Вирус шифровальщик от ростелеком

Обновлено: 22.04.2024

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

Добрый день!
На рабочем компьютере с рабочей почты словили трояна, который зашифровал большинство файлов. На рабочем столе появилась заставка с красой надписью на черном фоне:
Внимание! Все важные файлы на всех ваших дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt, которые можно найти на любом из дисков.
Расширение файлов: DA_VINCI_CODE
В приложении: сохраненный отчет проверки Касперского и архив с логами.
CollectionLog-2016.07.15-14.58.zip
Проверка 15-07-2016.txt

сделал как вы говорили
Farbar Recovery Scan Tool:

Результат прикреплен ниже
FRST.txt
Addition.txt

Здравствуйте, пожалуйста помогите, на моем компьютере все файлы зашифрованы вирусом, который имеет расширение файла DA_VINCI_CODE. Данная проблема возникла после того как на адрес моей элеронной почты (mail), поступило письмо, которое звучало следующим образом: "Николай, вы имеете задолжность перед бухгалтерией", после чего мной был скачен файл ZIP, разархивирован и запущен какой-то файл, походящий на файл .EXE. После его запуска, я понял, что поймал какой-то вирус, я удалил данный файл и почистил почту, но было уже поздно. Файлы на компьютере стали шифроваться. Пока я принимал меры по поиску вируса и его удалению, все файлы уже были зашифрованы. На рабочем столе возникли текстовые документы, в которых говорилось, "Все файлы на компьютере зашифрованы, не пытайтесь их самостоятельно расшифровать, это приведет к их утере".
В настоящее время вирус я удалил, но расшифровать файлы не получается, пробовал разные утилиты, но без толку.
Прошу Вашей помощи! За ранее Спасибо!
С уважением, Николай.
CollectionLog-2016.12.12-18.22.zip

Армен Мурадян

Здравствуйте. Недавно зашёл в свою папку с важным документами и медиафайлами и сюрприз. Оказывается их зашифровал какая-то вредоносная программа по имени DA_VINCI_CODE.

Файл Redme не сохранился по сколку антивирус его удалил его.

Про сканировал весь комп такими утилитами как:

Kaspersky Virus Removal Tool;
Dr.Web CureIt!.
В результате скана вирусы не были найдены. Видимо антивирус боролся но было поздно, файлы уже были за шифрованы.

Теперь думаю что делать. Там очень важные файлы были для меня.

Какие варианты есть?

P.s. при любом итоге спасибо.

Соответственно, CollectionLogs сделать нет возможности. Запустил HiJack и RSIT - во вложениях.
Файлы report1 и report2 от autologger-а.
Каковы дальнейшие действия?
HiJackThis.log
info.txt
log.txt
report1.log
report2.log


Клиенты услуг по информационной безопасности были оперативно проинформированы об угрозе, а также о мерах противодействия. С появлением новой информации сотрудники Центра кибербезопасности незамедлительно направляли клиентам дополнительные оповещения. В ходе кибератаки Центр кибербезопасности изучал все данные о новом вирусе, принимал технические меры по выявлению попыток заражения клиентов, как в реальном времени, так и ретроспективно.

"Это уже не первая масштабная кибератака в этом году. Ранее были зафиксированы эпидемии, связанные с распространением вирусов NotPetya и WannaCry, которым подверглись многие российские компании и государственные учреждения. Организации, использующие сервисы информационной безопасности от "Ростелекома", были своевременно проинформированы о возможных атаках. Благодаря круглосуточному мониторингу и комплексу превентивных мер, принятых Центром кибербезопасности, клиенты "Ростелекома" не пострадали от вируса", — сказал директор продуктового офиса "Информационная безопасность" ПАО "Ростелеком" Станислав Барташевич.

По предварительным данным компаний, специализирующихся на информационной безопасности, вирус Bad Rabbit распространяется через фальшивое обновление программы Adobe Flash – пользователи сами активируют его, заражая свои компьютеры. Вирус блокирует доступ к файлам, после чего предлагает выкупить их по цене, равной более чем 15 тысячам рублей за файл.

Сейчас атака вируса продолжается, хотя и в меньшем масштабе. Вирус распространяется в основном на территории России, однако есть факты аналогичных атак в Украине, Турции и Германии.

Обеспечение высокого уровня защищенности организации от подобных атак и других новейших цифровых угроз требует от компаний значительных капитальных затрат на закупку, внедрение, модернизацию и эксплуатацию средств защиты, на квалифицированный персонал и выстраивание эффективных процессов управления информационной безопасностью. Особенно это дорого для географически распределенных организаций с множеством офисов и точек присутствия. Понимая, что такие вложения за короткий срок недоступны многим организациям, "Ростелеком" запустил управляемые сервисы информационной безопасности (MSS), которые позволяют с минимумом затрат за один — два месяца значительно увеличить устойчивость организации к кибератакам, а также застраховать киберриски для обеспечения непрерывности бизнеса.

"Наибольший риск вирусы представляют для небольших компаний – для них даже одна успешная атака может стать "смертельной", поскольку выкуп информации у шифровальщика может быть дороже стоимости бизнеса. Дорого обходятся атаки в промышленном сегменте – ИТ-инциденты могут стать причиной остановки всего цикла производства. Использование комплекса сервисов информационной безопасности от надежного оператора, который специализируется в этой сфере, позволит практически полностью исключить возможность заражения компьютеров", — сказал директор офиса перспективных продуктов корпоративного и государственного сегментов ПАО "Ростелеком" Александр Обухов.

ls

Вчера поймала вирус на свой комп! Пришел на почту "новый счет от Ростелеком". Я открыла вложение и опа!! Через примерно час все файлы на компе были зашифрованы. Теперь у нас нет ни одной фото((((( я в шоке, что дальше делать, не знаю..горюююю. Будьте осторожны

ls

Ужасно, конечно. Никогда не открываю вложения от неизвестных. Хотя тут такая подстава, что замаскировано под счет, это сложнее.

Я однажды вирус на кулинарном сайте поймала. Никуда не тыкала, ни в какие баннеры, просто читала рецепты. И бац, комп блокируется и вылезает заставка - ваш компьютер заблокирован за просмотр порно-фильмов. И требуют денег за разблокировку. Ну слава богу, друзья помогли, в интернете описана схема, как эту гадость удалить. А тут сложнее.:(

ls

Может, это видео вам хоть немного поможет?

ls

Спасибо! Видео хорошее! Но мне конечно не помогло. Но там дали надежду, что можно немного подождать 2 недели -2 мес и может появиься утилита от касперского, которая сможет расшифровать данные. Если лаборатория разработает к тому времени

ls

Оказывается это очень серьезный троян, который пропускают антивирусники.

ls

Спецы по этому делу наверняка есть. Если кто-то это придумал, значит знает и как избавить. Главное найти хакера и сойтись в цене. Поищите по спец форумам. Где сидят такие ребята.

А впредь не читайте писем, которых не ждете

ls

Просто если первый вариант, то точно знаю, что лечится. Знакомая такое ловила.

ls

Та, но их много, с разными вирусами. Это действительно очень серьезный. Знаю, что можно информацию восстановить, но этим занимаются не все специалисты, и, может, какие-то документы будут потеряны.

ls

ls

Спасибо Еве за поддержку. я почувствовала, что Вы как- то прониклись, серьезно отнеслись к чужой беде. Мне стало легче немного..)

ls

У знакомой был банер. Она в начале спросила у нашего админа. Тот не смог. Потом поискала разные объявления от тех, кто делает переустановку и удаляет вирусы. И кто-то из них дал ей координаты нужного специалиста.

ls

Лера,у меня был банер. Муж поймал. И знаете,ч то помогло - откат системы. Ну есть там такое, восстановление на заданную точку, т.е. на вчера, месяц назад и все такое. Только отключила интернет и тогда откатывала. После полная проверка Каспером

ls

Спасибо Еве за поддержку. я почувствовала, что Вы как- то прониклись, серьезно отнеслись к чужой беде. Мне стало легче немного..)

Я тоже ловила вирусы и чуть не лишилась важных документов, я понимаю, как это ужасно.:)

Ни в коем случае не переводите никаких денег. Это банальное мошенничество. Вы лишитесь денег, но никакие файлы вам никто не расшифрует.

ls

Через примерно час все файлы на компе были зашифрованы. Теперь у нас нет ни одной фото((((( я в шоке, что дальше делать, не знаю..горюююю. Будьте осторожны

и что за этот час было невидно, что вирус начала работу? все как обычно

ls

и что за этот час было невидно, что вирус начала работу? все как обычно

Может, человек отлучался от компьютера. Не все безвылазно сидят.

ls

Но она же открывала файл, кликала. Не могла не заметить, что пошла грузиться прога, а не документ. Есть неписаное правило безопасности в сети - не открывать неизвестные программные файлы. С расширениями com и exe

ls

ls

Знаете, что хочу сказать. В жизни мало случайностей и ошибок, которые нельзя было предотвратить. Фатальная ошибка - это результат закономерностей, постоянно повторяющихся неправильных действий. Я была беспечна, муж был беспечен. Я вот например свои фотки берегу, у меня они в четырех местах записаны. Я даже свою свадьбу сестре на дисках отправила в полном объеме, чтоб и у них осталось. Я всю свою работу за годы копировала на болванки, валяются где-то на чердаке, я раз в год обязательно копирую всё на жесткий диск, который лежит отдельно. Ну мне это просто дорого и всё. Я заметила как-то, что сотрудник-проектировщик копирует каждый день свою работу на флешку в конце дня. Я говорю, зачем ты это делаешь? Он ответил: Потому что мне дорога моя работа! Вот и всё! Надо беречь то, что тебе дорого, и не надеяться, что именно ТЕБЯ форсмажор обойдёт. А муж у меня действует по принципу - зачем делать лишние действия, я избегаю вредоносные сайты, значит всё у меня будет хорошо. У него между прочим корпус системника без стенки, ребенок периодически подбегал, за жесткие диски дёргал. Еще малыш часто вырубал комп из сети неожиданно, и сидя на руках, нажимал на клаве.

ls

Я знаю прекрасно, что это лень и жадность - когда мы не соблюдаем технику безопасности. У меня есть знакомые, которые живут в частном доме с лестничным проёмом. Так вот я была просто в шоке, что у них нет ограждения - просто цветы стоят, два дерева в горшках. А у них двое маленьких детей. У меня прям сердце замирало, когда я видела, как ребенок 1,5 года подбегает к дырке. А они -ничего! Говорят, да они боятся высоты, не подойдут близко. Вот так и муж у меня, он предполагает, что ничего не должно случиться. Вот так у меня ребенок из кровати и вывалился, муж считал, что стенка высокая, как мы с мамой не наставивали ее поднять. И так во всём. Еще пример - у мужа есть сестра, которая постоянно оставляла двух маленьких детей, 1,5-3 года, на диком острове на реке с бабушкой, бывало, на 2 месяца. И муж считает, что это нормально, если бабушка не против нянчиться. Он говорит, всё правильно, главное -не париться, ставил мне сестру в пример! Эта сестра ездит на этот остров с новорожденными детьми, когда им месяц -два исполняется и живет там 2 недели, и он говорит, что это тоже нормально. Вообщем наслушалась я этого пофигизма и сама стала немного пофигисткой. Единственно в чем муж не пофигист - это в деньгах. Здесь он будет очень настойчив, зануден и непреклонен, даже если речь идет о ста рублях.

ls

Вот у меня и путаница в мозгах произошла. Здоровьем ребенка он готов рисковать, а вот на такси чтоб потратиться - полдня будешь уговаривать - не согласится, и мы не едем в гости. У него какие-то свои принципы, которые я до конца не понимаю. Он слишком рационален и принципиален в мелочах, упуская главное. Лезет в женские дела, вместо того, чтоб заниматься мужскими. Вот случай, рассказываю, как есть. Мы договорились с его сестрой, что я куплю ее новорожденному ребенку в подарок одежду. Мужу эта идея не понравилась, и после того, как я купила одни ползунки, он запретил мне покупать еще, сказал, одних ей хватит, подарим оставшееся деньгами. Я ему говорю, ну мы же договорились, она сама предложила и мы выбрали уже модель. Он говорит, нет, подарим карту в детский мир. Я говорю, что за бред, я знаю, где продают дешевые хорошие вещи, пойду и куплю, подарок -это ж лучше, чем перекидываться денеьгами на все праздники. Так препинались полдня. А мне честно говоря, так хотелось съездить в магазин, прогуляться, развеяться, я так редко выходила из дома без ребенка(( Я стала одеваться, он зло сказал, что если я куплю всё-таки одежду, то это за свои деньги, и он разрешения мне не даёт. Я осталась. Ну как вам ситуация? Я конечно на него злобу затаила. Я знала, что когда-нибудь отольются кошке мышкины слёзы. Но я не знала, что так(

  • Вконтакте
  • Одноклассники
  • Facebook
  • Twitter
  • Мой мир
  • Google+

Отвечать могут только авторизованые пользователи.
Зарегистрируйтесь или войдите через любую соц.сеть

Rostelecom VS Petya

Rostelecom VS Petya

Rostelecom VS Petya

Российская телекоммуникационная компания Ростелеком, являющаяся одним из самых крупных поставщиков интернета на российском виртуальном рынке, должным образом встаёт на защиту своих клиентов от хакерских интернет атак и вредоносных вирусов.

И так, в конце июня 2017 года вирус Petya и вирус Mischa, а так же недавний троян Wannacry атаковали российские компании и государственные учреждения, на что Ростелеком дал достойный отпор действиям злоумышленников.

Чтобы было понятно о чём идёт речь, и что представляют из себя данные вирусные программы, расскажем о каждом подробней.

О вирусе Petya

Новая его же модификация приобрела фамилию и теперь он Petya.A., а главный антивирусолог росинтернет пространства Касперский, и вовсе нарек злого виртуального паренька на компьютерный лад, NotPetya/ExPetr.

Как же работает этот интернет-мошенник в лице вируса Пети?

современные компьютерные средства

Скачав один из этих файлов и запустив его у себя на компьютере, он моментально поражает MFT данные (Master File Table) и в прямом смысле наводит шороха на вашем жёстком диске, после чего доводит компьютер до перегрузки и в этот момент перекодирует загрузку вашей системы. Но уже после этого, ваша операционная система не загрузится должным образом, а на экране вы увидите красный череп, как бы созданный из символов доллара $ в word файле, и нажав на любую клавишу на клавиатуре вы увидите информацию о выкупе и разблокировке вашего компьютера за 300$ USA.

Данный эквивалент суммы необходимо будет перевести в виртуальной валюте, а именно в биткойн.

Создатель вируса Petya

Разработчик вируса Петя использовал при создании его возможность пролазить через слабые незащищённые места OS Windows. Такой лазейкой стала дыра в системе или exploit под именем InternalBlue.

Корпорацией Microsoft в свои обновления добавила разработанный патч, который предотвращал атаку данным путём. Но учитывая, что многие пользователи используют не лицензионную ОС, а как известно новые продукты и обновления распространяются только на подлинные дистрибутивы установщика ОС, то вирус смог сделать своё дело.

Хакер, а скорее всего заказчик мог прийти к выводу о незащищённости частых и корпоративных пользователей и попытаться заработать на этом. Но во всяком случае имена и личности и того и другого не известны.

Что делать если вы заразились вирусом Petya

матрица

Если вирус Petya.A проник к вам на компьютер, то здесь мало,что уже можно поделаешь, потому что наполовину он практически своё дело сделал. Вторым же этапом вируса трояна является заполучение ваших денег, за то что бы вы смогли и дальше пользоваться свои компьютером и получить доступ к личной информации.

Но все дело в том, что не важно заплатите ли вы или нет, всё равно не сможете самостоятельно восстановить зашифрованные данные. Злоумышленники лишь получат то, что хотели и возвращать вам работоспособность вашего ПК не собираются.

Тем не менее если сделать ничего нельзя с компьютером, можно последовать некоторым рекомендациям относительно вируса Petya.A:

  • Во-первых не стоит платить мошенникам, результата не будет
  • Не пытайтесь сами устранить проблему, алгоритм шифрования сложный
  • Не стоит нести жёсткий диск на расшифровку специалистам по железу, зря потратите деньги (дешифратор еще не придумали)
  • Если информация настолько важна, просто извлеките дисковый накопитель из компьютера и оставьте до лучших времён, когда decryptor будет создан программистами и поставщиками антивирусных программ
  • Просто отформатируйте ваш жесткий диск и начните с чистого листа

О вирусе Mischa

Во-первых, на компьютер жертвы попадает вирус Petya, который запрашивает у пользователя права администратора, но если даже вы подтвердите свои действия отказом, то активируется вирус Mischa.

В отличии от Пети, который требует 300$, Миша берёт за свою работу больше 1,93 биткойна, которые эквивалентны 875$ USA.

Так что получается, если пользователь всё-таки открыл файл и даже отказал в правах вирусу Пети, он так или иначе лишится информации находящейся на компьютере.

О вирусе WannaCry

Вирус WannaCry, имеющий также и другие однокоренные имена, появился в интернет пространстве в январе 2017 года и разработан был специально для операционной системы Windows.

С начала мая 2017 года деятельность вируса Wana Decryptor 2.0 он же WannaCry, приняло глобальные масштабы, который парализовал порядка 500 000 компьютеров, начиная от частных до государственного уровня, почти из 150 стран.

Если рассматривать вторжение вируса на компьютер пользователя, то сам процесс достаточно сложный. Вирус WannaCry, проникая в открытый порт TCP-портом 445, сканирует пространство жёсткого диска на предмет уязвимости EternalBlue для установки бэдкора, который запускает непосредственно сам вирус.

Особенности и меры по защите компьютера

лаборатория информационной безопасности

Вот такие, на самом деле простые действия и правила поведения в интернете, помогут вам огородиться от внешней угрозы со стороны вирусов и троянов.

Как говориться ведите свои дела всегда в чистоте и порядке, и всё будет хорошо.

Лечением Касперским

лаборатория касперского

Лаборатория Касперского, занимающаяся разработкой компьютерных продуктов по защите персональных и мобильных компьютеров от разных модификаций вирусов и хакерских атак, предлагает одного из своих слуг под название Kaspersky Internet Security.

KIS является антивирусной программой и защищает пользователей от интернет мошенников и вымогателей.

Специально от атак Petya и Mischa была разработана защита, которая распознаёт эти вирусы, как Trojan-Ransom.Win32.Petr и Trojan-Ransom.Win32.Mikhail и не даёт им, каким бы то ни было способом всплыть на компьютере пользователя и предотвращает опасность атаки.

Помимо отражения атак, антивирус Касперского непрерывно мониторит состояние компьютера, где он установлен и повышенную активность в шифровании и тут же блокирует внешние действия. А также может создавать резервные копии файлов для последующего восстановления.

Ростелеком о защите клиентов

ростелеком

Хакерские атаки, вирусы и прочее, что связано с интернетом, прямым образом коснулись и пользователей интернет-провайдера Ростелеком.

Отразив недавние атаки вируса WannaCry, на российские компании и государственные учреждения напал вирус Petya.

Компания Ростелеком сумела оперативно вмешаться в распространение вируса и отразить мошеннические атаки на компьютеры своих пользователей. Конечно ущерб был, но провайдеру удалось минимизировать последствия от разрушительного действия вируса Petya.

Организация защиты своих абонентов в масштабах целой корпорации, дело дорогостоящее, и требует не только больших финансовых вложений, но и дальнейшего поддержания технических и технологических средств безопасности, а также грамотных специалистов в области кибер-защиты.

Компания Ростелеком, предоставляющая свои услуги по всей России, учла географический аспект в вопросе информационной безопасности и все трудности связанные с этим и внедрила управляемые сервисы ИБ (MSS), которые позволяют в короткие сроки быть защищенным от виртуальных атак и продолжать оставаться на плаву, чтобы не терпеть финансовые потери, своевременно и качественно предоставлять свои услуги интернетизации.

Комментарии

Ситуацию с атакой вирусов Petya, Mischa и Wanna Cry прокомментировали сотрудники компании Ростелеком следующим образом:

Что мы знаем о вымогателях? Вроде бы это преступники, которые требуют от вас деньги или вещи под угрозой наступления неблагоприятных последствий. В бизнесе такое время от времени случается, все примерно представляют, как нужно поступать в таких ситуациях. Но что делать, если вирус-вымогатель поселился на ваших рабочих компьютерах, блокирует доступ к вашим данным и требует перевести деньги определенным лицам в обмен на код разблокировки? Нужно обращаться к специалистам по информационной безопасности. И лучше всего сделать это заранее, чтобы не допустить проблем.

Типы вымогателей


Источник: Microsoft, 2017

Кстати. Далеко не все хакеры тратят свое время на то, чтобы сообщить пароль жертве, перечислившей им требуемую сумму.

В чем проблема бизнеса

Главная проблема в области информационной безопасности у малого и среднего бизнеса в России состоит в том, что денег на мощные специализированные средства ИБ у них нет, а ИТ-систем и сотрудников, с которыми могут происходить разного рода инциденты, более, чем достаточно. Для борьбы с ransomwareнедостаточно иметь только настроенные фаервол, антивирус и политики безопасности. Нужно использовать все доступные средства, в первую очередь предоставляемые поставщиком операционной системы, потому что это недорого (или входит в стоимость ОС) и на 100% совместимо с его собственным ПО.

Но особенность взаимоотношений бизнеса и киберпреступников заключается в том, что первые часто не знают о том, что они атакованы вторыми. Они полагают себя защищенными, а на самом деле зловреды уже проникли через периметр сети и тихо делают свою работу – ведь не все из них ведут себя так нагло, как трояны-вымогатели.

Microsoft изменила подход к обеспечению безопасности: теперь она расширила линейку продуктов ИБ, а также делает акцент не только на том, чтобы максимально обезопасить компании от современных атак, но и на том, чтобы дать возможность расследовать их, если заражение все же произошло.

Защита почты

Почтовую систему как главный канал проникновения угроз в корпоративную сеть необходимо защитить дополнительно. Для этого Microsoft разработала систему Exchange ATP (Advanced Treat Protection), которая анализирует почтовые вложения или интернет-ссылки и своевременно реагирует на выявленные атаки. Это отдельный продукт, он интегрируется в Microsoft Exchange и не требует развертывания на каждой клиентской машине.

Что касается ссылок в письмах, то они тоже проверяются. Exchange ATP подменяет все ссылки на промежуточные. Пользователь кликает по линку в письме, попадает на промежуточную ссылку, и в этот момент система проверяет адрес на безопасность. Проверка происходит так быстро, что пользователь не замечает задержки. Если ссылка ведет на зараженный сайт или файл, переход по ней запрещается.

Как работает Exchange ATP


Почему проверка происходит в момент клика, а не при получении письма – ведь тогда на исследование есть больше времени и, следовательно, потребуются меньшие вычислительные мощности? Это сделано специально для защиты от трюка злоумышленников с подменой содержимого по ссылке. Типичный пример: письмо в почтовый ящик приходит ночью, система проводит проверку и ничего не обнаруживает, а к утру на сайте по этой ссылке уже размещен, например, файл с трояном, который пользователь благополучно скачивает.

Полезна эта система и для профилактики. Например, администратор может поднять статистику, сколько было переходов по ссылкам, помеченным как опасные, и кто из пользователей это делал. Даже если не произошло заражения, все равно с этими сотрудниками нужно провести разъяснительную работу.

Защита учетных данных

Одна из целей атак злоумышленников – учетные данные пользователей. Технологии краж логинов и паролей пользователей достаточно много, и им должна противостоять прочная защита. Надежд на самих сотрудников мало: они придумывают простые пароли, применяют один пароль для доступа на все ресурсы и записывают их на стикере, который приклеивают на монитор. С этим можно бороться административными мерами и задавая программно требования к паролям, но гарантированного эффекта все равно не будет.

Чтобы захваченная учетная запись не давала злоумышленникам возможности проникнуть в корпоративную систему, Microsoft предлагает защитить ее средствами многофакторной аутентификации Azure Multifactor Authentication. То есть для входа нужно ввести не только пару логин/пароль, но и ПИН-код, присланный в СМС, Push-уведомлении, сгенерированный мобильным приложением, или ответить роботу на телефонный звонок. Особенно полезна многофакторная аутентификация при работе с удаленными сотрудниками, которые могут заходить в корпоративную систему из разных точек мира.

Azure Multifactor Authentication


Источник: Microsoft, 2017

Для более крупных компаний Microsoft разработала и продвинутую серверную систему анализа событий, происходящих в локальном домене – Advanced Threat Analytics. Эта аналитическая служба следит за поведением пользователей и сигнализирует в случае обнаружения аномальных событий: при заходе из необычного места (другой страны), при многочисленных неправильных наборах пароля, при заходах на сервера других отделов и т.д.

Белые списки

Новые кибератаки требуют новых решений безопасности, и такие есть в операционной системе Windows 10 Enterprise. Одно из таких решений – запуск только доверенного программного обеспечения на клиентских компьютерах. Такой подход успешно реализован на мобильных платформах, где все приложения проходят проверку и имеют цифровую подпись, на основании которой устройство разрешает его запуск. В Windows эта функция реализована с помощью механизма безопасности Device Guard.

Device Guard – это программно-аппаратный комплекс, который позволяет на настольном ПК с Windows 10 запуск только доверенных приложений, т.е. они должны быть подписаны Microsoft. Если пользователь попытается установить приложение вне списка (независимо от того, умышленно он это делает или нет), в запуске будет отказано, даже если он работает под правами локального администратора, так как список приложений подписывается серверным сертификатом с более высокими привилегиями.

А как защищаться от исполнения вредоносных Java и других скриптов, если у корпоративных самописных приложений есть зависимость от них? В этом случае Microsoft рекомендует использовать связку Device Guard вместе с Applocker и запрещать запуск всех скриптов, кроме тех, которые прописаны Applocker по определенному пути.

Эти инструменты предоставляют высокий уровень защиты и работают на программно-аппаратном уровне. То есть никакой вымогатель не пропишется на компьютере пользователя.

Глобальная защита

Выше мы говорили о защите почты при помощи Exchange Advanced Threat Protection, но похожее решение существует и на уровне операционной системы. Этослужба Windows Defender Advanced Threat Protection (WD ATP), датчики которойвстроенныв Windows 10. По умолчанию датчики выключены, их можно легко активировать скриптом с помощью групповых политик. И раз WD ATP активен, он логирует все события, которые происходят на каждом ПК: каждый созданный файл, процесс, ключ реестра и установленные связи между событиями. Эти данные анализируются в службе Azure, что позволяет создать шаблон нормального поведения для каждой отдельной рабочей станции, и в случае выявления отклонений от этого нормального поведения (появление вредоносной активности на устройстве) WD ATP посылает уведомление в свою консоль и на почту администратору. Результаты анализа и мониторинга выводятся единым экраном отчетности на портале Windows Security Center, и предназначен в первую очередь для специалистов по безопасности.

Центр управления безопасностью


Источник: Microsoft, 2017

Это достаточно мощная служба, фактически выполняющая функции SIEM-системы (и совместимая со сторонними SIEM). Она анализирует данные, поступающие с большого количества конечных устройств c Windows, Office и EMS, что позволяет использовать единую базу угроз, и обнаруживать атаки раньше, чем они попадают в базы поставщиков антивирусов. Пожалуй, ни одна другая компания не может сравниться с Microsoft по возможностям сбора аналитических данных с компьютеров и серверов по всему миру. Каждый день миллионы копий Windows, Office, других приложений Microsoft отправляют информацию о состоянии безопасности.

Windows АТР своевременно обнаруживает атаки, проводит глубокий анализ файлов и быстро определяет уровень угроз в регионе и масштаб заражения. Это облачная система, она не требует отдельной инсталляции и сложной настройки, что очень удобно и экономно для компаний. В последние образы Windows 10 Enterprise (Е5) встроены датчики, определяющие зловредное поведение, и доступ к ним администратор получает при подключении к сервису Windows АТР.

Интересно, что, выпуская такие продвинутые средства защиты, Microsoft не позиционирует себя как участника рынка информационной безопасности. Тем не менее, сам факт, что компания занялась защитой информационных ресурсов клиентов на таком высоком уровне, говорит о том, что действительно: одного антивируса для защиты уже недостаточно.

Читайте также: