В нашем корпоративном блоге мы много раз писали о вымогателях, а также публиковали их анализ. Особое внимание мы уделяли шифровальщикам, так как они представляют наибольшую угрозу для пользователей, принося им максимальные неудобства. Едва ли найдутся такие пользователи, даже из категории начинающих, которые не слышали о вымогателях, а также о мерах для защиты от них.

Тем не менее, мы решили написать пост о превентивных методах защиты от вымогателей, которые следует знать каждому пользователю. Эта информация поможет пользователю отгородиться от вредоносных действий вымогателя даже в том случае, когда антивирусное ПО не может своевременно его обнаружить.

Своевременное резервное копирование

Одной из самых эффективных мер в борьбе с вымогателями-шифровальщиками является своевременное резервное копирование. Такая мера позволяет поддерживать копии файлов на диске в актуальном состоянии и восстановить их в случае шифрования вымогателем. Так как некоторые модификации вымогателей могут шифровать и файлы резервного копирования на сетевых дисках, а также съемных носителях, важно хранить информацию резервного копирования на таком носителе, который не является постоянно подключенным к компьютеру.

Своевременно обновляйте установленное ПО и ОС

Известно, что киберпреступники прибегают к использованию эксплойтов в различном ПО и ОС для удаленного запуска исполняемых файлов вымогателей. Отсутствие в системе обновленных версий продуктов существенно повышает риск заражения вредоносным ПО, так как актуальные версии ПО могут содержать исправленные уязвимости, все еще используемые атакующими. Обновление ПО возможно как из встроенных в него функций (updater), так и на официальном веб-сайте, где публикуются новые версии продуктов.

Используйте антивирусное ПО

Использование комплексного антивируса пакета с HIPS и брандмауэром значительно снижает риск заражения вымогателями. Проактивная защита поможет избежать заражения вредоносным ПО, а веб-антивирус своевременно заблокирует вредоносную ссылку, которая ведет на загрузку. Кроме этого, активный брандмауэер поможет заблокировать процесс взаимодействия исполняемого файла вымогателя с C&C-сервером. Это, в свою очередь, может помочь избежать процесса заражения системы в том случае, когда исполняемый файл вымогателя уже активировался в системе, так как от C&C-сервера он получает инструкции по шифрованию файлов.

Отключите макросы в файлах Microsoft Office

Часто именно макросы в документах Office используются для загрузки исполняемого файла вымогателя и его последующего исполнения в системе. Отключая возможность использования макросов, вы минимализируете риск попадания в систему вымогателя.

Настройте Windows на отображение скрытых расширений файлов

Вредоносные программы часто используют дополнительное расширение в названии файла для его маскировки под безвредный. Например, это может выглядеть как ".PDF.EXE". По умолчанию, Windows и OS X скрывают известные расширения файлов, при этом пользователю будет казаться, что он видит настоящее расширение файла, в то время как эта информация будет ошибочной. Установка этой настройки позволит вам видеть настоящие расширения названий файлов.

Фильтруйте исполняемые файлы в сообщениях электронной почты

Почтовый сканер на сервере следует настроить таким образом, чтобы он блокировал электронные письма, содержащие ".EXE" файлы или настроить схожую политику для писем с вложениями файлов, которые содержат в названии двойное расширение. Для обмена исполняемыми файлами лучше использовать облачное хранилище или упаковывать их в архив перед отправкой.

Создайте правило для запрещения запуска исполняемых файлов из директорий AppData/LocalAppData

Использование правил Windows или системы типа IPS позволяет задать настройку, которая запретит запускать исполняемые файлы из директорий AppData или LocalAppData. Данное расположение часто используется вымогателями для запуска в системе. В случае необходимости запуска легитимного приложения из этих расположений, следует задать исключение из правила.

Отключите RDP

Киберпреступники могут использовать протокол RDP для удаленного доступа к Windows. Если вы не используете RDP, существует возможность его отключения в целях безопасности. Инструкции для этого можно получить из соответствующих статей Microsoft Knowledge Base:

— Windows XP
— Windows Vista
— Windows 7
— Windows 8
— Windows 10

Следующие советы помогут вам при уже произошедшем заражении шифровальщиком.

Проверьте существование декриптора

Иногда авторы вредоносного ПО допускают ошибки при шифровании файлов и делают возможность создания декриптора для расшифровки файлов. Проверьте существование такого декриптора, что может позволить вернуть доступ к файлам.

Немедленно отключите свой компьютер от сети (network)

Если вы запустили на исполнение подозрительный файл и полагаете, что он может быть вымогателем, процесс шифрования файлов можно все еще предотвратить. Для этого следует отключить компьютер от сети, что не позволит вымогателю обратиться к C&C-серверу и остановит процесс шифрования файлов.

Заключение

Вымогатели являются настоящей головной болью современных пользователей. Поскольку они не выполняют в системе подозрительных функций, а просто реализуют поиск и запись файлов, их непросто отличить от другого легитимного ПО. Это создает сложности для реализации механизма их проактивного обнаружения, что является методом подстраховки в том случае, когда антивирус не способен обнаружить вымогатель сигнатурно. Выполнение вышеперечисленных пунктов позволит вам существенно снизить риск заражения таким видом вредоносного ПО как вымогатели.