Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Если мы посмотрим на векторы атак, количество новых уникальных семейств вирусов и эволюцию вредоносных программ, то заметим что это становится наиболее серьёзной и распространённой угрозой для безопасности. Под катом я расскажу про анализ программ-шантажистов и защиту от них. Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты Анализ программ-шантажистов за 2016 год показал следующее:

  • Каждый квартал года отправляется свыше 500 млн писем нежелательной почты, содержащих спам и загрузчики программ-шантажистов, которые пытаются автоматически установиться на компьютеры пользователей.
  • Загрузчики программ-шантажистов поразили свыше 13,4 млн компьютеров.
  • С другой стороны, 4,5 млн компьютеров были заражены вредоносным ПО Meadgive и Neutrino, основным атакующим кодом которых являются программы-шантажисты.
  • В 2016 году программы-шантажисты были обнаружены на 3,9 млн ПК.

Воздействие программ-шантажистов коснулось не только частных пользователей, их жертвами также стали бизнес-компании и госсектор. После того как главные средства массовой информации сообщили об этих атаках, в том числе о том, что некая больница в Калифорнии заплатила злоумышленникам за восстановление важных медицинских файлов, а также о сбое в работе транспортной системы Сан-Франциско, представление о программах-шантажистах глубже вошло в общественное сознание. В сентябре отчет Европол назвал программы-шантажисты крупнейшей цифровой угрозой, оставившей позади вредоносное ПО для кражи данных и программы-трояны онлайн-банкинга. Весьма примечательно, что по данным антивируса Windows Defender наблюдается интересная тенденция: достигнув пикового значения в августе 2016 года — 385 тыс. зарегистрированных случаев обнаружения программ-шантажистов — в сентябре их количество сократилось почти вдвое и продолжает падать. Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Рис. 1. Ежемесячная частота обнаружения файлов полезной нагрузки программ-шантажистов за исключением загрузчиков и других компонентов. Некоторые данные по отрасли объединяют эти два показателя.

Означает ли эта тенденция, что конец программ-шантажистов предвиден? Если посмотреть на другие области распространения программ-шантажистов, оказывается, что это не так. Чтобы понять, действительно ли распространенность программ-шантажистов идет на спад, необходимо изучить другие области цепочки заражения, начиная с векторов атаки. Данные Windows Defender Antivirus говорят об обратном. Трояны-загрузчики, такие как Nemucod и Donoff, устанавливают на ПК программы-шантажисты. Эти загрузчики часто имеют вид файлов документов или ярлыков и распространяются через письма электронной почты.

Количество сообщений электронной почты, содержащих загрузчики программ-шантажистов, не снижалось. В последнем квартале 2016 года было зафиксировано 500 млн таких сообщений. За тот же период времени трояны-загрузчики заражали как минимум 1 млн ПК в месяц.

Очевидно, что киберпреступники не прекращали использовать программы-шантажисты для атак на компьютеры пользователей.

В действительности, вплоть до конца 2016 года мы стали свидетелями кампаний по рассылке сообщений электронной почты с эксплойтом Nemucod, распространявшим вирус Locky, и кампаний по рассылке вируса Donoff, через которые распространялся вирус Cerber.

Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Рис. 2. Хотя количество случаев обнаружения программ-шантажистов к концу 2016 года значительно сократилось, во втором полугодии по сравнению с первым частота заражения загрузчиками программ-шантажистов была в среднем выше.

Очевидно, что уменьшение случаев обнаружения программ-шантажистов обусловлено не тем, что киберпреступники стали менее усердны. По-прежнему отмечается огромное количество писем электронной почты, содержащих трояны-загрузчики программ-шантажистов. Однако заражение программами-шантажистами блокируется в точке их проникновения. Это интересный ход, поскольку в 2016 году распространители программ-шантажистов перешли от использования эксплойтов к сообщениям электронной почты как более эффективному вектору заражения. Эксплойт Neutrino применялся для установки на ПК программы-шантажиста Locky. В середине 2016 года частота заражения Neutrino возросла, заполнив нишу вируса Axpergle (также известного как Angler) после его исчезновения в июне. Очевидно, что распространенность Neutrino начала снижаться в сентябре, после того как его операторы передали бразды правления группам киберпреступников.

Еще один популярный эксплойт, Meadgive (также известный как RIG), поначалу распространял программу-шантажист Cerber. В 2016 году наблюдался постоянный рост Meadgive, который стал наиболее частым эксплойтом для рассылки вредоносного ПО. В декабре 2016 года началась кампания по рассылке Meadgive с последней версией вируса Cerber, которая проводилась в основном в Азии и Европе.

Хотя эксплойты используются все реже, программы-шантажисты продолжают задействовать эксплойты для заражения компьютеров. Это объясняется тем, что эксплойты позволяют программам-шантажистам повышать уровень разрешений и запускать потенциально опасные программы с меньшим количеством ограничений.

Закат программ-шантажистов еще не наступил, и еще одним свидетельством тому являются многочисленные инновации вредоносного кода, зафиксированные в 2016 году.

Киберпреступники постоянно обновляют свой инструментарий. Например, в конце 2016 года были зафиксированы существенные обновления последней версии Cerber.

Эти усовершенствования вредоносного кода постепенно вводятся в атаках типа программа-шантажист как служба, при которых киберпреступники могут получить новейшие версии программ-шантажистов на нелегальных форумах. Это обеспечивает киберпреступников необходимыми ресурсами и мотивацией для организации атак.

Далее перечислены некоторые усовершенствования программ-шантажистов, свидетелями которых мы стали в 2016 году. Обнаружение программы-шантажиста Samas в начале 2016 года сделало эти программы главной угрозой для коммерческих компаний. Столкнувшись с программами-шантажистами, нацеленными на серверы, ИТ-администраторы были вынуждены не только позаботиться о защите конечных пользователей, но и усилить защиту серверов.

Кампании по распространению Samas использовали уязвимости серверов. Они искали уязвимые сети с помощью pen test и использовали различные компоненты для шифрования файлов на серверах.

Zcryptor имел свойство распространяться, а это означает, что некоторые программы-шантажисты могли переходить с одной конечной точки на другую, не прибегая к кампаниям по рассылке нежелательной почты. Вирус-червь обнаруживает сетевые и логические диски и съемные носители, которые он может использовать для распространения. В самом начале 2017 года был обнаружен вирус Spora, демонстрирующий аналогичное поведение. Обычно программы-шантажисты требовали оплату через Биткойн на нелегальных веб-сайтах сети Tor. В ответ на уменьшение количества оплат со стороны жертв киберпреступники начали искать новые способы оплаты.

Программа-шантажист Dereilock, например, заставляла своих жертв связаться со злоумышленниками по Skype, а Telecrypt для связи со злоумышленниками предлагала воспользоваться службой обмена сообщениями Telegram Messenger.

Spora пошла по пути «условно-бесплатных» услуг — пару файлов жертвы могли расшифровать бесплатно, а за небольшую сумму можно было расшифровать некоторое количество файлов. В 2016 году большинство программ-шантажистов начали использовать таймер обратного отсчета. Это заставляет жертву немедленно заплатить выкуп под страхом безвозвратной потери доступа к файлам. Когда в марте вышла программа-шантажист Cerber, она произвела фурор: помимо обычного сообщения о выкупе в виде текстового и HTML-документа VBScript преобразовывал текст в аудио-сообщение с требованием выкупа. Поэтому Cerber был назван «говорящим шантажистом».

Другая программа-шантажист CornCrypt предлагала расшифровать файлы бесплатно при условии, что жертва заразит двух других пользователей. Злоумышленники рассчитывали на эффект снежного кома: чем больше жертв, тем больше вероятность того, что кто-то из них заплатит.

Угроза со стороны программ-шантажистов вероятнее всего не ослабеет, о чем говорит появление новых семейств программ-шантажистов. Из свыше 200 обнаруженных активных семейств примерно половина была впервые зафиксирована в 2016 году. В большинстве новых семейств программ-шантажистов применяется шифрование. Этот тип программ-шантажистов пришел на смену более старым версиям с блокировкой экрана, которые просто блокировали экран и не использовали шифрование файлов. В 2016 году появилось много семейств программ-шантажистов, применяющих новые методы и приемы. При этом 68 % случаев обнаружения программ-шантажистов в 2016 году приходилось на пять лидеров. Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Рис. 3. Cerber и Locky, обнаруженные в 2016 году, стали лидерами года среди программ-шантажистов

Интересно отметить, что два ведущих семейства программ-шантажистов были обнаружены лишь в 2016 году. Cerber была обнаружена в марте 2016 года и была названа по имени расширения файлов. С марта по декабрь она поразила свыше 600 тыс. ПК. На нелегальных форумах Cerber предлагается «программа-шантажист как служба», поэтому злоумышленники могут рассылать ее без написания вредоносного кода. Ее работа в значительной степени определяется файлом конфигурации. Последняя версия Cerber может шифровать почти 500 типов файлов. Известно, что при поиске файлов для шифрования программа умеет выделять наиболее приоритетные папки. Распространяется Cerber в основном через рассылку нежелательной почты, содержащей загрузчик Donoff, выполняющий ее установку. Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Рис. 4. Частота обнаружения Cerber резко сократилась с сентября, при этом распространенность Donoff, загрузчика Cerber, начала расти в декабре.

Также известно, что инфицирование вирусом Cerber производится посредством Meadgive или эксплойта RIG. Meadgive был ведущим эксплойтом в конце 2016 года.

В 2016 году Locky стала второй по распространенности программой-шантажистом, заразив свыше 500 тыс. компьютеров. Она была обнаружена в феврале и так же была названа по имени расширения файла. С тех пор она использует и другие расширения, в том числе .zepto, .odin, .thor, .aeris и .osiris. Как и с Cerber, операторы по рассылке нежелательной почты подписываются на Locky как на «программу-шантажист как служба». Она содержит код для подпрограммы-шифровальщика, а также может получать ключи шифрования и сообщения о выкупе с удаленного сервера до шифрования файлов. Изначально Locky распространялась через эксплойт Neutrino, позже стали использоваться рассылки нежелательной почты с вирусом Nemucod, который загружал и запускал Locky. Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Рис. 5. Частота обнаружений Nemucod во второй половине 2016 года оставалась постоянной, несмотря на то что распространенность Locky за этот период существенно снизилась

В 2016 году программы-шантажисты превратились в реальную глобальную угрозу и были обнаружены более чем в 200 странах. Только в США программы-шантажисты поразили свыше 460 тыс. ПК. Следом идут Италия и Россия (252 тыс. и 192 тыс. случаев обнаружения соответственно). В Корее, Испании, Германии, Австралии и Франции зарегистрировано свыше 100 тыс. случаев инфицирования. Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Читайте также:  Какие бизнесы в России можно сейчас скупить за полцены

Рис. 6. Инфицирование программами-шантажистами зарегистрировано более чем в 200 странах

Наибольшее количество случаев инфицирования Cerber зарегистрировано в США: 27 % от общего числа заражений этим вирусом в мире. Другая мощная программа-шантажист, Locky, была обнаружена в 2016 году. Она стала вторым из наиболее распространенных семейств программ-шантажистов в США. В Италии и России, напротив, более распространены старые версии программ-шантажистов. В Италии отмечено больше всего случаев инфицирования вирусом Critroni, который появился в 2014 году. Когда программа-шантажист Critroni только появилась, ее сообщения о выкупе были составлены на английском и русском языках. В последующих версиях появились другие европейские языки, включая итальянский. Вирус Troldesh, обнаруженный в 2015 году, стал лидирующим по количеству заражений в России. После шифрования файлов Troldesh выводил на рабочий стол сообщение на русском и английском языках, в котором содержались указания о том, как связаться со злоумышленниками, и инструкции по оплате. Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Рис. 7. Страны с наибольшей распространенностью программ-шантажистов — США, Италия, Россия, Корея, Испания — находятся под воздействием разных семейств вирусов, возможно из-за локального характера кампаний по рассылке нежелательной почты

Несмотря на спад в общем распространении программ-шантажистов, векторы атак, количество уникальных семейств вирусов и усовершенствования вредоносного кода говорят о том, что мы еще не видим конец этой многофакторной угрозы безопасности. Microsoft создала и постоянно совершенствует ОС Windows 10, чтобы ваши средства защиты были напрямую встроены в операционную систему. Большинство случаев инфицирования программами-шантажистами начинаются с получения писем по электронной почте, содержащих трояны-загрузчики. Это основной вектор, применяемый злоумышленниками для установки программ-шантажистов. Служба Advanced Threat Protection в Office 365 обладает возможностями машинного обучения, которые блокируют опасные письма, содержащие загрузчики программ-шантажистов.

Некоторые программы-шантажисты проникают на компьютеры посредством эксплойтов. Браузер Microsoft Edge поможет защитить ваш компьютер от программ-шантажистов, запрещая эксплойтам запускать и исполнять эти вирусы. Благодаря Microsoft SmartScreen браузер Microsoft Edge блокирует доступ к вредоносным веб-сайтам, которые могут содержать эксплойты.

Device Guard может блокировать устройства и обеспечивать защиту на уровне виртуализации ядра, разрешая запуск только доверенных приложений и запрещая запуск программ-шантажистов и другого опасного ПО.

Создатели программ-шантажистов, возможно, являются одними из самых продуктивных злоумышленников, постоянно создающих новые семейства вирусов и обновляющих существующие. Они также весьма изобретательны в выборе векторов атаки для установки программ-шантажистов на ваши компьютеры.

Windows 10 помогает немедленно обнаружить атаку программы-шантажиста при первых признаках ее возникновения. Windows Defender Antivirus обнаруживает программы-шантажисты, а также эксплойты и трояны-загрузчики, которые их устанавливают. Используя облачные технологии, этот антивирус помогает защитить ваш компьютер от новейших угроз.

Windows Defender Antivirus встроен в Windows 10 и при включении обеспечивает защиту ПК от угроз в режиме реального времени. Регулярно обновляйте Windows Defender Antivirus и другое ПО для наиболее актуальной защиты вашего ПК.

Windows Defender Advanced Threat Protection (Windows Defender ATP) уведомляет специалистов системы безопасности о подозрительной активности. Эти действия характерны для некоторых семейств программ-шантажистов, таких как Cerber, и возможно, будут свойственны программам-шантажистам в будущем.

  • Ознакомительная версия Windows Defender ATP представляется бесплатно.
  • Windows Defender ATP позволяет специалистам службы безопасности изолировать скомпрометированные ПК из корпоративной сети, прекращая распространение вируса в сети.
  • Участие бесплатно.

Среди существующих средств защиты наиболее мощным станет Windows 10 Creators Update, включающий Windows Defender Antivirus и интеграцию с Office 365 для создания многоуровневой защиты, уменьшающей уязвимость электронной почты для атак. Windows Defender Antivirus усилит возможности контекстного распознавания и машинного обучения, которые выявляют поведенческие аномалии и помогают обнаруживать вирусы в разных точках цепочки инфицирования. Улучшенная интеграция с аналитикой угроз обеспечивает более быструю блокировку нежелательной почты. Это обновление также позволяет задать типы файлов, помещаемых на карантин, и запретить их последующее исполнение. Угроза программ-шантажистов, возможно, еще не скоро исчезнет, однако Windows 10 будет по-прежнему совершенствовать защиту от этого вредоносного ПО. Завтра, 27 сентября, в 10:00 (МСК) у нас пройдет международный онлайн-форум «You Trust IT. Путь к безопасности бизнеса!», на котором вы узнаете как обезопасить свой проект, избежать внешние угроз, минимизировать риски потери важной бизнес-информации и избежать убытков.

Атакован программой-вымогателем? Как восстановить файлы после атаки

Программы-вымогатели представляют собой серьезную угрозу для человечества с середины 2000-х годов. Несмотря на недавний спад, программы-вымогатели по-прежнему представляют большую опасность.

Когда ваш компьютер атакован программой-вымогателем, вы не сможете получить доступ к своей системе или личным файлам, если не заплатите плату за ключ дешифрования.

Стоимость может варьироваться от нескольких сотен долларов до тысяч.

К счастью, есть несколько возможных способов помочь вам восстановить данные после атаки, не тратя огромные деньги. Итак, если вы застряли с программой-вымогателем и не знаете, как избавиться от вируса-вымогателя, то вы попали в нужное место. Вот несколько способов восстановить зашифрованные или удаленные файлы от атаки программ-вымогателей и ниже показано, как это сделать.

Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защитыВосстановление файлов после атаки программ-вымогателей

Если у вас есть резервные копии, исправить зашифрованные файлы программ-вымогателей так же просто, как очистить зараженные системы и заново создать их образ.

Вам просто нужно найти свои резервные копии, а зашифрованные файлы можно легко восстановить, восстановив исходные файлы с внешнего устройства резервного копирования.

Это можно сделать только в том случае, если вы делали резервную копию данных на компьютере через определенные промежутки времени на внешнем жестком диске, SSD, SD-карте, ручном накопителе, облачном хранилище или любом другом устройстве хранения.

Если резервная копия недоступна, вы можете использовать программное обеспечение для восстановления данных для восстановления зашифрованных файлов с жесткого диска, SD-карты, флэш-накопителя и любого другого устройства хранения.

Apeaksoft Восстановление данных Программное обеспечение — это профессиональный инструмент для восстановления файлов, который может восстанавливать файлы после атаки программ-вымогателей и восстанавливать любые данные, удаленные или зараженные вирусом.

С его помощью вы сможете восстановить удаленные файлы PDF, фотографии, аудио, музыка, электронные письма и любые другие данные из любого хранилища, такого как корзина, жесткий диск, флэш-накопитель, карта памяти, цифровая камера и т. д.

Free DownloadFree Download

Теперь давайте посмотрим, как использовать программное обеспечение для восстановления данных для получения зашифрованных или удаленных файлов, атакованных программами-вымогателями.

Шаг 1

Бесплатно скачайте, установите и откройте Apeaksoft Data Recovery на своем компьютере.

Шаг 2

Выберите тип файла и жесткий диск, с которого вы хотите получить файл в основном интерфейсе. После этого нажмите на Просканировать начать процедуру.

Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защитыШаг 3

После завершения сканирования вы можете проверить результаты сканирования и найти файл, который хотите восстановить. Перед восстановлением вы можете предварительно просмотреть файл. Если вы не можете найти удаленные или зашифрованные файлы программ-вымогателей, вы можете щелкнуть Глубокий анализ в правом верхнем углу, чтобы тщательно просканировать компьютер.

Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защитыШаг 4

Затем отметьте файлы, которые хотите восстановить, и нажмите кнопку Восстановить кнопку.

Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Затем появится окно, в котором нужно выбрать место для сохранения восстановленных файлов.

Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Связанный: Как вернуть удаленные файлы на IDM

Что такое вирус-вымогатель?

Программа-вымогатель — это вредоносное программное обеспечение, предназначенное для шифрования данных и / или блокировки вашего устройства и принуждения вас к уплате выкупа злоумышленнику вместо расшифровки данных или разблокировки устройства. Этим устройством может быть ПК, устройство Интернета вещей (IoT) или мобильное устройство.

  • Сколько времени нужно для восстановления после вымогательства?
  • Согласно недавнему опросу, это может занять 33 часа.
  • Сколько типов программ-вымогателей?
  • Программы-вымогатели можно разделить на следующие категории: программы-вымогатели Locker, шифровальщики-вымогатели, программы-вымогатели-вымогатели, программы-вымогатели для мобильных устройств Android и программы-вымогатели IoT.

Заключение

Программы-вымогатели будут оставаться проблемой для бизнеса до тех пор, пока преступники будут извлекать выгоду из распространения вредоносного программного обеспечения.

Чтобы предотвратить программы-вымогатели, вы должны регулярно обновлять свою операционную систему, чтобы уменьшить количество уязвимостей, которые можно использовать.

И вам лучше установить антивирусное программное обеспечение, которое поможет вам обнаруживать вредоносные программы, такие как программы-вымогатели, по мере их поступления, и внести программное обеспечение в белый список, чтобы предотвратить выполнение неавторизованных приложений в первую очередь.

Что еще более важно, лучше регулярно выполнять резервное копирование данных, чтобы вы могли восстановить данные из резервной копии в случае атаки программы-вымогателя. Даже если вам не удастся восстановить файлы из резервной копии, Apeaksoft Data Recovery всегда пригодится для решения этой проблемы.

Что делать, если вас атакует программа-шантажист: 3 шага к восстановлению данных и методы защиты

Фото с сайта techno.24tv.ua

Инцидентов шифрования или блокировки данных при помощи зловредного ПО становится все больше с каждым годом. И все чаще жертвой вымогателей оказывается малый и средний бизнес. Сегодня Максим Рахманов, менеджер по работе с партнерами в СНГ Acronis, рассказывает, как защититься от подобных атак и что делать, если это уже произошло.

Максим Рахманов Менеджер по работе с партнерами в СНГ Acronis

— Начну с плохих новостей: наш опыт показывает, что 7 из 10 представителей бизнеса не готовы к подобным кибератакам. А ущерб от Ransomware может нанести непоправимые последствия.

Ransomware (программа-вымогатель, программа-шантажист) — тип зловредного программного обеспечения, предназначен для вымогательства, блокирует доступ к компьютерной системе или предотвращает считывание записанных в нем данных, а затем требует от жертвы выкуп для восстановления исходного состояния.

Читайте также:  Как делать вовлекающий контент для соцсетей: несколько правил

Например, шифрование данных госструктур в Балтиморе (США) привело к потерям на сумму более $ 8 млн.

Или в канун Нового 2020 года биржа Travelex вынуждена была отключить доступ к своим сайтам в 20 странах для предотвращения распространения программного вируса и больше недели не могла продолжать работу.

При этом именно Ransomware, или программы-вымогатели, давно стали одним из самых популярных инструментов для атак на компании различных размеров.

Как сообщают аналитики Cybersecurity Ventures, в 2019 году проникновения программ-вымогателей в сети компаний стали происходить каждые 14 секунд. Хотя еще в 2016 году этот показатель составлял 40 секунд.

Эксперты ожидают, что в 2021 году новые случаи шифрования данных будут происходить уже каждые 11 секунд.

Во многом такой рост ожидается потому, что целью злоумышленников все чаще становится не только крупный, средний, но и малый бизнес.

Хорошая новость заключается в том, что теперь в случае атаки предприятия сопротивляются больше, чем когда-либо прежде.

Все больше организаций принимают меры — либо уже после неприятного инцидента, либо заранее. Об обоих сценариях расскажу далее.

Фото vokrugsveta.ua

Что делать, если вас зашифровали?

Если вы уже столкнулись с Ransomware и ваши данные оказались зашифрованы, выходов из этой ситуации не так уж много.

  • Первый — заплатить выкуп. При этом вы тем самым поддерживаете преступное сообщество, подтверждая эффективность его работы. Но самое главное, никакой гарантии, что ваши данные будут расшифрованы, разумеется, нет.
  • Второй вариант — постараться победить вредоносное ПО самостоятельно. Для этого вам потребуется совершить несколько шагов.

Шаг 1. Удалить саму программу-шифровальщик с зараженного компьютера. Для этого нужно подключить жесткие диски от зараженных компьютеров к системам с защитным ПО, которое сможет обезвредит вирус. То есть вам нужно будет открыть корпус, достать жесткие диски и установить их в другой компьютер. После этого нужно будет провести проверку носителей и удалить с них шифровальщик.

В качестве альтернативы можно загрузиться с другого носителя, например, с флешки или DVD-диска, на котором установлены антивирусные утилиты (это программы, которые ищут и удаляют вирусы и другие вредоносные программы на более глубоком уровне, чем обычные антивирусы), и запустить сканирование.

Загрузиться с флешки или DVD-диска можно через Меню загрузки. Для этого:

  • Подключите к компьютеру флешку или другой «загрузочный» носитель. Это носитель, на котором обязательно должны находиться файлы загрузки. Где взять или как самостоятельно создать «загрузочный» носитель — отдельная тема. Например, «загрузочными» являются все продающиеся в магазинах диски, предназначенные для установки Windows. «Загрузочными» являются также все диски с дистрибутивами операционной системы Linux
  • Зайти в Меню загрузки компьютера. Оно представляет собой список запоминающих устройств, подключенных к компьютеру, и чаще всего для входа в Меню загрузки требуется нажать кнопку F8
  • В этом списке нужно выбрать устройство, с которого компьютер должен загрузиться (переместить на него подсвечивание). Выбор устройства осуществляется клавишами со стрелками «Вверх» и «Вниз». Выбрав соответствующее устройство (флешку, DVD/CD или др.), нужно нажать клавишу Enter. Произойдет загрузка компьютера с выбранного устройства.

Этот метод сработает, если антивирус сможет обнаружить и идентифицировать шифровальщика. Поэтому старые загрузочные диски здесь не подойдут. Если вы не уверены в своих силах, лучше сразу обратиться к ИТ- или ИБ-специалисту (специалисту по информационной безопасности).

Фото с сайта rsport.ria.ru

Шаг 2. Расшифровать файлы. Для ряда представителей Ransomware существуют способы найти ключ шифрования и самостоятельно разблокировать файлы. Например, на сайте NoMoreRansom.

org можно попытаться вычислить ключ, загрузив два файла — зашифрованную копию и оригинал.

Последний можно найти, например, в облачном почтовом сервисе, но это требует времени и не гарантирует 100% результата.

Если в компании не используется резервное копирование, можно потратить несколько часов на поиск пары зашифрованного и идентичного незашифрованного файла.

К тому же ключи могут не подойти именно к той версии вредоносного ПО, которое заразило ваш компьютер. Поэтому бывает так, что специалист бьется целый рабочий день, чтобы расшифровать файлы, но результат остается нулевым.

Шаг 3. Восстановить данные. Очень часто бывает так, что расшифровать файлы не удается или некоторые из них оказываются повреждены. В этом случае можно воспользоваться резервной копией данных. Вообще, резервное копирование является сегодня стандартом де-факто для обеспечения защиты информации. Вот три основных вида резервных копий:

  • Полные. Полная копия — это резервная копия системы с сохранением всех данных. Достоинство такой копии в ее автономности. Среди недостатков — большой размер, долгий процесс создания и нередко — почти полная идентичность с предыдущей полной копией.
  • Дифференциальные. В дифференциальной резервной копии сохраняются различия между нынешним состоянием системы и ее последней полной копией. Для восстановления из дифференциальной копии нужно, чтобы последняя по времени полная копия также была рабочей. Преимущество дифференциальной копии — в сравнительной быстроте создания. Однако такая копия может иметь довольно большой размер. Кроме того, для восстановления данных понадобится обработать как минимум два файла резервных копий.
  • Инкрементные. В инкрементной резервной копии сохраняются различия между текущим состоянием системы и любой последней по времени резервной копией. Последняя копия может быть полной, дифференциальной или тоже инкрементной — для инкрементного копирования это не важно. Достоинства инкрементной копии — компактный размер и высокая скорость создания. Неудобство же в том, что для восстановления из такой копии необходима обработка последней полной копии и каждой последующей инкрементной, вплоть до директивной точки восстановления. В результате восстановление системы из резервных копий этого типа может занять очень много времени.

Но, к сожалению, практика показывает, что даже если в компании применяется один из этих видов резервного копирования, далеко не всегда копии делаются регулярно и являются актуальными.

Фото с сайта sabibon.info

Сложности восстановления: сымитируйте атаку

Насколько сложным окажется восстановление конкретно для вашей компании, обычно выясняется уже в процессе атаки Ransomware. Но чтобы не испытывать судьбу, можно провести эксперимент и имитировать атаку. Для этого нужно зашифровать файлы на одном из компьютеров, например, когда он не используется, или на копии рабочего места — главное, чтобы реальные бизнес-процессы не пострадали.

После этого нужно потребовать от специалистов срочно вернуть систему к работе.

В зависимости от масштабов компании и особенностей работы ИТ-отдела возможны различные пути — от условной атаки, когда все знают, что это тест на скорость и возможность восстановления, до реального шифрования файлов с полной имитацией «боевой» ситуации. В любом случае вы сможете узнать, готовы ли ваши службы к восстановлению и сколько времени оно занимает в реальности.

Наименьший урон шифровальщики наносят компаниям, которые применяют централизованное резервное копирование для серверов и организуют резервирование важных файлов пользователей на рабочих местах (в том числе удаленных). При наличии актуальной копии не устаревших данных их можно восстановить на новом диске или новой виртуальной машине в течение нескольких часов.

Однако, как показала практика, новейшие вредоносные программы с функцией Ransomware стремятся сразу же заблокировать работу систем резервного копирования и зашифровать сами резервные копии. Например, так делает вирус Sodinoklbi.

Это программа-вымогатель, которая использует для шифрования пользовательских файлов алгоритмы AES и Salsa20. AES применяется для шифрования сессионных ключей, а также данных при отправке на сервер управления.

Узнать о нем больше можно по ссылке.

Тут важно обеспечить соответствующие меры по борьбе с вредоносным ПО или сразу же использовать систему киберзащиты с функциями удаления вредоносного ПО. Об этом — далее.

Кадр из фильма «Тор:Рагнарёк». Фото с сайта avto.goodfon.ru

Лучшие практики защиты от Ransomware

Остановить атаку Ransomware на ваш бизнес намного проще, если вы примете несложные превентивные меры, которые помогут защитить ваши данные. Вы можете быть спокойны насчет атак шифровальщиков, если ваша ИТ-инфраструктура соответствует следующим требованиям:

  • Резервное копирование производится регулярно и вы уверены, что можете вернуться к достаточно актуальным версиям документов, а не к прошлогодним данным. Лучше всего, если резервное копирование производится по схеме 3−2−1, когда данные сначала резервируются на локальный или сетевой диск, а потом дополнительно зеркалируются в облако. Это позволяет исключить опасность повреждения локальных копий
  • Антивирусная защита обеспечивает обнаружение и удаление вредоносного ПО. Для этого необходимо проконтролировать актуальность антивирусных баз, срок действия лицензий антивируса, а также степень его эффективности. Сегодня для любого антивирусного движка можно найти результаты тестирования и оценить его противодействие угрозам «нулевого дня» — тем, которые еще не известны, не были внесены в базы и используются злоумышленниками впервые
  • Аварийное восстановление должно быть простым и быстрым. Обычно для этого в корпоративных решениях предусмотрена возможность запуска новой виртуальной машины, чтобы пользователи могли максимально быстро продолжить работу с документами, а сервисы можно было бы перезапустить с восстановленными данными в несколько кликов мышкой.

«Ковидная» защита

Уязвимость рабочих мест усилилась с переходом людей на удаленную работу.

Например, в случае атаки шифровальщика на домашние персональные компьютеры сотрудников последние остаются беззащитны перед угрозой, им уже не может помочь ИТ-отдел или администратор.

В этом случае намного проще обеспечить безопасность за счет облачных решений и виртуальных рабочих столов VDI. Также можно установить интегрированные и автоматизированные средства защиты, не требующие контроля и обслуживания со стороны ИТ-персонала.

Потребность бизнеса в решениях для конечных точек и распределенных сетей подтвердили и данные от компаний, с которыми мы работаем.

С наступлением пандемии резко вырос спрос на те продукты, которые позволяют восстанавливаться после атак шифровальщиков без потерь.

В случае обнаружения атаки качественное защитное ПО не только удаляет вирус, но также автоматически восстанавливает все поврежденные файлы из резервных копий. В результате пользователи могут в кратчайший срок продолжить работу.

Фото с сайта liter.kz

Дополнительная угроза

Рассматривая защиту от Ransomware, многие предприниматели упускают из виду, что это лишь одна из разновидностей угроз, которые могут навредить бизнесу.

Более того, Ransomware все чаще становятся только одним компонентом вредоносного ПО.

Например, в 2019 году мы обнаружили шифровальщик Nemty, который не только пытается закодировать файлы пользователя, но также загружает программу infostealer, которая собирает с компьютера все потенциально полезные данные.

Расчет киберпреступников выглядит следующим образом: если не удастся получить выкуп за расшифровку данных, быть может, получится стребовать деньги за неразглашение информации?

К тому же данные всегда можно попытаться продать в Darknet, особенно если среди них попадется персональная или финансовая информация. Узнать больше о шифровальщике Nemty можно здесь.

А вообще, хочется обратить внимание, что подобные угрозы говорят о необходимости комплексной киберзащиты, которая отвечает сразу всем 5 векторам киберугроз SAPAS. В этой аббревиатуре зашифрованы пять векторов киберзащиты:

  • Safety — безопасность
  • Accessibility — доступность
  • Privacy — приватность
  • Authenticity — аутентичность
  • Security — защищенность (данных).

То есть система защиты должна обеспечить охрану данных от вредоносных программ, гарантировать возможность получить доступ к своим данным в любое время и в любом месте, не открывать их посторонним людям, а также защитить от подмены и манипуляций.

Читайте также:  Что не так с топ-менеджерами, которые не могут найти работу

Выстраивая систему защиты от современных интернет-угроз, предпринимателям необходимо установить на свои компьютеры и серверы средства защиты, отвечающие разным векторам безопасности, или использовать интегрированное решение. В любом случае для достижения надежной киберзащиты необходимо:

  • Проводить регулярную оценку и обсуждение мер обеспечения безопасности и конфиденциальности
  • Предусмотреть увеличение расходов на обучение сотрудников и изменение корпоративной культуры
  • Регулярно проверять, соответствуют ли принятые в компании требования к безопасности современным реалиям киберугроз.

10 шагов по защите от программ-вымогателей

ЧТО ТАКОЕ ПРОГРАММЫ-ВЫМОГАТЕЛИ?

Программы-вымогатели – это разновидность зловредного ПО, заражающего устройства, сети и ЦОДы. В результате ими становится невозможно пользоваться до тех пор, как пользователь или организация не заплатит выкуп. После этого блокировка снимается.

Программы-вымогатели известны как минимум с 1989 года, когда появился троян “PC Cyborg”, шифровавший имена файлов на жестком диске и требовавший $189 за снятие блокировки.

За прошедшее с той поры время атаки программ-вымогателей стали намного более изощренными, нацеленными и прибыльными.  

Общий эффект от программ-вымогателей сложно оценить, поскольку многие компании просто соглашаются заплатить – подход, который работает далеко не всегда.

Тем не менее, в отчете по кампании программы-вымогателя Cryptowall v3, подготовленном в октябре 2015 года организацией Cyber Threat Alliance, указано, что стоимость той единственной атаки составила $325 миллионов!  (Полный отчет можно прочитать здесь)

Программа-вымогатель, как правило, работает одним из следующих способов. Вымогатели-шифровальщики могут заражать операционную систему таким образом, что устройство больше не сможет загружаться.

Другие вымогатели будут зашифровывать диски, наборы файлов или их имена. В некоторых версиях этого зловредного ПО встроен таймер, и через некоторое время начинается удаление файлов, длящееся до тех пор, как будет заплачен выкуп.

Все версии программ-вымогателей требуют уплат выкупа для снятия блокировки, шифрования и т.д.

31 марта 2016 такие организации как U.S. Cyber Emergency Response Team и Canadian Cyber Incident Response Centre выпустили совместное предупреждение о программе-вымогателе, успевшей заразить системы в нескольких лечебных учреждениях (см. https://www.us-cert.gov/ncas/alerts/TA16-091A).

Согласно предупреждению, инфицированные пользователи получали сообщение, появлявшееся на устройстве и гласившее примерно следующее:

  • “Ваш компьютер инфицирован вирусом. Нажмите здесь для решения проблемы.”
  • “Ваш компьютер использовался для посещения сайтов с нелегальным контентом. Для разблокирования компьютера вы должны заплатить штраф в размере $100.”
  • “Все файлы на вашем устройстве зашифрованы. Вы должны уплатить выкуп в течение 72 часов, для того, чтобы получить доступ к данным”

В некоторых случаях демонстрировались изображения унизительного или порнографического характера, чтобы мотивировать пользователей как можно быстрее очистить систему. И в любом случае устройство отключалось, критически важные данные становились недоступными, продуктивность нарушалась, а бизнес-процессы останавливались.

КАК ЗАРАЖАЮТСЯ КОМПЬЮТЕРЫ?

Программы-вымогатели попадают в устройства различными способами, но самым обычным является инфицированный файл, прикрепленный к email. К примеру, несколько дней назад я получил письмо, которое утверждало, что пришло от моего банка.

В нем был правильный лого, ссылки на сайт банка, мое имя. В письме говорилось, что банк обнаружил подозрительную активность с моим счетом, и что мне нужно установить приложенный файл для того, чтобы подтвердить свою личность.

Все очень походило на реальную проблему со счетом, но таковой не являлось. Это была фишинговая атака.

Выдало атаку то, разумеется, что никакой банк никогда не пришлет вам файл с просьбой установить его – особенно для того, чтобы подтвердить свою личность. И, разумеется, приложенный файл был заражен программой-вымогателем, который попал бы в мою систему, если бы я на него кликнул.

Но приложения к электронным письмам не являются единственным способом инфицирования. Фоновая загрузка является еще одним вариантом.

Пользователь посещает зараженный сайт, и зловредное ПО загружается и устанавливается без ведома посетителя. Программы-вымогатели также распространяются через социальные сети, браузерные сервисы мгновенных сообщений и т.д.

В последнее время уязвимые веб-серверы эксплуатировались как точки входа для получения доступа в сеть организаций. 

КАК УБЕРЕЧЬСЯ?

Вот 10 вещей которые нужно делать для того, чтобы защитить себя и свою организацию от программ-вымогателей.  

  1. Разработайте план резервного копирования и восстановления. Регулярно делайте резервные копии системы и храните их в режиме офлайн на отдельном устройстве.
  2. Используйте профессиональные инструменты обеспечения безопасности электронной почты и веб-серфинга для анализа приложений к письмам, посещаемых вебсайтов, а также файлов на предмет наличия зловредного ПО. Эти инструменты могут блокировать потенциально скомпрометированные рекламы, а также сайты, которые не связаны с бизнес-активностью. Эти инструменты должны включать функциональность «песочницы», благодаря которой новые или нераспознанные файлы могут быть выполнены и проанализированы в безопасной среде.
  3. Обновляйте и устанавливайте «заплатки» для своих операционных систем, устройств и ПО.
  4. Убедитесь в том, что антивирус на устройстве и в сети, а также приложения для борьбы со зловредным ПО используют новейшие обновления. 
  5. Везде где возможно используйте «белые списки» приложений, которые предотвращают загрузку и запуск неавторизованных приложений. 
  6. Разделите сеть на зоны безопасности таким образом, чтобы вирус из одной зоны не мог легко попасть в другую.
  7. Установите и используйте разрешения и привилегии, так чтобы у минимального количества пользователей была возможность заразить критически важные для бизнеса приложения, данные или сервисы. 
  8. Установите и используйте политику безопасности BYOD, благодаря которой могут проверяться и блокироваться устройства, не соответствующие вашим стандартам безопасности (нет клиентского приложения, файлы антивируса устарели, ОС не хватает критически важных «заплаток» и т.д.).
  9. Установите инструменты анализа, которые позволят определить: 1) откуда пришло заражение, 2) как долго вирус был в вашей системе, 3) удалось ли полностью устранить его с устройства, 4) все ли сделано для того, чтобы он не вернулся.  
  10. ОЧЕНЬ ВАЖНО: не рассчитывайте, что ваши сотрудники обеспечат безопасность. Безусловно, важно повышать уровень информированности ваших сотрудников, чтобы они перестали загружать файлы, открывать приложения к электронным письмам или ходить по непроверенным ссылкам. Но люди все равно останутся самым слабым звеном, и ваш план безопасности должен это учитывать.

И вот почему: для многих из ваших сотрудников открытие приложений к почте и поиск в интернете является частью работы. Поэтому им сложно поддерживать необходимый уровень скептицизма. Во-вторых, фишинговые атаки стали очень убедительными.

Нацеленная фишинговая атака использует данные, доступные онлайн и профили в социальных сетях для индивидуализации подхода. В-третьих, это в природе человека – открывать неожиданные инвойсы и предупреждающие сообщения от своего банка.

Наконец, одно за другим исследования утверждают, что по мнению пользователей безопасность – это чья угодно работа, только не их.

  • ЧТО ДЕЛАТЬ, ЕСЛИ ПРОИЗОШЛО ЗАРАЖЕНИЕ?
  • Будем надеяться, что у вас есть свежая резервная копия, и вы можете стереть всю информацию с устройства, загрузив чистую резервную копию. Есть еще несколько вещей, которые желательно учитывать или проделывать в такой ситуации:
  • 1. Сообщите о преступлении
  • 2.  Выкуп не дает никаких гарантий

Выплата выкупа не гарантирует, что зашифрованные файлы опять станут вам доступны. Она гарантирует лишь, что преступник получит деньги жертвы, и, в некоторых случаях – банковскую информацию. Кроме того, расшифровка файлов не означает, что зловредное ПО устранено с устройства.

3. Свяжитесь с экспертами

В штате многих вендоров операционных систем, ПО и приложений безопасности есть эксперты, которые могут порекомендовать действия в случае заражения устройства программой-вымогателем. Кроме того, есть независимые эксперты, которые могут вам помочь.

4. Имейте план B

Что вы будете делать, если ваши компьютерные системы или сеть станут недоступны? Есть ли у вас аварийный план на этот случай? Сможете ли вы обеспечить непрерывность работы, пусть и в ограниченном виде, пока будут идти работы по восстановлению? Вы знаете, сколько вашей организации будет стоить час простоя работы? Отражен ли этот показатель в вашем бюджете ИТ-безопасности? Эта информация должна быть обязательно отражена в вашей политике информационной безопасности. 

ВЫВОДЫ

Киберпреступность – это целая отрасль с миллиардным оборотом. Как и большинство бизнесменов, киберпреступники очень мотивированы к тому, чтобы находить пути заработка. Они используют различные уловки, вымогательство, нападения, угрозы и т.д. для того, чтобы получить доступ к вашим критически важным данным и ресурсам. 

Программы-вымогатели не являются чем-то новым. Но недавние «достижения» в их эффективности и средствах доставки стали одним из важнейших трендов в непрекращающемся поиске новых и неожиданных путей эксплуатации частных лиц и организаций, ведущих деятельность онлайн.

Сегодня в большей степени, чем когда-либо, безопасность перестала быть чем-то добавочным к вашему бизнесу. Это – неотъемлемая часть вашего бизнеса.

Убедитесь в том, что вы сотрудничаете с экспертами, которые понимают: безопасность – это не просто какое-то устройство или приложение.

Безопасность – это система интегрированных и взаимодействующих технологий, соединенных с эффективной политикой безопасности и сопровождаемая соблюдением принципов жизненного цикла в процессах подготовки, защиты, обнаружения, реагирования и обучения.

Решения в области безопасности должны обмениваться информацией об угрозах для эффективного обнаружения и реагирования на угрозы где угодно в вашей распределенной ИТ-среде.

Эти решения должны быть бесшовно интегрированы в вашу сетевую среду, так чтобы защищать ее, как бы она ни развивалась или эволюционировала. Они должны быть способны динамически адаптироваться по мере обнаружения новых угроз.

И они никогда не должны мешать основному бизнесу.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *