Из всех киберугроз, которые существуют на сегодняшний момент, ransomware можно назвать наиболее разрушительным. ПО такого типа быстро распространяется по сети (частной или корпоративной), закрывая доступ к данным, которые для человека или компании могут быть просто бесценными. Удалить криптовымогатель с ПК можно, но только со всеми данными, что есть на жестких дисках. Некоторые представители этого класса программного обеспечения не слишком опасны, и ключ или другие средства обезвреживания можно найти в сети. Но другие гораздо опаснее, если они уже попали в систему, то жертва не видит иного выхода, кроме как платить.
Для оплаты чаще всего используются биткоины, хотя в некоторых случаях киберпреступники выбирают и другие способы оплаты. Платят очень многие. По данным ФБР, только в 2016 году различные компании выплатили разработчикам ransomware около $1 млрд. Это в 40 раз больше, чем аналогичный показатель, фигурировавший в 2015 году. Все потому, что ransomware становится все более совершенным, новые разработки киберпреступников появляются гораздо быстрее, чем раньше. Но все же — платить стоит далеко не всегда. Точнее, лучше бы вообще не платить.
Стоит просто подумать над тем, как снизить вероятность попадания такого рода ПО в систему. Здесь, как всегда, можно порекомендовать несколько привычных вариантов, которые пригодятся как компаниям, так и обычным пользователям:
- Обучить пользователей в своей компании основам кибербезопасности. Главное — не кликать по незнакомым ссылкам в e-mail сообщениях, что случается очень часто. Кроме того, пользователям стоит объяснить опасность посещения ресурсов, банеры которых часто попадаются в сети. Все мы знаем об этих бесплатных антивирусах и прочих штуках, теперь нужно объяснить это собственным сотрудникам.
- Регулярно обновлять ПО в компании, также стоит обновлять прошивку сетевых устройств, следить за актуальностью ПО на серверах и прочих ключевых элементах сети.
- Работать с файерволами, устанавливая последние обновления. В некоторых версиях такого ПО уже есть базы данных ресурсов с ransomware, так что пользователь, даже нажав на вредоносную ссылку, не попадет на такой сайт.
- Использовать «песочницу» для полученных PDF-документов или документов других видов. Многие эксплоиты внедряются как раз в сложную структуру файлов, создаваемых при помощи офисных программ.
- Разработать систему привилегий для пользователей в компании;
- Если не требуется, всегда убирать функцию Remote Desktop Protocol.
Собственно, все это подавляющее большинство читателей Хабра и так знает (многие даже пишут собственные книги или учебники на эту тему), но все же заново проверить свою систему безопасности в компании или дома не помешает.
Роль безопасности
Как бы там ни было, проблема не всегда в том, чтобы добавить мер безопасности. Слабое звено может найтись всегда. Не всегда помогают такие меры, как аудит, проверка целостности файлов, использование «отпечатков», серийных номеров и самовосстановление.
Не менее важным элементом защиты данных своей компании или личных данных является разработка мер ликвидации последствий взлома. Очень немногие компании представляют, что будут делать после того, как беда произошла. Бегать, хватаясь за голову? Не вариант. Платить злоумышленникам? Да, этот способ используется гораздо чаще. Но это тоже не выход.
У каждой компании должен быть DRP-план (disaster-recovery plan), который поможет быстро выйти на предшествующий аварии рабочий уровень. Об этом мы уже писали. При разработке такого плана главное — проводить учебные тревоги с использованием полученной информации для ликвидации возможных брешей как в системе безопасности, так и в самом плане.
И здесь стоит упомянуть еще один момент, о котором в прошлой статье мы не говорили. Это что? Правильно, бэкапы. Обязательно нужны копии файлов, с сортировкой версий по времени архивации. Просто бэкап не подходит — он может быть сделан в момент атаки и ничего хорошего накатывание такой версии архивных файлов не принесет.
Поэтому, если данные для компании действительно важны, нужна надежная система архивации. Причем система архивации должна быть надежной — желательно такой, чтобы клиенты, даже с уровнем доступа типа «администратор» не могли ничего удалять из архивной копии. Поэтому даже, если зловредному ПО удастся забраться в сеть, то в архивной системе этот зловред ничего сделать не сможет.
После заражения «здоровую» копию можно будет восстановить за несколько минут (или часов, в зависимости от масштаба) и снова получить здоровую систему. В подавляющем большинстве случаев пострадавшие компании, чьи данные стоят сотни тысяч или даже сотни миллионов долларов, не имели нормальной системы архивации, а если она и была, то ее работа проверялась лишь время от времени, а не на регулярной основе.
Таким образом, один из возможных способов защиты файлов — закрыть свои бэкапы в надежном месте, и не давать никому ничего с ними сделать. Храниться они должны столько, сколько потребуется. Конечно, такие средства могут быть достаточно дорогими, но здесь уже стоит подсчитать возможные убытки в случае проникновения в сеть предприятия ransomware и подсчитать «овчинку» и «выделку».
Надежных всем бэкапов!
Комментарии (11)
alk
25.02.2017 11:30поразительно, но в компании, где я раньше работал, вымогатель «приехал» по внутренней почте (Lotus Notes) из штаб-квартиры в региональный офис. Письмо выглядело настолько натуральным — бухгалтер и не подумал, открыл, конечно, ничто не шелохнулось в беспощадной и бессмысленной корпоративной громадине. Никакие антивирусы, брандмауэры, барракуды, блюкоуты и иже с ним. Компьютер был заражен, компания, оценив масштабы, без колебаний заплатила и получила все назад. Ужасно, но порой корпорациям легче заплатить преступникам по тихому вместо того, чтобы разобраться и сделать так, чтобы такое не повторилось.
LumberJack
25.02.2017 13:19+1Но ведь бывают и зловреды шифруюшие бэкапы.
ClearAirTurbulence
25.02.2017 15:55+3Именно поэтому зловред с рабочих машин не должен иметь прав на запись в бэкапы, нет?
SyavaSyava
25.02.2017 13:40+3Господи, сколько ещё можно жевать эти антивирусы – Software Restriction Policy решает проблему всех этих вымогателей и прочих шифровальщиков раз и на всегда, без антивирусов, регистрации и СМС.
После элементарной настройки этих политик вирусы пусть хоть в каждом письме сидят, и во всех абсолютно документах Word – они просто не запустятся.PHmaster
26.02.2017 17:45Не всех и не навсегда. Запуск программы — это один из возможных сценариев проникновения. Зловред может использовать уязвимость 0-day (или не 0-day, если софт давно не обновлялся) и внедриться в код уже запущенного процесса, который уже прошел проверку SRP при старте и считается надежным. Бывают и такие, которые используют целые связки эксплоитов, чтобы по цепочке добраться до нужного им процесса.
SyavaSyava
27.02.2017 11:48В теории — да, но в своей практики ни разу не встречал «умного» вируса, который использовал какие-либо там уязвимости. 99,(9)% — тупые скрипты, запасающиеся из папки «Temp».
Думаю, подобные схемы проникновения используют там, где действительно большие деньги — в промышленном шпионаже, политической деятельности и т.п. Ибо и сами инструменты для проникновения, и информация о подобных уязвимостях стоят немало денег, да и широкое их использование относительно быстро вызовет добавление сигнатур во все антивирусы, чего понятное дело их авторы всячески избегают.
Кстати, и традиционные антивирусы тут будут бесполезны, т.к. борются только с самыми примитивными угрозами, а их базы сигнатур ловят только то, что уже известно.
В общем, если ваша компания не успела заинтересовать какую-либо спец. службу или профессиональную хакерскую группу для целевой атаки — Software Restriction Policy вполне достаточно для экстерминации как вирусной угрозы, так и многих других проблем. А сэкономленные на антивирусах деньги разумно потратить на более приятные или полезные цели.PHmaster
02.03.2017 13:10Самое банальное и распространенное — уязвимости в браузерах и Flash-плеере. Никакого промышленного шпионажа, тупая бытовуха. А потом появляются ботнеты из миллионов зараженных компов.
А то, что лично вы этого на практике не встречали — вообще ни о чем не говорит. Даже если бы вы при этом специально препарировали каждый встреченный вами вирус, чтобы понять, насколько он умный и какие уязвимости использует.SyavaSyava
02.03.2017 13:43Канал не имеет значения. Браузер, почта, макросы в документах — не важно. Речь о том, что в подавляющем большинстве случаев алгоритм везде одинаковый — вынудить пользователя или систему запустить сторонний код. Используется для этого соц.инженерия или баги в ПО — так же не имеет значения для защиты.
В большинстве случаев этот код перед запуском пишется туда, куда есть право записи у пользователя — папки Tmp, профили пользователей и т.д. — так как запускается в контексте пользователя. Запрет запуска кода из этих папок решает проблему подобных зловредов раз и на всегда.
А «тупая бытовуха» как раз и возможна только потому, что админы пренебрегают этими возможностями защиты из-за собственной лености или по другим причинам.
Касательно того, говорит о чём-то мой опыт, или нет — да, лично мой не говорит. Но статистика тех же антивирусных компаний говорит, что практически весь вирусный массив в дикой природе — это то, что я написал. Продвинутые средства атаки используют мизерная часть зловредов, и чаще всего всплывают они в громких историях с направленным взломом правительственных или бизнес-структур.
EndUser
25.02.2017 14:08+3И никто… НИКТО! Не может упомянуть простой признак криптолокера: повышенная дельта бакапа.
И никто… НИКТО! Не может сказать, что в их рекламируемой супераппликухе это условие отрабатывается.
Russula
26.02.2017 23:37Было недавно, кроме public каталога и учетной записи пользователя, ничего не было зашиврованно
Восстановил из бэкапа
Revertis
Мне интересно, а бывают ещё более капитанские посты?