словам американцев, есть и человек, ответственный за атаку на оператора топливного трубопровода Colonial Pipeline (хотя за ним стояла другая группировка, DarkSide). Белый дом связал успех с дипломатией Джо Байдена и запуском российско-американского диалога по кибербезопасности.

    Речь идет о двусторонней экспертной группе, которая была сформирована после саммита в Женеве в июне 2021 года. Ее создание само по себе стало достижением: до этого несколько лет контакты по теме информационной безопасности между Москвой и Вашингтоном почти не велись, не говоря уже о практическом сотрудничестве, которое развивалось вплоть до начала 2010-х. Для США основной темой в рамках консультаций была именно тема шифровальщиков, в то время как российская сторона выступала за более широкий диалог. Внимание к этом процессу поддерживалось и на высшем уровне: через неделю после атаки на Kaseya в июле Джо Байден во время разговора с Владимиром Путиным призвал Россию активнее бороться с группировками, действующими с ее территории и наносящими ущерб США и другим странам.

    К началу осени Россия и США провели серию встреч в экспертном формате и договорились восстановить взаимодействие в рамках Договора о взаимной правовой помощи по уголовным делам 1999 года, включая предоставление материалов по конкретным хакерским группировкам, таким как REvil.

    Обмен информацией был самой сложной проблемой. Российским властям не нравилось, что США публично, не используя рабочие каналы коммуникации, требуют наказать неких хакеров, о деятельности которых в Москве узнают из СМИ. В свою очередь, американское разведсообщество несколько недель обсуждало, какими данными можно поделиться с Россией. Сомнения были связаны с неудачным прошлым опытом сотрудничества с Россией в этой области. Кроме того, в апреле 2021 года при введении очередных санкций США обвинили ФСБ в сотрудничестве с киберпреступниками и пособничестве им. Тем не менее именно предоставление США информации об именах и деятельности хакеров, очевидно, сыграло ключевую роль проведении операции против Revil.

    При этом Россия не единственный партнер США в борьбе с шифровальщиками. Администрация Байдена стремится собрать вокруг себя группу государств-единомышленников, которые разными средствами, от дипломатических до военных, противостояла бы этой угрозе. В октябре США провели виртуальную встречу 30 стран в рамках Инициативы по борьбе с шифровальщиками, куда не были приглашены ни Россия, ни Китай. Вскоре стало известно, что США совместно с группой стран провели собственную кибероперацию против REvil. В ноябре Европол собщил о задержании пяти подозреваемых в причастности к группировке. А в США обвинения в атаке на Kaseya предъявили гражданину Украины, находящемуся под стражей в Польше, и россиянину Евгению Полянину (был ли он среди арестованных сейчас участников REvil, неизвестно).

    Политический контекст

    Недоверие и политические разногласия между государствами явно играют на руку киберпреступникам. Слабое сотрудничество между правоохранительными органами позволяет группировкам уходить от ответственности. В этом смысле операция против REvil как первый осязаемый результат российско-американского диалога — шаг в верном направлении. Дальше можно было бы развивать сотрудничество, например, в борьбе с отмыванием средств, украденных киберпреступниками. Россия заинтересована в совместных действиях против инфраструктуры, используемой для крупных DDoS-атак, с которыми в прошлом году столкнулись российские банки.

    Однако оснований для оптимистических прогнозов мало. Продолжение диалога в рамках двусторонней группы, вероятно, потребует расширения повестки дня. Российская сторона сможет обоснованно заявить, что операция против REvil показывает готовность России реагировать на запросы США, а значит, встречные шаги нужны и от американцев. В Москве хотели бы, чтобы обсуждение кибербезопасности включало не только борьбу с шифровальщиками, но также и риски кибератак в военной сфере, возможность заключения соглашения о предотвращении киберинцидентов, угрозы критической инфраструктуре России. С американской стороны желания включить эти темы пока не было заметно, но, если диалог продолжится в одностороннем формате, он может быстро исчерпать себя.

    Но главным препятствием могут стать проблемы с безопасностью уже не в киберпространстве, а в «офлайновом» мире. Отсутствие прогресса в переговорах России с США и НАТО и перспективы обострения конфликта на Украине выдавливают все остальные сюжеты на периферию. Если нынешний кризис не разрешится дипломатическим образом, то на сохранение сотрудничества в сфере борьбы с киберугрозами вряд ли стоит рассчитывать. Более того, конфронтация может обостриться и в этой среде: во время пресс-конференции Джо Байдена по итогам первого года своего президентства он заявил о возможном ответе с помощью киберсредств на действия России в киберпространстве против Украины.

    Данная статья опубликована на страницах журнала «Forbes» по ссылке.

    #кибербезопасность 

    Как бороться с атаками программ-вымогателей

    Программа-вымогатель

    , несомненно, является одной из самых больших киберугроз. затрагивающие организации во всем мире сегодня.

    Хакеры изменили свою тактику и вместо того, чтобы нацеливаться на каждый день потребителей, они гонятся за деньгами и сосредотачивают свое внимание на предприятий, в которых есть гораздо более высокая отдача от инвестиций.

    Атаки программ-вымогателей на предприятия выросли на 363 % за последний год, и, по данным службы безопасности Trend Micro, Сводный отчет, было обнаружено более 61 миллиона атак программ-вымогателей в 2019 году.

    Наиболее часто целевые отрасли включают местные органы власти, академические институты, технологический сектор, здравоохранение, производство, финансовые услуги и СМИ компании. Тем не менее, каждая отрасль и бизнес является потенциальной мишенью и должны принять все необходимые меры для предотвращения нападения.

    К сожалению, многие организации не принимают угрозы достаточно серьезно, и только тогда, когда они находятся на принимающей стороне калечащую атаку программ-вымогателей, в которую они тратят надлежащее время и ресурсы улучшая свою защиту от киберугроз.На этом этапе часто бывает слишком поздно, т.к. ущерб уже нанесен.

    Что такое программы-вымогатели?

    Программа-вымогатель — это тип вредоносное ПО, которое не позволяет пользователям получить доступ к своей системе, шифруя файлы и требуя выкуп за разблокировку системы. Выкуп оплата обычно запрашивается в биткойнах или в других криптовалютах, которые трудно проследить. Киберпреступники обычно назначают крайний срок для выкуп, который должен быть выплачен, и если крайний срок пройдет, выкуп будет уплачен дублируется или файлы навсегда заблокированы.

    Некоторые варианты программ-вымогателей предназначены для распространения быстро на другие машины в сети. Именно это и произошло в 2017 году Атака WannaCry, когда программа-вымогатель зашифровала сотни тысяч компьютеров более чем в 150 странах. В течение нескольких часов программа-вымогатель нанесла хаос по всему миру, в результате чего треть британских трастов NHS превратилась в виртуальный застой.

    Записка о выкупе WannaCry (Источник: Bleeping Computer)

    Как сделать вы получаете Ransomware?

    Существует несколько способов проникновения программ-вымогателей может заразить ваш компьютер.Самый распространенный способ — через фишинг электронные письма, содержащие вредоносные ссылки или вложения. Электронные письма будут отображаться исходить из авторитетного источника, и после перехода по ссылке или вложения откроется, вредоносная программа установится в систему и начнет шифровать файлы.

    Программа-вымогатель

    также может быть доставлена ​​через компрометацию подключения к удаленному рабочему столу, вредоносные веб-сайты, зараженные съемные носители и даже приложения для обмена сообщениями в социальных сетях.

    Что делать в случае атаки программы-вымогателя

    1.Изолировать зараженные машины

    При атаке программы-вымогателя скорость имеет решающее значение. Если вы подозреваете, что ваш компьютер заражен, вам следует немедленно отключить его от сети, отсоединив кабель Ethernet и отключив Wi-Fi, Bluetooth и любые другие сетевые возможности. Программа-вымогатель распространяется через ваше сетевое соединение, поэтому, если вы сможете изолировать зараженную машину, это предотвратит ее распространение и заражение других устройств в сети. Если вы подозреваете, что скомпрометировано более одной машины, примените те же меры.

    2. Сообщите в службу ИТ-безопасности

    Ваша ИТ-команда должна быть немедленно уведомлена, чтобы они могли сдержать распространение программы-вымогателя и внедрить правильные процедуры для борьбы с атакой. Здесь вступает в действие план реагирования на инциденты. План поможет обеспечить надлежащее управление инцидентом, сбор, регистрацию и сохранение всех доказательств, а также максимально быстрое и эффективное решение ситуации. Предоставление подробной временной шкалы нарушения поможет выявить слабые места в процедурах и улучшить защиту безопасности в будущем.

    3. Определите тип программы-вымогателя

    Если вы сможете определить тип программы-вымогателя, которая используется в атаке, это поможет вам понять, как она распространяется, какие типы файлов она шифрует и как ее можно удалить. Существует множество различных штаммов программ-вымогателей, но наиболее распространенными являются программы-вымогатели с блокировкой экрана и программы-вымогатели с шифрованием. Первый решить проще всего, и, несмотря на блокировку всей системы, файлы будут в безопасности до тех пор, пока не будет выплачен выкуп.От второго избавиться намного сложнее. Вместо того, чтобы отказывать пользователю в доступе, он находит все конфиденциальные данные, шифрует их, а затем требует оплаты за расшифровку и восстановление данных.

    4. Информировать сотрудников

    Вы должны немедленно сообщить своим сотрудникам о нарушении, объяснить, что это значит для компании, и указать, какие шаги вы предпримете, чтобы смягчить последствия инцидента. Независимо от того, были ли их компьютеры заражены напрямую или нет, в центре города, вероятно, будут какие-то операции, пока идет расследование инцидента.Сотрудники, естественно, будут беспокоиться о влиянии атаки на их работу, поэтому важно быть прозрачными и полностью информировать их о развитии ситуации.

    5. Изменить учетные данные для входа

    Программы-вымогатели могут быстро распространяться путем сбора IP-адресов и учетных данных. Если хакерам удастся скомпрометировать административные учетные данные, они могут перемещаться по сети, шифровать файлы и уничтожать резервные копии в процессе. Чтобы обеспечить безопасность вашей системы и не допустить, чтобы хакеры помешали вашим усилиям по восстановлению, вы должны немедленно изменить все учетные данные администратора и пользователя.

    6. Сфотографируйте записку с требованием выкупа

    Если возможно, сфотографируйте записку с требованием выкупа на свой мобильный телефон. Это может быть использовано в качестве доказательства, когда вы сообщаете о происшествии в полицию. Это свидетельство необходимо, если вы подаете заявление о киберстраховании, а фотография также может предоставить дополнительную информацию о методе атаки.

    7. Уведомить власти

    Важно уведомить полицию, если вы подверглись нападению, чтобы они могли полностью расследовать инцидент и помочь предотвратить ту же участь других компаний.Если ваша организация обрабатывает данные, принадлежащие гражданам ЕС, вы обязаны в соответствии с GDPR проинформировать ICO в течение 72 часов о нарушении. Невыполнение этого требования может привести к штрафу в размере до 4% от годового мирового оборота или 20 миллионов евро (в зависимости от того, что больше).

    8 . Никогда не платить выкуп

    Национальное агентство по борьбе с преступностью настоятельно рекомендует организациям не платить выкуп, поскольку это поощряет киберпреступников к новым атакам, и порочный круг продолжается.Если вы решите заплатить выкуп, нет никакой гарантии, что вы когда-нибудь вернете свои файлы, и, во всяком случае, это увеличит ваши шансы на то, что вы снова станете мишенью в будущем.

    9. Обновление систем безопасности

    После устранения инцидента вам необходимо провести аудит безопасности и обновить все системы. Обновления следует устанавливать, как только они становятся доступными, чтобы предотвратить использование хакерами уязвимостей в старых версиях программного обеспечения. Регулярное исправление гарантирует, что машины будут поддерживаться в актуальном состоянии, стабильны и защищены от вредоносных программ.

    10. Восстановление из резервных копий

    Ключом к быстрому восстановлению после атаки программ-вымогателей является наличие актуальных резервных копий важных файлов. Правило 3-2-1 — лучший подход к резервному копированию и восстановлению. Следуя этому правилу, у вас должно быть 3 копии ваших данных в двух разных форматах хранения, причем по крайней мере одна копия должна находиться вне офиса. Это позволит вам быстро восстановить свои данные, не подвергаясь шантажу и требуя выкупа.

    Как предотвратить Атаки программ-вымогателей
    • Сотрудники должны проходить регулярные курсы повышения осведомленности о кибербезопасности, чтобы информировать их о возникающих киберугрозах и о том, как обнаруживать ранние стадии атаки.
    • Резервное копирование данных на регулярной основе.
    • Ограничение разрешений пользователей на установку и запуск программных приложений. Это может ограничить способность вредоносного ПО распространяться по сети.
    • Регулярно обновляйте программное обеспечение и устанавливайте исправления, как только они становятся доступными.
    • Установите антивирусное программное обеспечение на все устройства.
    • Сканировать все входящие и исходящие сообщения электронной почты для обнаружения угроз.
    • Следуйте рекомендациям по обеспечению безопасности, чтобы свести к минимуму риск заражения. Не переходите по ссылкам и не загружайте вложения из неизвестных источников.
    • Настройте брандмауэры для блокировки доступа к вредоносным IP-адресам.
    • Создайте надежные пароли и включите многофакторную аутентификацию для дополнительной безопасности учетных записей.

    Фишинг является основной причиной всех кибератак и продолжает оставаться одним из самых простых способов кражи ценных данных и доставки программ-вымогателей.MetaPhish был создан для обеспечения мощной защиты от этих угроз и позволяет организациям узнать, насколько их компания подвержена фишингу. Свяжитесь с нами для получения дополнительной информации о том, как можно использовать MetaPhish для защиты вашего бизнеса.

    Как реагировать на атаку программ-вымогателей: Совет федерального агента

    открытые ссылки для обмена закрыть ссылки для обмена

    Атаки программ-вымогателей могут нанести ущерб критически важной инфраструктуре и цепочкам поставок, создать кризис для компаний и обогатить злоумышленников.

    Они продолжают расти: в 2021 году произошло несколько заметных инцидентов. В марте страховая компания CNA Financial заплатила 40 миллионов долларов, чтобы восстановить доступ к своим данным. Colonial Pipeline, один из крупнейших поставщиков нефти на Восточном побережье, заплатила выкуп в размере 4,4 миллиона долларов после нападения в мае. В том же месяце один из крупнейших в мире поставщиков мяса, JBS Meats, заплатил 11 миллионов долларов после того, как атака программы-вымогателя угрожала нарушить глобальное снабжение продовольствием.

    Даже небольшие компании подвергаются все большему риску, по словам Стивена Никса, помощника специального агента, ответственного за управление США.С. Секретная служба. Киберсубъекты более низкого уровня начинают запрашивать меньшие платежи в размере 500 или 1000 долларов США за атаки на более мелкие «мамаши и папы» предприятия, сказал Никс, который работает в Национальной объединенной целевой группе по расследованию киберугроз. Все больше компаний сталкиваются с тем, как реагировать на атаки программ-вымогателей и платить ли выкуп.

    Первый совет федеральных агентств прост: не платите хакерам-вымогателям, сказал Никс на недавней конференции EmTech CyberSecure, организованной MIT Technology Review.«Я хочу прямо сказать, что вы услышите, как каждое федеральное правоохранительное [агентство] говорит: «Не платите выкуп», — сказал Никс. (Эксперты сообщают, что есть и другие способы получения данных.)

    Но Никс признал, что платить выкуп — чреватое деловое решение для частных компаний, и многие решают платить выкуп.

    В любом случае он выделил пять моментов, о которых компаниям следует подумать при принятии этого решения:

    Контактные органы

    Nix призвал компании обращаться в федеральные агентства после того, как они подверглись нападению, и когда они решают, платить ли выкуп.Власти могут предоставить ценную информацию, такую ​​как:

    46%

    Около 46% времени компании не восстанавливают полный доступ к информации после уплаты выкупа, согласно опросу 1263 специалистов по безопасности, проведенному Cybereason, поставщиком кибертехнологий, в 2021 году.

    Средства расшифровки. Федеральные агентства могут отследить атаку программы-вымогателя до типа программы-вымогателя, которую можно расшифровать. Это означает получение информации обратно без необходимости платить что-либо.(Кроме того, веб-сайт nomoreransom.org стремится помочь жертвам программ-вымогателей, которые не платят, с помощью инструментов дешифрования и другой информации.)

    Информация о различных сценариях. Схемы вымогательства без шифрования стали более распространенными, сказал Никс. В этих ситуациях хакеры рассылают массовые электронные письма, сообщая компаниям, что, хотя они еще не зашифровали свои данные, хакеры находятся в их системах, поэтому они должны заплатить. Многие компании решают заплатить, а затем двигаться дальше. Но есть и другие вещи, которые следует учитывать, и вопросы, которые могут поднять власти, например, имеют ли хакеры вообще доступ к данным, и если да, то можно ли воспроизвести или создать резервную копию с помощью других средств.«Я не говорю не платить выкуп, — сказал он, — но подумайте об этих вопросах, прежде чем делать это».

    Nix советует компаниям, подвергшимся атакам программ-вымогателей, посетить веб-сайт stopransomware.gov, на котором размещено множество информации от федеральных органов и информация о том, как с ними связаться. «[Даже] если вы не позвоните в Секретную службу или ФБР», — сказал он. «Если вы пойдете туда, там есть важная информация для вас, чтобы справиться с этой проблемой».

    Веб-сайт Агентства кибербезопасности и безопасности инфраструктуры (CISA) также содержит ценную информацию.

    Если вы «заплатите что-нибудь, скажите что-нибудь»

    «Как только вы заплатите, мы хотели бы услышать об этом», — сказал Никс, отметив, что его агентство приняло поговорку «Заплати что-нибудь, скажи что-нибудь».

    Причины включают:  

    Возможность возврата денег. Федеральные агентства иногда могут отслеживать и даже конфисковывать платежи, которые обычно осуществляются с помощью криптовалюты, сказал Никс, что является одной из причин, по которой агентства хотели бы услышать от компаний. «Как мы можем установить связь с конкретной жертвой, если мы даже не знали, что вы сделали платеж с самого начала?» он сказал.Например, Министерство юстиции конфисковало большую часть биткойнов, которые Colonial Pipeline заплатила злоумышленникам-вымогателям.

    Взгляд на актеров. Никс и другие эксперты извлекли уроки из десятков нападений и даже имеют психологические профили участников переговоров о выкупе. «Не забывайте, это всего лишь бизнес-модель», — сказал он. «Эти высокопоставленные киберсубъекты отдали на откуп переговоры. В нескольких вариантах используется одна и та же записка о выкупе». Никс сказал, что может консультировать компании по таким вопросам, как процент требований выкупа, принятых злоумышленниками, и могут ли они потребовать больше денег позже.

    Знайте, что может произойти после оплаты

    Атаки программ-вымогателей не обязательно заканчиваются оплатой. По словам Никса, примерно в 46% случаев, когда выплачиваются выкупы, инструмент дешифрования не работает полностью, и компании не восстанавливают полный доступ к своей информации.

    Связанные статьи

    Кроме того, после уплаты выкупа компании с большей вероятностью снова станут жертвами — некоторые фирмы сталкиваются с двойным и тройным вымогательством, когда люди снова и снова возвращаются за компанией.Никс сказал, что сегодня около 70% переговоров о программах-вымогателях — это случай двойного вымогательства. «Тот факт, что вы восприимчивы, что вы платите, они возвращаются за вами», — сказал он.

    Понимание последствий оплаты По словам Никса, выкуп

    позволяет кибер-акторам тратить деньги на исследования и разработки и нанимать более квалифицированных людей. По его оценкам, за последние несколько лет около 40% выкупных платежей шли на анализ того, как действовать в будущем.Иногда хакеры просят киберинструменты — коды или программное обеспечение — вместо денег. «С их стороны очень разумно просить об этом, но для любого бизнеса очень глупо фактически покупать какие-либо из этих киберинструментов или программного обеспечения и отправлять эти коды за границу», — сказал Никс.

    Выплата выкупа также побуждает актеров продолжать нападать на компании. «Если мы продолжим выплачивать выкуп, это не закончится. Это будет продолжать распространяться и ухудшаться», — добавил он.

    Помните о профилактике

    В идеале компании никогда не столкнутся с такими сценариями.По его словам, фишинг по-прежнему остается основной причиной кибератак. «Поэтому при выполнении резервных копий, установке исправлений и просто базовой кибергигиене вам даже не придется разговаривать с нами».

    Читать далее: 8 нетехнических способов улучшить кибербезопасность вашей компании  

    7 шагов, которые помогут предотвратить и ограничить воздействие программ-вымогателей

    От местных органов власти до крупных организаций атаки программ-вымогателей происходят повсюду. Мы все должны помочь предотвратить их успех.

    Программа-вымогатель — это тип вредоносного ПО, которое блокирует доступ к системе, устройству или файлу до тех пор, пока не будет выплачен выкуп. Программа-вымогатель делает это, шифруя файлы на конечной точке, угрожая стереть файлы или блокируя доступ к системе. Это может быть особенно опасно, когда атаки программ-вымогателей затрагивают больницы, центры экстренного вызова и другую критически важную инфраструктуру.

    Для защиты от программ-вымогателей требуется целостный комплексный подход, объединяющий всю вашу организацию.Ниже приведены семь способов, которыми организации могут помочь остановить атаки и ограничить воздействие программ-вымогателей. Мы сопоставили каждую из них с применимыми рекомендациями по обеспечению безопасности CIS Controls, чтобы вы могли узнать больше по каждой теме.

    MS-ISAC рекомендует, чтобы резервное копирование важных данных было единственным наиболее эффективным способом восстановления после заражения программами-вымогателями. Однако есть некоторые вещи, которые следует учитывать. Ваши файлы резервных копий должны быть соответствующим образом защищены и храниться в автономном режиме или вне сети, чтобы злоумышленники не могли их использовать.Использование облачных сервисов может помочь смягчить заражение программами-вымогателями, поскольку многие из них сохраняют предыдущие версии файлов, что позволяет вам вернуться к незашифрованной версии. Обязательно регулярно проверяйте резервные копии на эффективность. В случае атаки перед откатом убедитесь, что ваши резервные копии не заражены.

    CIS Control 11 предоставляет дополнительную информацию о том, как составить план восстановления данных.

    2. Разработка планов и политик

    Создайте план реагирования на инциденты, чтобы ваша группа ИТ-безопасности знала, что делать во время события программы-вымогателя.План должен включать в себя определенные роли и способы обмена информацией во время атаки. Вы также должны включить список контактов, таких как любые партнеры или поставщики, которые должны быть уведомлены. Есть ли у вас политика «подозрительной электронной почты»? Если нет, рассмотрите возможность создания политики для всей компании. Это поможет обучить сотрудников тому, что делать, если они получат электронное письмо, в котором не уверены. Это может быть так же просто, как пересылка электронной почты команде ИТ-безопасности.

    Просмотрите CIS Control 17, чтобы узнать больше о реагировании на инциденты и управлении ими.

    3. Проверьте настройки порта

    Многие варианты программ-вымогателей используют порт 3389 протокола удаленного рабочего стола (RDP) и порт 445 блока сообщений сервера (SMB). Подумайте, нужно ли вашей организации оставлять эти порты открытыми, и рассмотрите возможность ограничения подключений только доверенными узлами. Обязательно ознакомьтесь с этими параметрами как для локальной, так и для облачной среды, работая с поставщиком облачных услуг, чтобы отключить неиспользуемые порты RDP.

    CIS Control 4 описывает различные способы, которыми ваша организация может управлять сетевыми портами, протоколами и службами.

    4. Защитите свои конечные точки

    Убедитесь, что ваши системы настроены с учетом требований безопасности. Параметры безопасной конфигурации могут помочь ограничить поверхность угроз вашей организации и устранить пробелы в безопасности, оставшиеся от конфигураций по умолчанию. CIS Benchmarks — отличный бесплатный выбор для организаций, стремящихся внедрить лучшие в отрасли конфигурации, разработанные на основе консенсуса.

    Ознакомьтесь с CIS Control 4 для получения дополнительной информации о безопасных конфигурациях.

    5. Поддерживайте системы в актуальном состоянии

    Убедитесь, что все операционные системы, приложения и программное обеспечение вашей организации регулярно обновляются.Применение последних обновлений поможет закрыть бреши в системе безопасности, которыми хотят воспользоваться злоумышленники. По возможности включите автоматические обновления, чтобы автоматически получать последние исправления безопасности.

    Дополнительную информацию об обновлении и управлении уязвимостями можно найти в CIS Control 7.

    6. Обучите команду

    Обучение по вопросам безопасности является ключом к предотвращению распространения программ-вымогателей. Когда сотрудники могут обнаруживать вредоносные электронные письма и избегать их, каждый играет свою роль в защите организации.Обучение по вопросам безопасности может научить членов команды тому, что нужно искать в электронном письме, прежде чем они нажмут на ссылку или загрузят вложение.

    Более подробная информация о том, как внедрить программы повышения осведомленности и обучения безопасности, доступна в CIS Control 14.

    7. Внедрение IDS

    Система обнаружения вторжений (IDS) ищет вредоносные действия, сравнивая журналы сетевого трафика с сигнатурами, обнаруживающими известные вредоносные действия. Надежная IDS будет часто обновлять сигнатуры и быстро оповещать вашу организацию, если обнаружит потенциальную вредоносную активность.

    CIS Control 8 описывает обслуживание, мониторинг и анализ журналов аудита, которыми управляет большинство коммерческих IDS.

    Кроме того, компания CIS разработала технологию сетевого мониторинга Albert. Это решение IDS предназначено для государственных, местных, племенных и территориальных (SLTT) государственных организаций США. Пользовательский набор сигнатур, используемый Альбертом, позволяет ему очень эффективно обнаруживать программы-вымогатели. Подписи на Albert ежедневно обновляются, чтобы гарантировать, что организации получают новейшую защиту от угроз.

    Когда программа-вымогатель наносит удар, вашей организации важно быть уведомленным и быстро провести расследование. По данным Crowdstrike, зрелым организациям требуется 10 минут, чтобы расследовать вторжение. Однако только 10% организаций могут соответствовать этому критерию. (Источник) С помощью Albert Network Monitoring организации, затронутые программами-вымогателями, переходят от обнаружения события к уведомлению в течение шести минут после вредоносной активности.

    Что происходит в эти шесть минут? Аналитики Центра управления безопасностью (SOC), работающего в режиме 24x7x365 CIS, проводят начальное расследование, подтверждая вредоносную активность, изучая любую историческую активность затронутого хоста, собирая рекомендации по безопасности для пострадавшей организации и уведомляя пострадавшую организацию своим анализом безопасности и рекомендациями.Кибераналитики доступны для организаций, использующих Albert, круглосуточно по телефону и электронной почте, чтобы отвечать на вопросы, запрашивать данные и помогать организациям улучшать свою защиту.


    Идентификатор технических статей: KB89805
    Последнее изменение: 23 февраля 2022 г.


    Окружающая среда

    Endpoint Security (ENS) Threat Prevention 10.x
    Host Intrusion Prevention (Host IPS) 8.0
    VirusScan Enterprise (VSE) 8.8

    Резюме

    В этой статье представлены общие рекомендации для лиц, оказывающих первую помощь во время эпидемии программы-вымогателя.

    Программа-вымогатель — это вредоносное ПО, использующее асимметричное шифрование для хранения информации жертвы с целью получения выкупа. Асимметричное (общедоступное-частное) шифрование — это криптография, использующая пару ключей для шифрования и расшифровки файла. Злоумышленник уникальным образом генерирует пару открытого и закрытого ключей для жертвы с закрытым ключом для расшифровки файлов, хранящихся на сервере злоумышленника.Скомпрометированный пользователь должен заплатить выкуп, чтобы получить закрытые ключи для расшифровки файлов.

    В настоящее время существует множество различных вариантов программ-вымогателей. Как правило, программы-вымогатели и другие вредоносные программы распространяются с помощью спам-кампаний, фишинговых писем или целевых атак. Наши продукты для обеспечения безопасности используют несколько технологий, которые помогают предотвратить программы-вымогатели.

    Выполните следующие действия, чтобы отреагировать на эпидемию программы-вымогателя в вашей среде:

    1. Определите и изолируйте затронутые системы.
      Изоляция затронутых систем помогает предотвратить распространение угрозы. Не все угрозы или варианты программ-вымогателей демонстрируют такое поведение. Дополнительные сведения см. в статье KB81336 — Как создать отчет об источнике угроз для VirusScan Enterprise в ePolicy Orchestrator.
       
    2. Применение обновлений для устранения уязвимостей и обеспечение соответствия экологическим требованиям:
      • Применение любых обновлений производителя или операционной системы на всех системах. Это действие имеет решающее значение для устранения уязвимости, которую использует вредоносное ПО.Если даже одна система не будет обновлена, вы обнаружите брешь в вашей среде, которой может воспользоваться вредоносное ПО.
      • Убедитесь, что среда соответствует требованиям существующей политики безопасности. Не все варианты программ-вымогателей используют уязвимости приложений или операционной системы.
         
    3. Применение соответствующих правил ENS/Host IPS/VSE к сетевым системам для всех известных действий программ-вымогателей. Подробности смотрите в соответствующих статьях:
    4. Подтвердите применение рекомендуемых передовых практик.Подробности смотрите в соответствующих статьях:
    5. Примените, протестируйте и разверните соответствующий файл Extra.DAT (если он доступен).
      Extra.DAT — это временный файл обнаружения, предназначенный для обнаружения и удаления угроз. Это файл, который еще не был добавлен к обычным файлам DAT. Если McAfee Labs предоставила Extra.DAT, рекомендуется применить и протестировать его локально на зараженной системе. После того, как вы должным образом протестировали Extra.DAT, примените его для запуска полного сканирования системы по требованию (ODS).
    6. Запустите полную ODS на всех системах.
    7. Подтвердить контроль окружающей среды.
      Проверить наличие угроз, обнаруженных за последние 24 часа. Дополнительные сведения см. в соответствующих статьях:
    8. Переведите изолированные системы обратно в оперативный режим после подтверждения их чистоты.
      После подтверждения чистоты изолированных систем мы рекомендуем вам снова подключить их к сети небольшими группами и после этого внимательно следить за их поведением.
       
    9. Восстановите затронутые файлы из резервной копии.
      Когда все системы будут очищены и снова подключены к сети, восстановите файлы уязвимых приложений из заведомо исправного источника резервных копий или теневого тома Windows.
       
    10. Реагирование на инциденты и принятие упреждающих мер.
      Блокировка типов файлов на шлюзе — лучшая и самая простая линия защиты (см. перечисленные ниже типы файлов). Программы-вымогатели, загрузчики и JS/Nemucod маскируются друг под друга. Как правило, загрузчики приходят в спаме или фишинговых письмах в формате DOC или XLS, реже — в формате JS. JS/Nemucod поступает в виде спама или фишинговых писем, тогда как J. Ransomware поступает как JS, EXE, TMP, SCR и WSF. Большинство установщиков помещают EXE-файл в каталог профиля пользователя.Защититься от программ-вымогателей проще, если вы также защитите их от установщиков и дропперов.
       
      Для загрузчиков и Nemucod (троян): создайте правила брандмауэра, чтобы Microsoft Word, Microsoft Excel, скрипты и PowerShell не могли совершать исходящие вызовы. Вам также необходимо создать соответствующие списки разрешений на основе законного трафика, генерируемого этими приложениями.

      Например, если организация использует Office 365, см. документ Microsoft URL-адреса и диапазоны IP-адресов Office 365. К конечным точкам относятся полные доменные имена, порты, URL-адреса, диапазоны адресов IPv4 и диапазоны адресов IPv6 , которые нужно включить в списки разрешенных исходящих сообщений.Эти конечные точки гарантируют, что ваши компьютеры могут успешно использовать Office 365. 
       
      Также рекомендуется блокировать архивные файлы, если это не противоречит политикам компании. Примерами архивных файлов являются ZIP, RAR, TAR и JAR.
       

    11. Рассмотрите возможность реализации дополнительных рекомендаций:
      • Ознакомление с безопасностью и обучение:
        • Имитация фишинговой/спамовой кампании, чтобы донести информацию о безопасности до тех пользователей, которые стали жертвами атак социальной инженерии.
        • Напомните пользователям дважды подумать, прежде чем переходить по ссылкам, отправленным по электронной почте.
        • Проинструктируйте пользователей не открывать неизвестные или незапрошенные вложения файлов, если это не требуется от отправителя. Просмотрите заголовок электронной почты или отправьте отдельное электронное письмо, чтобы проверить отправителя, прежде чем открывать вложения.
        • Сообщите о подозрительной электронной почте в Центр управления безопасностью организации. Напомните своим пользователям, как и где безопасно отправлять подозрительные электронные письма.
      • Отключить макросы в приложениях Microsoft Office. Макросы могут выполняться в приложениях Office, если выполняется одно из следующих действий:
        • Выберите параметр  Включить все макросы в разделе Настройки макросов .
        • Вручную включить макрос.
          ПРИМЕЧАНИЕ. Макросы отключены по умолчанию. Мы рекомендуем выбрать параметр Отключить все макросы с уведомлением в разделе Настройки макросов .
      • Пользователи должны создавать резервные копии бизнес-данных в общих папках организации. Данные, хранящиеся на пользовательских устройствах, могут быть безвозвратно потеряны во время заражения программами-вымогателями.
      • Блокировать вложения .EXE, .RAR, .SCR, .CAB, .VBS, .BAT, .WSF, .JS и подобные вложения на почтовом и веб-шлюзе.
      • Предотвратите запуск PowerShell в системах, в которых PowerShell не предназначен для работы.
      • Убедитесь, что нет политик списка разрешений, которые исключают вложения .doc, .docx, .xls, .xlsx или .JS из проверки на спам или вирусы.
      • Установите подключаемый модуль браузера SiteAdvisor Enterprise, чтобы обнаруживать спам-вложения и блокировать доступ к вредоносным доменам.
      • Используйте почтовые и веб-шлюзы, которые выявляют вредоносные ссылки и блокируют электронные письма со ссылками или вложениями.
      • Включить фильтрацию спама.

    Предотвращение программ-вымогателей (и действия в случае атаки)

    ИНДИВИДУАЛЬНОЕ ПРЕДЛОЖЕНИЕ Индивидуальное предложение

    WannaCry звучит как название хипстерской группы, но на самом деле это прозвище программы-вымогателя, которая недавно заразила более 200 000 компьютерных систем по всему миру. мир.Атака нанесла ущерб предприятиям, больницам и транспортным системам по всему миру. Тот факт, что одна вредоносная программа оказала такое масштабное воздействие, только иллюстрирует постоянную потребность бизнеса в лучшем понимании предотвращения программ-вымогателей.

    В этом посте мы рассмотрим угрозу программ-вымогателей, наметим стратегии предотвращения заражения программами-вымогателями и рассмотрим действия, которые необходимо предпринять в случае атаки на ваш бизнес.

    Что такое программа-вымогатель?

    Любой, кто сталкивался с историей похищения людей, вероятно, читает слово «выкуп» и думает о сумке или портфеле, набитом деньгами и брошенном в безопасном месте.Итак, как это связано с кибербезопасностью?

    С помощью программ-вымогателей киберпреступники эффективно похищают данные организации (поскольку в этом нет детей, мы можем назвать это кражей данных). На самом деле, согласно отчету Symantec об угрозах безопасности в Интернете за 2017 год, «в 2016 году количество обнаруженных программ-вымогателей увеличилось на 36 процентов», и они остаются опасной угрозой как для отдельных лиц, так и для организаций.

    Рис. 1. Выводы программ-вымогателей от Symantec

    Заражение программами-вымогателями обычно происходит в результате рассылки спама по электронной почте или веб-атак.Работники, получающие электронное письмо с программой-вымогателем, могут заразить свой компьютер, щелкнув вредоносное вложение, или сотрудники могут посетить вредоносную веб-страницу, предназначенную для загрузки наборов эксплойтов, использующих уязвимости компьютера для установки вредоносного ПО.

    Если это случится с вами, установленная программа-вымогатель зашифрует ваши важные документы и файлы, оставив в покое необходимые файлы операционной системы. Таким образом, вы не можете получить доступ к личным документам и файлам, пока не заплатите выкуп и не получите ключ дешифрования от злоумышленника.

    «Злоумышленники требуют от жертв все больше и больше, при этом средний размер выкупа в 2016 году вырос до 1077 долларов по сравнению с 294 долларами годом ранее». – Symantec

    Злоумышленники часто запрашивают выкуп в виде анонимных платежей в биткойнах, и они сильно бьют по американцам. Исследование Symantec показывает, что киберпреступники концентрируют свои усилия в первую очередь на странах с развитой экономикой, при этом США являются наиболее пострадавшим регионом.

    Рисунок 2. Выводы из отчета Symantec Threat Report

    В случае атаки WannaCry вредоносное ПО имело характеристики как программы-вымогателя, так и червя.Атака зашифровала только машину локального пользователя, но также стремилась заразить другие уязвимые машины в той же сети.

    «Очевидно, что это следующая эволюция вредоносного ПО», — сказал Wired исследователь кибербезопасности Cisco Крейг Уильямс. «Это привлечет подражателей».

    Хотите знать, как распространяется вирус? Посмотрите анимированную карту заражения WannaCry от New York Times.

    Лучшие методы предотвращения программ-вымогателей

    Хакеры, вероятно, превзойдут вас, когда дело доходит до технических ноу-хау.Итак, что может сделать ваша организация для лучшей защиты от атак программ-вымогателей?

    Когда дело доходит до безопасности, у людей есть главный недостаток: доверие. Слишком сильно доверяя, один человек — а для этого нужен только один — откроет вредоносный документ, который приведет к компрометации данных, что повлияет на всю компанию.

    Думая, что ваша организация на самом деле не является целью, и полагая, что можно предлагать блокировку серверных сообщений (SMB) через Интернет для совместного доступа к файлам или принтерам, вы также открываете двери для злоумышленника, которому нужно заразить только один компьютер, чтобы заразить всю сеть.Лучший выход из последней волны программ-вымогателей, использующих SMB, — это полностью отключить SMBv1 в Windows (WannaCry нацелен на более старые версии Microsoft Windows).

    Когда дело доходит до предотвращения атак программ-вымогателей, необходимы упреждающие подходы. Подобно иммунизации себя от физического вируса, организация должна планировать заранее, чтобы остановить заражение компьютера.

    Обновление безопасности. Регулярно выпускаются новые варианты программ-вымогателей. Чтобы не стать жертвой последней версии, постоянно обновляйте программное обеспечение безопасности и операционные системы.Не облегчайте работу киберпреступникам — обновляйте все устаревшее и неисправленное программное обеспечение и следите за соблюдением антивирусных правил и сигнатур.

    Брандмауэры Bolster . Брандмауэры используются для идентификации и анализа различных типов сетевого трафика. Когда становится известно об атаках программ-вымогателей, предлагается информация, помогающая отфильтровать угрозу. Например, в WannaCry требовалось явно запретить весь трафик для (TCP) порта 445 — SMB, (UDP) 137, (UDP) 138 и (TCP) 139.

    Будьте осторожны с электронной почтой .Научите сотрудников относиться к каждому электронному письму с осторожностью. Подтвердить. Проверять. Относитесь ко всему как к потенциально вредоносному, пока не доказано обратное. Убедитесь, что адрес электронной почты является законным. Ищите очевидные опечатки и грамматические ошибки в основном тексте. Наведите указатель мыши на любую ссылку (не нажимая на нее), чтобы увидеть URL-адрес. Считайте это особым красным флажком, если электронное письмо Microsoft Office предлагает вам включить макросы для просмотра его содержимого.

    59 % заражений программами-вымогателями происходит по электронной почте — Osterman Research

    Будьте внимательны к новостям кибербезопасности .Во время недавней атаки в Европе наблюдалась тенденция к высокому уровню заражения, когда люди приступили к работе. Отслеживая сообщения о заражении, у североамериканских компаний было бы несколько дополнительных часов, чтобы смягчить и определить потенциальные векторы атак и закрыть их до начала рабочего дня своих сотрудников.

    Резервное копирование . Да, мы все слышали это снова и снова. Но если у вас есть текущая резервная копия важных данных, вам не нужно полагаться на киберпреступников для разблокировки данных.

    Резервное копирование Смарт. Совет по резервному копированию заслуживает повторения. Кроме того, разумно хранить резервные копии вне офиса и в автономном режиме на надежных носителях, таких как магнитная лента. В противном случае, если ваша резервная копия доступна из сети, вы рассматриваете возможность выкупа резервной копии!.

    Если вы пострадали от атаки программы-вымогателя

    Осознание того, что ваш бизнес стал жертвой атаки программы-вымогателя, вызывает стресс. Тем не менее, первое, что нужно сделать, это попытаться отреагировать спокойно. Эти дополнительные стратегии могут помочь вам предотвратить более широкое заражение и восстановить доступ к компьютерам и файлам.

    Отключить. Это немного похоже на ампутацию конечности, чтобы избежать распространения инфекции на остальные части тела. Отключение зараженного устройства от Интернета и любых других устройств необходимо для безопасности большей сети.

    Определите, с чем вы имеете дело. Используйте информацию из записки о выкупе, чтобы разобраться в ситуации. Введите адрес электронной почты, название программы-вымогателя или даже текст заметки в поисковую систему, чтобы узнать больше.Вы можете обнаружить, что киберпреступник блефует, или вы можете получить доступ к доступному расшифровщику.

    Удаление программы-вымогателя. Простые вирусы-вымогатели можно очистить, удалив вредоносное ПО в безопасном режиме системы. Однако агрессивные программы-вымогатели отключают параметры восстановления системы, и вам может потребоваться запустить антивирусный сканер с загрузочного диска или USB-накопителя.

    Сообщить о преступлении. Обратитесь в правоохранительные органы, как правило, в ближайший офис ФБР, чтобы сообщить, что вы стали жертвой атаки программы-вымогателя.Это может расстраивать, так как они могут мало чем помочь, но информирование их может помочь другим избежать подобной участи.

    Вернуться к резервным копиям. Серьезно, мы уже упоминали, насколько разумно часто делать резервные копии? Переустановив операционную систему и восстановив файлы из резервных копий, вы снова сможете работать с самыми важными файлами.

    Стоимость программ-вымогателей

    Программы-вымогатели существуют со времен PC Cyborg Джозефа Поппа в 1989 году.Поскольку преступники зарабатывают на этих атаках, можно ожидать, что они будут продолжаться. Только за первый квартал 2016 года киберпреступники вымогали у предприятий 209 миллионов долларов.

    В 2016 году исследование IBM Security показало, что 70 процентов бизнес-жертв платили выкуп. Тем не менее, выплата выкупа не является гарантией того, что ваши проблемы закончились. Вы можете заплатить деньги и никогда не получить ключ восстановления взамен. Во время вспышки WannaCry аналитики безопасности отметили, что при наличии всего трех платежных направлений и сотен тысяч жертв злоумышленникам будет сложно определить, какие жертвы заплатили и чьи файлы нужно расшифровать.

    Даже если хакеры и предоставят вам возможность расшифровать ваши файлы, вы рискуете, что в будущем они просто снова ударят по вашему бизнесу. Кроме того, выплата выкупа вознаграждает киберпреступника и дает ему стимул продолжать делать то, что он делает, для большего числа потребителей, малого бизнеса или крупных организаций.

    Согласно исследованию Osterman, финансовые услуги и здравоохранение наиболее уязвимы для атак, поскольку они больше всего зависят от доступа к критически важной для бизнеса информации.В то же время, однако, может быть трудно получить полную картину проблемы, поскольку властям сообщается менее чем об одной из четырех атак программ-вымогателей.

    RedTeam может помочь вашей организации обнаружить и смягчить атаки социальной инженерии. Наше тестирование на проникновение выявляет и устраняет уязвимости в приложении, сети, устройстве и Интернете вещей. Мы специализируемся на оказании помощи предприятиям в понимании сильных и слабых сторон средств контроля физической безопасности.

    Избавьте свою организацию от необходимости делать выбор между выплатой выкупа или сообщением о нападении с помощью защитных мер:

    • Поощряйте культуру безопасности в своей организации.
    • Обратите внимание руководства на то, что предотвращение атак зависит не только от технологий, но и от человеческого фактора.
    • Уменьшите уязвимости, предоставив своим сотрудникам навыки и знания, необходимые для обеспечения безопасности.
    • Разработайте политики информационной безопасности, уделяющие приоритетное внимание защите данных, и создайте план реагирования на инциденты.
    • Обратитесь за помощью к RedTeam!
    Другие тактики вымогателей, на которые следует обратить внимание

    Электронная почта со спамом и наборы эксплойтов являются основными тактиками атак, но другие способы распространения программ-вымогателей включают:

    Вторичное заражение — загруженное вредоносное ПО вызывает срабатывание на уже зараженном компьютере.

    Подбор паролей — распространение через незаконный доступ к программному обеспечению на серверах с принудительным входом в систему.

    Использование уязвимостей — выбор уязвимых серверов для распространения вредоносных программ по сети.

    Самораспространение — Широко распространенная инфекция распространяется на все контакты через SMS или путем заражения всех съемных дисков.

    Сторонние магазины приложений — Мобильные программы-вымогатели распространяются через магазины приложений с сомнительной репутацией.

    Готовы серьезно заняться защитой своей компании? Запишитесь на бесплатную консультацию RedTeam сегодня.

    Официальные лица США рассматривают возможность борьбы с платежами программ-вымогателей

    Лидеры американского бизнеса ищут совета, как бороться с программами-вымогателями — своего рода программным обеспечением, предназначенным для захвата компьютерной системы до тех пор, пока не будут выплачены деньги.

    Вопрос в том, нужно ли платить за атаки программ-вымогателей. Но правительство США еще не дало четких правил или политики по этому вопросу.

    Как ответить?

    Эрик Гольдштейн — высокопоставленный сотрудник отдела кибербезопасности Департамента внутренней безопасности.Гольдштейн заявил на слушаниях в Конгрессе на прошлой неделе: «Позиция правительства США состоит в том, что мы настоятельно не рекомендуем платить выкупов ». Отговаривать означает пытаться заставить людей не хотеть что-то делать.

    Гольдштейн сказал законодателям, что выплата выкупа не гарантирует, что вы вернете свои данные или что украденные файлы будут в безопасности. Он добавил, что даже если преступники сдержат свое слово, деньги пойдут на оплату следующего раунда терактов.

    Но действующие законы не наказывают бизнес за платежи программ-вымогателей.Однако отказ от платежей будет плохим для бизнеса, особенно для малых и средних компаний. И последствия неуплаты могут быть серьезными для самих США.

    Недавние хорошо известные атаки программ-вымогателей привели к дефициту и высоким ценам на газ в восточной части США и поставили под угрозу поставки мяса в стране. Этот вопрос заставил государственных чиновников искать ответ.

    В настоящее время Конгресс рассматривает законопроект, требующий немедленного сообщения федеральным чиновникам об атаках программ-вымогателей.Идея состоит в том, что такая отчетность поможет установить виновных и даже вернуть часть выкупа.

    Недавно правоохранительные органы США вернули большую часть из 4,4 миллиона долларов, которые Colonial Pipeline выплатила банде преступных хакеров под названием DarkSide. Это был первый раз, когда правительство США заявило, что вернуло деньги у базирующейся в России банды.

    На прошлой неделе президент США Джо Байден встретился с президентом России Владимиром Путиным в Женеве, чтобы обсудить несколько вопросов, включая кибербезопасность.Байден сказал, что передал Путину список из 16 объектов «критической инфраструктуры», включая энергетические и водные системы, которые считаются запрещенными для преступной деятельности.

    Однако эксперты говорят, что без дополнительных действий в ближайшее время количество атак программ-вымогателей будет увеличиваться.

    Эксперты по кибербезопасности

    Министр энергетики США Дженнифер Грэнхольм заявила в этом месяце, что поддерживает запрет платежей. Но она не знала, согласится ли Конгресс или президент.

    Одними из самых решительных сторонников запрета платежей являются те, кто лучше всех знает преступников-вымогателей — эксперты по кибербезопасности.

    Лиор Див — глава компании Cybereason в Бостоне. Он сравнил преступников-вымогателей с террористами цифрового века. «Это терроризм в другой форме, очень современной», — сказал Див.

    Британский закон от 2015 года запрещает базирующимся в Соединенном Королевстве страховым компаниям возвращать компаниям выплаты выкупа за терроризм. Некоторые считают, что эту идею следует применить к платежам программ-вымогателей.

    Адриан Ниш — руководитель разведки угроз в BAE Systems. Ниш отметил, что «террористы перестали похищать людей, потому что поняли, что им не заплатят.»

    Закон США запрещает материальную поддержку террористов, однако Минюст в 2015 году отказался от угрозы уголовного преследования граждан, платящих террористам выкуп.

    Противостояние нападениям

    Некоторые жертвы программ-вымогателей отказываются производить платежи по высокой цене.

    Одним из них является Сеть здравоохранения Университета Вермонта, где счет за восстановление и потерю услуг после октябрьской атаки составил около 63 миллионов долларов.

    Ирландия тоже отказалась вести переговоры, когда в прошлом месяце пострадала ее национальная служба здравоохранения.Пять недель спустя информационные технологии здравоохранения в 5-миллионной стране по-прежнему серьезно повреждены.

    Большинство жертв программ-вымогателей в конечном итоге платят. Страховая компания Hiscox сообщает, что более 58 процентов пострадавших клиентов платят выкуп. А ведущая компания по киберстрахованию Marsh McLennan говорит, что около 60 процентов пострадавших клиентов в США и Канаде платят за них.

    Но оплата не гарантирует полного выздоровления. В ходе исследования 5400 лиц, принимающих решения в области технологий из 30 стран, компания по кибербезопасности Sophos обнаружила, что в среднем плательщики выкупа возвращают только 65 процентов из зашифрованных данных.

    В ходе отдельного исследования, в котором приняли участие почти 1300 специалистов по безопасности, компания Cybereason, занимающаяся кибербезопасностью, обнаружила, что 4 из 5 компаний, решивших заплатить выкуп, подверглись повторной атаке программ-вымогателей.

    Я Джон Рассел.

    Фрэнк Баджак сообщил об этой истории для Ассошиэйтед Пресс. Джон Рассел адаптировал его для изучения английского языка. Хай До был редактором.

    ________________________________________________

    Слова в этой истории

    кибербезопасность – н. искусство защиты компьютерных сетей, устройств и информации

    выкуп – н. деньги, которые выплачиваются, чтобы освободить кого-то, кто был схвачен или похищен

    зашифровать – v. изменить (информацию) из одной формы в другую специально для сокрытия ее значения

    клиент н. тот, кто покупает товары или услуги у предприятия

    Как реагировать на атаку программ-вымогателей

    Защита критически важных данных вашей организации — дорогостоящее мероприятие, поскольку бюджеты на обеспечение безопасности постоянно сокращаются для смягчения последствий постоянно расширяющегося ландшафта угроз.

    Программа-вымогатель

    , несомненно, является одной из самых разрушительных кибератак, которая застает жертв врасплох и в конечном итоге вызывает долгосрочные последствия для зараженных компаний.

    Хотя атаки программ-вымогателей начали стабилизироваться, сейчас не время довольствоваться своей стратегией безопасности.

    Атаки программ-вымогателей все еще происходят, и только потому, что ваша организация может не быть индивидуальной мишенью, если вы не сможете правильно установить исправление, есть очень реальный шанс стать жертвой более широкой атаки, предназначенной для проникновения в любую систему, которая осталась уязвимой.

    Здесь мы представляем краткий обзор программ-вымогателей, а также список шагов, которые специалисты по безопасности советуют предпринять в случае атаки программ-вымогателей, а также несколько вещей, которых следует избегать.

    Что такое программы-вымогатели?

    Программа-вымогатель

    впервые стала известна в 2005 году и с тех пор стала самой распространенной кибератакой во всем мире. С самого первого дня его целью было получение дохода от ничего не подозревающих жертв, и недавние расчеты Cybersecurity Ventures оценивают стоимость атак программ-вымогателей примерно в 11 долларов.5 миллиардов.

    Существует два основных типа программ-вымогателей; крипто и шкафчик. После перехода по вредоносной ссылке или открытия вводящего в заблуждение приложения крипто-вымогатель зашифрует все файлы, папки и жесткие диски на зараженном устройстве, обещая восстановить их после выплаты выкупа злоумышленнику. Для сравнения, программы-вымогатели для шкафчиков просто блокируют доступ пользователей к их устройствам.

    К сожалению, злоумышленники с программами-вымогателями не привередливы, когда дело доходит до того, на кого они нацелены.Атака на бизнес может привести к тому, что они нанесут наибольший ущерб, но обычные конечные пользователи, которые не обязательно осведомлены о кибербезопасности, с большей вероятностью заплатят выкуп, пытаясь получить свои файлы.

    В результате, киберпреступники, запускающие этот тип атаки, обычно используют обрез, поскольку даже если выплачивает лишь небольшое меньшинство жертв, развертывание программ-вымогателей настолько дешево, что злоумышленникам гарантирована прибыль.

    Столкновение с атакой программы-вымогателя может быть достаточно разрушительным, однако, если вы плохо справитесь с последствиями, репутационный ущерб может быть катастрофическим; в результате чего вы потеряете гораздо больше, чем просто ваши файлы.

    Что делать в случае нападения?

    Отследить атаку

    Наиболее распространенный способ проникновения программы-вымогателя в вашу систему — через вредоносную ссылку или вложение электронной почты. Если вам повезет, вредоносное ПО повлияет только на машину, на которой оно было открыто, однако, если вы не смогли исправить всю свою сеть (привет, WannaCry), вся ваша система в конечном итоге будет заражена.

    Сначала вам нужно найти машину, которая изначально была заражена, и выяснить, открывали ли они какие-либо подозрительные электронные письма или замечали ли какие-либо ненормальные действия на своей машине.

    Чем раньше вы найдете источник, тем быстрее сможете действовать. Атаки программ-вымогателей, как правило, имеют ограничение по времени, прежде чем файлы будут удалены.

    Отключить

    После того, как программа-вымогатель впервые проникла на компьютер, она распространяется через ваше сетевое соединение. Это означает, что чем раньше вы удалите зараженную машину из офисной сети, тем меньше вероятность заражения других машин.

    При уведомлении сотрудников о необходимости отключения устройств от сети не забудьте обратиться к любым удаленным работникам, которые у вас могут быть.Просто потому, что кто-то физически не находится в офисе, если он подключен к сети, он все равно может стать жертвой атаки.

    В идеальном мире у вашей службы безопасности или ее эквивалента уже должен быть план на случай подобных ситуаций, так что, возможно, вы просто передадите им свои полномочия и позволите им максимально уменьшить ущерб.

    В случае отсутствия плана следует провести совещание, чтобы определить, что должно произойти дальше. Важно, чтобы все точно знали, чего от них ждут.

    Сообщите в службу ИТ-безопасности или в службу поддержки

    В крупных организациях нередко есть группа по ИТ-безопасности и даже специальный директор по информационной безопасности, который будет выполнять ваш план действий и вести протокол после атаки.

    Однако для некоторых небольших компаний бюджетные ограничения часто означают, что наличие таких специалистов в штате просто невозможно. В этом случае важно, чтобы ИТ-директор был полностью проинформирован обо всех вопросах безопасности и мог взять бразды правления в свои руки в случае кризиса.

    Также полезно наметить временную шкалу нарушения. Это должно помочь в будущих атаках и помочь вам узнать о ваших текущих системах безопасности.

    Часто кибератаки оставляют подсказки в метаданных, поэтому в большинстве случаев потребуется их полный поиск.

    Уведомить власти

    Если ваша компания обрабатывает данные, принадлежащие гражданам Европейского Союза, GDPR теперь требует, чтобы вы проинформировали ICO в течение 72 часов после нарушения. Невыполнение этого требования означает, что ваша организация не соблюдает законодательство, а потенциальные штрафы в размере 4% от годового мирового оборота или 20 миллионов евро — это то, что вы не можете себе позволить — буквально!

    Если сохраненные данные имеют многочисленные идентификаторы, вы должны сообщить об этом сотруднику по защите данных или его эквиваленту.

    Информировать всех сотрудников и клиентов

    Прозрачность играет ключевую роль в подобных ситуациях. Когда дело доходит до кибератак, самым слабым звеном часто являются ваши сотрудники, и, несмотря на все наши усилия, мы все можем легко совершать ошибки, которые могут поставить под угрозу данные компании.

    Вместо того, чтобы указывать пальцем, сообщите своим сотрудникам, что имело место нарушение, что это означает и какие действия вы планируете предпринять. Вы также должны сообщить им о любом ожидаемом простое системы, который повлияет на их работу.

    Также важно заранее сообщать своим клиентам, чьи данные могли быть скомпрометированы в результате атаки программы-вымогателя. Очевидно, что нет смысла делать заявление в тот момент, когда вы обнаружите нарушение, поскольку в этот момент вы не будете знать всех фактов, связанных с атакой.

    Когда у вас будет немного больше времени, чтобы точно установить, что пошло не так, тогда вам нужно сообщить им. Важно, чтобы ваши клиенты слышали плохие новости от вашей компании, а не сообщения СМИ.

    Обновите все свои системы безопасности

    Исправление, обновление, вложение и повторение. После того, как инцидент закончится, вам нужно будет провести тотальный аудит безопасности и обновить все системы.

    Это может занять некоторое время и даже стоит денег, но если вам дороги ваши данные и репутация вашей компании, вы это сделаете.

    Чего категорически нельзя делать

    Паника

    Хотя мы всегда советуем вам иметь план, прежде чем вы станете жертвой атаки программы-вымогателя, если случится худшее, а у вас нет стратегии, важно постараться не паниковать.Импровизированные решения не помогут в вашей ситуации, если вам нужна помощь, попросите ее.

    Киберпреступники потенциально могут использовать любое очевидное нарушение, делая вас уязвимыми для дальнейших атак.

    Заплатить выкуп

    Атаки программ-вымогателей значительно участились несколько лет назад, поскольку преступники поняли, что могут заработать относительно большие суммы денег при небольших первоначальных затратах.

    Добавить комментарий

    Ваш адрес email не будет опубликован.