Как обезопасить себя от вируса вымогателя

Обновлено: 23.04.2024

Как минимизировать последствия атаки шифровальщика для компании.


18 февраля 2021

В нашем блоге есть тысяча и одна статья про то, как защититься от той или иной заразы. Но бывает и так, что защититься не получается, и зараза просачивается внутрь периметра. Некоторые в этот момент начинают паниковать — а надо, напротив, сохранять трезвый рассудок и действовать максимально быстро и осознанно. Собственно, ваши действия определят, станет ли этот инцидент гигантской проблемой для компании или еще одной успешно решенной задачей. Давайте выясним, что и как делать, на примере заражения шифровальщиком.

Часть первая: ищем и изолируем

Итак, зловред проник в вашу сеть, и вы об этом уже знаете. Но он может быть далеко не на одной машине и даже не в одном офисе. Так что первым делом ищите зараженные компьютеры и сегменты сети в инфраструктуре предприятия и изолируйте их от остальной сети, чтобы зловред не зацепил другие.

Как искать? Если машин мало, то посмотрите в логи антивирусов, в EDR и файрволы. Как вариант — буквально пройдитесь от машины к машине ногами и проверьте, как там дела. Если компьютеров много, то проще и удобнее анализировать события и логи в SIEM-системе. Походить потом все равно придется, но лучше сначала получить общее представление.

При этом не стоит забывать, что в пылу сражения с шифровальщиком важно не уничтожить улики, иначе потом будет сложно отследить, откуда он взялся, и понять, где искать другие инструменты группировки, которая атаковала ваши компьютеры. В общем, берегите логи и прочие следы зловредов на компьютерах, они вам еще пригодятся.

После того как вы изолировали зараженные машины от сети, лучше всего снять с них образы дисков и больше не трогать до окончания расследования. Если простой компьютеров невозможен, все равно сделайте образы и сохраните дамп памяти — он тоже может пригодиться в расследовании. Также не забывайте документировать все свои действия: это нужно для того, чтобы максимально прозрачно и честно рассказывать о происходящем как сотрудникам, так и всему миру. Но об этом позже.

Часть вторая: зачищаем и действуем

После проверки периметра у вас будет список машин с дисками, полными зашифрованных файлов, а также образы этих дисков. Все машины уже отключены от сети и больше не представляют угрозы. Можно попытаться сразу же взяться за восстановление, но лучше, как уже было сказано выше, их пока не трогать, а заняться безопасностью всего остального хозяйства.

Для этого проведите внутреннее расследование: покопайтесь в логах и попытайтесь понять, на каком компьютере шифровальщик появился в первую очередь и почему его там ничто не остановило. Найдите — и уничтожьте.

По итогам расследования, во-первых, зачистите сеть от сложных и особо скрытных зловредов и, если возможно, заново запустите работу бизнеса. Во-вторых, разберитесь, чего же не хватило в плане программных средств обеспечения безопасности, и устраните эти пробелы. В-третьих, обучите сотрудников, чтобы они больше не наступали на такие грабли и не скачивали опасные файлы на рабочие компьютеры. Наконец, в-четвертых, озаботьтесь своевременной установкой обновлений и патчей — пусть это будет приоритетом для IT-администраторов, поскольку часто зловреды лезут через уязвимости, для которых уже выпустили заплатки.

Часть третья: разбираемся с последствиями

На этом этапе угрозы в сети больше нет, и дыры, через которую она пролезла, тоже. Самое время вспомнить, что после инцидента остался парк неработающих компьютеров. Если для расследования они уже не нужны, то лучше отформатировать машины начисто, а потом восстановить на них данные из бэкапа, сделанного незадолго до заражения.

Если резервной копии нет, то придется пытаться расшифровать то, что есть. Зайдите на сайт No Ransom — есть шанс, что там найдется дешифратор для именно вашего шифровальщика. Если не нашелся — напишите в поддержку компании, которая предоставляет вам услуги в сфере кибербезопасности. Не исключено, что там смогут помочь.

В общем, если что-то утекло, то считайте, что оно уже опубликовано, и отталкивайтесь в своих действиях от этого. Зашифрованные файлы, кстати, все равно не удаляйте: если декриптора нет сейчас, то есть шанс, что его сделают позже — так тоже уже бывало.

Еще об инциденте придется говорить. Причем буквально со всеми: и с сотрудниками, и с акционерами, и с госструктурами, и, скорее всего, с журналистами… Говорить лучше честно и открыто, это ценят. Неплохим примером служит инцидент у промышленного гиганта Hydro в 2019-м, когда представители регулярно публиковали доклады о том, как разбираются с последствиями инцидента, и даже провели пресс-конференцию спустя несколько часов после заражения. В любом случае PR-отдел и compliance-менеджеров ждут жаркие деньки.

Часть четвертая: лучше не доводить

Крупный киберинцидент — это всегда много суеты и головной боли. И в идеале, конечно, лучше их не допускать. Для этого надо заранее думать о том, что может пойти не так, и готовиться:

content/ru-ru/images/repository/isc/2021/how-to-prevent-ransomware.jpg

Уязвимости в системе безопасности – являетесь ли вы потенциальной целью атаки программ-вымогателей?

Существует набор факторов, которые могут сделать вас целью атаки программ-вымогателей.

  • Используемое устройство не является современным.
  • На устройстве установлено устаревшее программное обеспечение.
  • Браузеры и операционные системы больше не обновляются.
  • Не настроен план резервного копирования.
  • Недостаточно внимания уделяется кибербезопасности, и не удается реализуовать разработанный план.

Защита от программ-вымогателей – как предотвратить заражение

В чем преимущества программного обеспечения для защиты от программ-вымогателей?

Помимо описанных выше мер по предотвращению заражения, также важно использовать программное обеспечение для защиты от программ-вымогателей. Например, использование программ поиска вирусов и фильтров содержимого на почтовых серверах – это отличный способ предотвратить заражение программами-вымогателями. Эти программы снижают риск попадания в ваш почтовый ящик спама с вредоносными вложениями или зараженными ссылками.

Если вы установили надлежащее программное обеспечение, вы уже сделали большой шаг в правильном направлении. Регулярно обновляйте ваше решение для обеспечения безопасности при работе в интернете, чтобы использовать новейшие средства защиты, которые оно может предложить. Каждое обновление содержит последние исправления безопасности и усиливает защиту от программ-вымогателей.

Защита данных – нейтрализация худшего сценария угрозы

На что обращать внимание при создании резервных копий

Убедитесь, что для ваших данных всегда имеются резервные копии, на случай, если компьютер окажется заражен программами-вымогателями и расшифровать данные будет невозможно. Используйте внешний жесткий диск и обязательно отключите его от компьютера после создания резервной копии. Если ваш жесткий диск был подключен, в то время, когда программа-вымогатель была активна, данные на диске также будут зашифрованы. Таким образом следует регулярно выполнять резервное копирование данных.

Программное обеспечение для резервного копирования – защита или угроза?

Программное обеспечение обычно напрямую связано с его поставщиком, поэтому киберпреступники могут с легкостью включить в свои программы дополнительные функции и команды. Они могут оказаться опасными, но пользователи могут не распознать их. Чтобы избежать такой ситуации, следует быть очень осторожным при выборе подходящего программного обеспечения для резервного копирования. Некоторые решения по обеспечению безопасности, такие как Kaspersky Total Security, включают плагины, позволяющие создавать резервные копии. При использовании решений с такими плагинами вам не придется искать сторонние продукты.

Защита от программ-вымогателей – на что следует обратить внимание компаниям

Атаки программ-вымогателей представляют опасность не только для частных лиц. Компании также часто становятся жертвами программ-вымогателей. Атакам программ-вымогателей подвергаются не только крупные рентабельные компании; малые и средние предприятия (МСП) также часто становятся объектом атак. У них обычно плохие системы безопасности, поэтому они особенно привлекательны для злоумышленников. Ниже приведен список факторов, которые следует учитывать компаниям, желающим избежать заражения программами-вымогателями.

Программы-вымогатели сегодня – развитие вредоносного ПО

Основная функция атак программ-вымогателей – шифрование данных и требование выкупа – остается в основном неизменной, однако киберпреступники регулярно меняют свои методы работы.

  • От PayPal к биткойнам. Теперь киберпреступники требуют выкуп в биткойнах, поскольку их труднее отследить. В прошлом для этой цели в основном использовался PayPal.
  • Распространение. Изначально основным средством атаки считались спам-письма. Несмотря на то, что и сегодня они не утратили своей актуальности, уязвимости VPN и их распространение через ботнеты теперь также стали частым явлением.

По мере того, как киберпреступники разрабатывают новые программы-вымогатели, защита от программ-вымогателей также развивается, становясь все более эффективной и действенной.

Выводы

Другие статьи по теме

What Что такое программы-вымогатели

How to remove ransomware Как удалить программы-вымогатели

Другие статьи по теме:

Защита от программ-вымогателей: как сохранить данные в безопасности в 2022 году

Что делает программа-вымогатель и как она может навредить? Узнайте, как защитить компьютер с помощью средств поиска программ-вымогателей и сохранения бдительности

Избранные статьи

content/ru-ru/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Риски безопасности и конфиденциальности в виртуальной и дополненной реальности

content/ru-ru/images/repository/isc/2021/trickbot_image1_710x400px_300dpi.jpg

TrickBot – многоцелевой ботнет

content/ru-ru/images/repository/isc/2021/top_ransomware_attacks_1.jpg

Основные атаки программ-вымогателей

content/ru-ru/images/repository/isc/2020/deep-web-cover.jpg

Что такое глубокий и теневой интернет?

content/ru-ru/images/repository/isc/2020/keepkidssafecovid1.jpg

Как защитить детей в интернете во время коронавируса

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop


Большинство людей слышали о вирусах-вымогателях (если вы не знаете, что это такое, посмотрите здесь). Но как именно они работают? Почему приносят такой вред? И как организации могут защититься от них? Правительство США недавно заявило о том, что направит больше усилий на противодействие вирусам-вымогателям и другим кибератакам, но также подчеркнуло значимость содействия со стороны частного сектора. В то же время частный сектор требует от правительства более решительных мер по борьбе с этой угрозой, приобретающей все большие масштабы.

Почему вирусы-вымогатели так опасны, особенно сейчас?

А разве нельзя просто заплатить вымогателям?

Хотя суммы, запрашиваемые вымогателями, могут достигать миллионов долларов, такая цена за восстановление данных может оказаться меньше, чем убытки, связанные с замедлением или нарушением (особенно когда речь идет о важнейшей инфраструктуре) работы всего предприятия. Так почему же просто не заплатить выкуп?

Специалисты по безопасности и правительственные эксперты рекомендуют компаниям не поддаваться на шантаж, так как это ведет за собой продолжение цикла атак. Если злоумышленнику удается получить выкуп от жертвы, это побуждает его снова атаковать те организации, которые готовы платить. К тому же, даже если организация решит заплатить выкуп, совсем не факт, что данные будут восстановлены, а конфиденциальная информация не уйдет на сторону.

Как именно злоумышленники получают доступ?

Хакеры могут проникать в сеть разными способами. Очень часто для хищения учетных данных и/или побуждения сотрудников перейти по вредоносной ссылке или открыть вложение используется фишинг и психологические атаки. Кроме того, вирусы могут содержаться на зараженных веб-сайтах или просто использовать известные уязвимости ПО на сетевом периметре организации. В некоторых случаях злоумышленники могут сначала взломать систему бизнес-партнера, поставщика услуг организации или сторонних лиц, чтобы в конечном итоге поразить намеченную цель.

Чтобы сделать атаку максимально прибыльной, операторы вирусов-вымогателей, как правило, дожидаются того момента, когда получат доступ к большому сегменту сети, прежде чем приступать к развертыванию вируса. Основной целью систем защиты является предотвращение доступа хакеров к сети, но не менее важно внедрять правильные политики, ограничивающие разрешенные пользователям действия, на случай получения контроля над сетью или учетной записью.

Что можно сделать, чтобы защититься от вирусов-вымогателей?

Вирусные атаки очень многогранны, а значит такой же должна быть и система защиты. Отдельной технологии или методике это не под силу. Защиту от вирусов-вымогателей нужно воспринимать как непрерывный, многоуровневый процесс. Необходимо внедрять лучшие технологии, поддерживать их актуальность (для противодействия новым угрозам) и обеспечить интеграцию (чтобы все решения работали слаженно и дублировали друг друга).

В борьбе с вирусами-вымогателями важную роль играет информированность конечных пользователей: они должны знать, каковы последствия бездумного просмотра сайтов и перехода по ссылкам. Однако, по мнению старшего консультанта руководителей отделов информационной безопасности Cisco, Венди Нейзер (Wendy Nather), все это можно делать правильно или неправильно.

Рекомендации по защите от вирусов-вымогателей

Если вы не знаете, с чего начать защиту от вирусов-вымогателей, начните с базовой культуры кибербезопасности. Некоторые из ее элементов могут показаться банальными, но их часто упускают из вида из-за недостатка ресурсов, более приоритетных проектов и задач и т. д. Злоумышленники знают об этом и часто используют подобные уязвимости и слабости.

Регулярно обновляйте системы и применяйте исправления. Автоматическая (по возможности) установка исправлений поможет предотвратить взломы и утечку данных, а также снизит нагрузку на специалистов по ИТ и безопасности. Мы проанализировали 25 рекомендаций в исследовании, посвященном эффективности программ по безопасности за 2021 г., и выяснили, что упреждающее обновление технологий оказывает максимальное влияние на повышение общей эффективности защиты.

Обязательно выполняйте резервное копирование данных на случай нештатных ситуаций. Храните резервные копии на автономных носителях, чтобы хакеры не могли получить к ним доступ. Разработайте план восстановления, который позволит проводить масштабное восстановление данных, не затрагивая бизнес-процессы.

Ведите точные и актуальные записи инвентаризации активов. Старые, забытые компьютеры часто становятся отправной точкой для злоумышленников.

Регулярно проводите оценку рисков, чтобы своевременно выявлять уязвимости в инфраструктуре.

Реализуйте шифрование конфиденциальных данных и сегментацию сети: это затруднит доступ злоумышленников к критически важным системам.

Будьте в курсе новых угроз и тактик защиты и внедрите надежный план реагирования на инциденты, который помог бы противостоять непредвиденным угрозам. Такие организации, как Cisco Talos, предлагают услуги реагирования на инциденты, которые помогут вам подготовиться к взломам и принять адекватные меры по реагированию и восстановлению.

Полезные технологии

И, конечно же, обязательно внедрите комплекс решений безопасности, чтобы охватить широкий вектор атак, используемых злоумышленниками. Мы рекомендуем в том числе следующие решения:

Межсетевой экран нового поколения и IPS-система ― защитите сеть от атак, реализуя современные технологии межсетевых экранов и предотвращения вторжений (IPS).

Обеспечение безопасности эл. почты ― блокируйте вирусы-вымогатели, поступающие через спам и фишинг, и автоматически выявляйте вредоносные вложения и URL-адреса.

Обеспечение безопасности Интернета и облака ― защитите пользователей от вирусов-вымогателей и другого вредоносного ПО во время работы в Интернете или использования облачных приложений.

Защита оконечных устройств ― выявляйте и устраняйте угрозы, которые могут заражать различные оконечные устройства в сети.

Защищенный доступ ― обеспечьте доступ к ресурсам только для авторизованных пользователей и устройств, внедрив многофакторную проверку подлинности (MFA) и другие защитные меры.

Контроль и аналитика сетевых ресурсов ― отслеживание всего происходящего в сети позволит быстро выявить аномальное поведение. Используйте решение, которое может анализировать как зашифрованный, так и незашифрованный трафик.

Используя эти и другие технологии, организации должны реализовывать в сфере безопасности принцип нулевого доверия: никакие пользователи, устройства и приложения не должны считаться по умолчанию надежными. Система безопасности, основанная на принципе нулевого доверия, затрудняет доступ злоумышленников и успешный запуск вирусов-вымогателей в вашей сети.

Продукты для защиты от вирусов-вымогателей Cisco Ransomware Defense

Если вам нужна помощь в реализации стратегии защиты от вирусов-вымогателей, в портфеле Cisco Secure вы найдете все вышеперечисленные технологии и много других решений. Дополнительная эффективность достигается за счет интеграции в рамках платформы Cisco SecureX и поддержки со стороны ведущих специалистов по аналитике угроз из группы Cisco Talos.

Если вас заинтересовала эта тема, рекомендуем ознакомиться с эксклюзивным интервью Cisco Talos с оператором вирусов-вымогателей, чтобы получить представление о человеческом факторе угроз. Если вас интересует технический анализ всех новых атак, подпишитесь на блог Cisco Talos.


Что представляют собой программы-вымогатели?

Программа-вымогатель — это вредоносная программа, которая шифрует данные жертвы. После чего злоумышленник просит жертву заплатить выкуп за ключ для расшифровки ее файлов.
Первая такая программа появилась в 1989 году, распространялась на дискетах и требовала оплату в размере 189 долларов.
В 2019 году от атаки вируса-вымогателя пострадал город Балтимор. Ликвидация ущерба обошлась примерно в 18 млн долларов.
Но как именно работает это вредоносное ПО?

Как работает программа-вымогатель?


Программа-вымогатель — это многоэтапная атака, которую злоумышленники осуществляют разными способами. Но ключевые этапы одинаковые — проникнуть в сеть жертвы, зашифровать как можно больше данных и вымогать плату за расшифровку.

1. Инфицирование

Во-первых, злоумышленникам необходимо внедрить вредоносное ПО в выбранную сеть. Чаще всего это простая фишинговая атака с использованием вредоносных программ во вложенных файлах. После этого программа-вымогатель либо работает локально, либо пытается реплицироваться на другие компьютеры в сети.

2. Получение ключей безопасности

Затем вредоносная программа сообщает злоумышленникам о заражении жертвы и получает криптографические ключи, необходимые для шифрования данных.

3. Шифрование

На этом этапе программа-вымогатель выполняет шифрование файлов жертвы. Он начинает с локального диска, а затем пытается проверить сеть на наличие подключенных дисков или открытых дисков для атаки. Например, CryptoWall удалил файлы теневой копии (Volume Shadow Copy), чтобы затруднить восстановление из резервной копии, а также искал возможность похитить кошельки BitCoin. WannaCry использовал уязвимость EternalBlue для распространения на другие компьютеры и последующего шифрования.

4. Вымогательство

5. Разблокировка и восстановление

Теперь важно, платит ли жертва выкуп и надеется ли, что преступник честно пришлет ключи дешифрования. Или она удаляет вредоносное ПО и пытается восстановить зашифрованные данные вручную.
Злоумышленники обычно не предоставляют ключи даже после получения денег. Да, хоть это может и шокировать. Вот почему инцидент с вымогательством в городе Балтимор стоил так дорого, а восстановление заняло так много времени. В Балтиморе злоумышленникам не платили, поэтому ИТ-персоналу приходилось восстанавливать данные, когда это было под силу, и заново настраивать устройства, на которых они этого сделать не могли.
План восстановления также должен учитывать угрозу разглашения данных. Но как помешать злоумышленнику раскрыть украденные данные? Никак. В связи с этим защита систем и предотвращение проникновения вымогателей гораздо важнее, чем создание резервных копий данных.
Подробнее о принципе действия программ-вымогателей вы можете узнать из видео ниже — оно входит в наш бесплатный вводный курс Троя Ханта по вирусам-вымогателям:

Как защититься от программ-вымогателей: основные советы


Выстраивание защиты от атак программ-вымогателей включает действия как отдельных лиц, так и всего предприятия для предотвращения заражения.

Не нажимайте на ссылки!

Обеспечьте защиту электронной почты и конечных точек

Храните резервные копии

Храните актуальные резервные копии для защиты важных данных — как корпоративных, так и личных. Лучший и самый быстрый способ борьбы с вымогателями — сразу же повторно создать образ диска, а затем восстановить данные из последней надежной резервной копии. Конечно, если в результате атаки данные не были удалены — это уже другая проблема.

Защищайте конфиденциальную информацию

Люди генетически предрасположены к доверию. Это одна из эволюционных причин огромного распространения нашего вида. Присущее нам доверие помогает экстрасенсам убедить нас, что мы сами сделали определенный выбор, а злоумышленникам — заставить сообщать им свои пароли или девичьи фамилии матери.
Когда кто-либо просит у вас конфиденциальную информацию, будьте скептичны и выполняйте установленные правила. Здесь та же проблема, что и со ссылками, но это может быть и реальное личное общение.

Кто находится в группе риска?

Теоретически от программ-вымогателей может пострадать каждый. Из экономических соображений самые изощренные атаки обычно нацелены на крупные платежеспособные организации. Но не всегда атаки программ-вымогателей имеют какую-то конкретную цель. Некоторые злоумышленники используют методы ковровой бомбардировки и пытаются заразить как можно больше пользователей одновременно.

7 типов программ-вымогателей, которые необходимо знать каждому

Злоумышленники постоянно разрабатывают новые виды программ-вымогателей, которые используют различные векторы атаки, такие как вредоносная реклама, черви-вымогатели и программы одноранговой передачи файлов.

Атаки программ-вымогателей не обязательно должны быть хитроумными, чтобы приносить результат. Для распространения WannaCry и NotPetya использовалась широко известная уязвимость, и они оказались сверхэффективными.

Шифровальщики

Первая и наиболее распространенная категория этих программ — это вымогатели-шифровальщики. CryptoLocker и CryptoWall получили репутацию надежных вирусов-вымогателей для шифрования. Шифрование — это процесс кодирования данных, поэтому их невозможно прочитать без соответствующего ключа.

Взлом шифровальщиков

Как открытые, так и симметричные ключи теоретически могут быть взломаны методом подбора. Но рассчитывать на это не стоит. Современное шифрование — слишком сложный процесс даже для самых быстродействующих компьютеров.
Если конкретней, шансы расшифровать файлы, пораженные шифровальщиком, используя брутфорс, находятся где-то между мизерными и нулевыми (причем значительно ближе к нулю).

Программы-вымогатели, удаляющие данные

Блокировщики

Программы-вымогатели для мобильных устройств

Правила реагирования на атаку программы-вымогателя


1. Изоляция

Первым шагом в борьбе c программой-вымогателем является изоляция зараженных систем от остальной сети. Остановите работу этих систем и отсоедините сетевой кабель. Выключите WI-FI. Зараженные системы необходимо полностью изолировать от других компьютеров и запоминающих устройств этой сети.

2. Идентификация

Затем выясните, какое именно вредоносное ПО привело к заражению компьютеров. Специалисты отдела реагирования на инциденты, ИТ-персонал или сторонние консультанты должны определить тип программы-вымогателя и составить план наиболее эффективной борьбы с заражением.

3. Оповещение регулирующих органов об угрозе

В зависимости от наступивших последствий инцидента и применимых положений законодательства, об инциденте следует сообщить регуляторам.

4. Удаление вредоносного ПО

Удалите вредоносное ПО из зараженных систем, чтобы предотвратить дальнейшее их повреждение и распространение вируса.

5. Восстановление данных

После подавления атаки переходите к процессу восстановления. Оплата выкупа — один из вариантов. Возможно, злоумышленники — благородные воры и отдадут вам ключи, необходимые для дешифрования данных. Оптимальный вариант — восстановление из самой последней доступной резервной копии. При ее наличии.

Стоит ли платить выкуп?

Нет. В большинстве случаев этого не стоит делать. В приоритете должна быть защита от программ-вымогателей, а также доступные варианты резервного копирования. Регулярно создавайте резервные копии, чтобы предотвратить подобные атаки и защитить данные, и тогда в оплате выкупа никогда не возникнет необходимости. Тем не менее, на практике всё может быть гораздо сложнее.
Предоставляется ли киберстрахование для защиты от атак вирусов-вымогателей? Можно ли купить биткойны, чтобы вовремя заплатить выкуп? Имеются ли резервные копии для зараженных систем? Имеют ли данные критическую важность? При принятии решения о внесении выкупа вам, скорее всего, нужно будет ответить на эти вопросы.

Перед рассмотрением вопроса о переводе средств

Поиск инструмента для дешифрования

В каких случаях стоит задуматься о переводе средств

Отказ от оплаты: в каких случаях не стоит идти на поводу


Хотя наиболее эффективная защита от шифровальщиков реализуется на конечных устройствах, тем не менее, стоит предпринять превентивные меры и на периметре сети. Расскажем, как это можно сделать с помощью Panda GateDefender.

Но подобные решения представляют собой решения для защиты непосредственно конечных устройств. А что не мешало бы предпринять на периметре сети?

Сегодня в нашей статье мы расскажем о том, какие превентивные меры безопасности стоит реализовать на периметре сети, чтобы фильтровать шифровальщиков до проникновения в корпоративную сеть, а также снизить возможные последствия в том случае, если какие-то из представителей данного класса угроз все же будут активированы на конечных устройствах.

Немного о шифровальщиках

Как вы знаете, шифровальщики – это форма мошенничества, используемая для вымогательства денег у жертвы, чьи конечные устройства были заблокированы с помощью определенного типа вредоносных программ, в результате чего она (жертва) теряет доступ к данным на этих устройствах.

Если говорить упрощенно, то шифровальщики, как правило, распространяются в замаскированном виде через вполне легитимный контент, например, счет в виде почтового вложения, zip-файл, содержащий фотографии, или другие типы файлов, которые потенциальная жертва, скорее всего, откроет, т.к. не предполагает какой-либо опасности. Однако, при открытии таких файлов, шифровальщик связывается со своим сервером управления (так называемый сервер C&C), который отвечает за генерацию новой пары RSA-ключей (открытый/закрытый) и хранение закрытого ключа, а также отправляет открытый ключ на устройство жертвы, после чего зловред шифрует все, что он может найти на жестких дисках и подключенных ресурсах в локальной сети. После этого зашифрованные данные не могут быть доступны до тех пор, пока они не будут расшифрованы с помощью закрытого ключа, который доступен только на сервере C&C.

Действительно, в силу того, что размер ключей, используемых для шифрования, как правило, составляет не менее 2048 бит, то расшифровать зашифрованные файлы без закрытого ключа практически невозможно: конечно, это возможно в теории, но на практике на это может потребоваться достаточно много времени. Таким образом, единственный способ восстановить доступ к данным – это либо переустановить все пострадавшие устройства и восстановить на них резервную копию, либо заплатить выкуп (что мы не рекомендуем делать!) и надеяться на получение закрытого ключа (хотя достаточно много случаев, когда жертвы не получали ключи после оплаты).

Поэтому мы советуем поддерживать все свои системы и приложения в обновленном состоянии, а также быть уверенным в том, что сотрудники вашего предприятия прекрасно осознают всю опасность открытия подозрительных файлов или сайтов. Превентивные меры – это лучшее решение для предотвращения неприятных событий!

Почему стоит обратить внимание на периметр сети?

Обеспечивая борьбу с шифровальщиками и другими современными угрозами, необходимо предпринимать превентивные меры по различным направлениям. Да, наиболее эффективные меры (если исключить строгие запреты вообще на все, чтобы никто толком не мог работать) могут быть предприняты на уровне конечных устройств. Те же EDR-технологии показывают очень высокую эффективность в борьбе с шифровальщиками и новыми угрозами.

Пример защиты от шифровальщиков на периметре сети

В качестве примера рассмотрим решение Panda GateDefender – это UTM-решение для интегрированной и комплексной защиты периметра сети, которое предлагает следующие модули: антивирус, антиспам, контент-фильтрация, URL-фильтрация, прокси, файервол, IPS/IDS, VPN, Hotspot, контроль веб-приложений и многое другое. Данное решение поставляется в аппаратной, программной и виртуальной версии.

С помощью этого решения мы покажем ряд методов, которые позволяют перехватывать эти угрозы на периметре сети, а также минимизировать их активность, блокируя каналы, используемые злоумышленниками для управления вредоносными процессами и распространения инфекции.

1. Используйте антивирус Panda

Чтобы включить антивирусный движок, в консоли управления Panda GateDefender перейдите к разделу Службы → Антивирусный движок, и на закладке Антивирус Panda настройте опции работы антивируса.



2. Используйте службу IPS

Система предотвращения вторжений (IPS) способна не только обнаруживать, но и блокировать трафик, генерируемый от шифровальщиков к своим серверам управления.

Чтобы включить защиту с помощью системы IPS, в консоли управления Panda GateDefender перейдите в раздел Службы → Предотвращение вторжений, где нажмите на переключатель Включить IPS, если он выключен.


После включения данной службы на закладке Система предотвращения вторжений можно будет настроить дополнительные опции работы IPS.



У данного набора правил смените политику с предупреждения на активное применение, нажав на иконку с восклицательным знаком. После применения изменения иконка сменится на красный щит.


3. Используйте файервол для исходящих соединений

Тот же CryptoLocker использует Torrents как вектор заражения, а TOR-соединения для взаимодействия со своими серверами управления C&C. Таким образом, еще один совет по повышению уровня безопасности – это заблокировать весь исходящий трафик, который использует эти два протокола.

В консоли управления Panda GateDefender перейдите в раздел Межсетевой экран → Исходящий трафик.


Здесь создайте новое правило с политикой отклонить или запретить для блокировки этого исходящего трафика. При этом для обеспечения более высокого уровня защиты, добавьте все сети или зоны, которые находятся после Panda GateDefender, указав значение у опции Источник/Тип.


Кроме того, данное правило обязательно должно быть первым в списке правил, поэтому необходимо поставить соответствующее значение у опции Политика/Позиция.
В результате в списке правил вы увидите примерно следующее:



Здесь перейдите на закладку Веб-фильтр, где внесите изменения в существующий профиль или создайте новый.


В блоке для выбора фильтруемых категорий веб-сайтов у категории Security заблокируйте доступ к категориям Anonymizers, Botnets, Compromised, Malware, Network Errors, Parked Domains, Phishing & Fraud, Spam Sites.

Кстати, этот метод лучше использовать в сочетании со следующим методом.

На этой же странице с опциями проверьте, что опция Активировать антивирусное сканирование включена. По умолчанию, она как раз и включена, а потому мы рекомендуем оставить ее включенной.



7. Включите SMTP-прокси 1/2: Антивирусная проверка

Зачастую шифровальщики распространяются через вложения в электронные письма, которые на первый взгляд могут показаться письмами от известных и легитимных отправителей, но на самом деле они содержат ложную ссылку или поддельное опасное вложение. В связи с этим рекомендуется активировать в SMTP-прокси антивирусную проверку.

В консоли управления Panda GateDefender перейдите в раздел Прокси → SMTP и включите SMTP-прокси. Затем в блоке Вирусные настройки включите опцию Проверять почту на вирусы, чтобы активировать антивирусный движок для почтового трафика.


Вы также можете настроить и то, что делать с письмами, которые будут помечаться как спам, а также ряд других опций.

8. Включите SMTP-прокси 2/2: Расширения файлов и двойные расширения

Еще один способ доставки шифровальщиков в виде почтового вложения – это назвать вложенный файл с применением двойного расширения. (например, meeting.jpg.bat), в результате чего почтовый клиент показывает только первое расширение (meeting.jpg), в силу чего пользователь думает, что получил файл с картинкой. Дважды кликнув на этом файле, пользователь не увидит никакого изображения, но при этом без разрешения пользователя запустится bat-файл. Так что еще одна хорошая рекомендация – это блокировка потенциально опасных расширений файлов и запрет на передачу почтовых вложений с двойным расширением.

Для настройки в консоли управления Panda GateDefender перейдите в раздел Прокси -> SMTP и включите SMTP-прокси (если он был выключен).


Затем в блоке Файловые настройки включите опцию Блокировать файлы по расширению, чтобы активировать систему проверки почтовых вложений.
После этого в списке для выбора типов файлов для блокировки по расширению выберите все расширения, которые должны блокироваться SMTP-прокси, а также включите опцию для блокировки файлов с двойным расширением и выберите соответствующие значения в появившемся выпадающем меню.

9. Включите DNS-прокси

Когда CryptoLocker или другие шифровальщики запускаются, то они попытаются изменить настройки DNSна зараженной машине, чтобы иметь возможность связываться со своими серверами управления для корректной работы. Такого развития событий можно избежать, включив DNS-прокси в решении Panda GateDefender. В этом случае все DNS-запросы от устройства, которое расположено за решением Panda GateDefender, будут всегда перехватываться им, блокируя любую возможность для шифровальщиков связаться со своим сервером управления.

Для этого перейдите в раздел Прокси → DNS.


Кстати, на закладке Антишпион есть смысл поставить ежедневные обновления, чтобы блокировать известные вредоносные домены.

Заключение

В результате вышеуказанных несложных действий вы сможете настроить защиту периметра сети от шифровальщиков, попытавшись заблокировать их проникновение в корпоративную сеть из Интернета, а также усложнив им возможность взаимодействия со своими серверами управления. Такие превентивные меры позволят значительно сократить риск заражения, а также смогут минимизировать возможные последствия после запуска шифровальщиков в корпоративной сети.
Более подробная информация о Panda GateDefender

Читайте также: