Борьба с вирусами-шифровальщиками


ИТ >> 09.09.2019

Бушевавшие совсем недавно эпидемии компьютерных вирусов-шифровальщиков WannaCry, а затем и Petya останутся в истории как самые массовые заражения, за «лечение» от которых (то есть восстановление доступа к зашифрованным данным) жертвы по всему миру заплатили злоумышленникам миллионы долларов. Операционные потери от утраты данных и работоспособности атакованной инфраструктуры не менее велики. Те компании, которые столкнулись с вирусами-шифровальщиками, теряли доступ не только к документам и базам данных, хранившихся на локальных компьютерах и серверах, но также и к резервным копиям, если они сохранялись в пределах локальной сети и доступ к ним не был защищен паролем. Проблема усугублялась тем, что дешифраторы, разрабатываемые антивирусными компаниями, оказывались неэффективными: злоумышленники применяли взломостойкие алгоритмы шифрования и придумывали весьма эффективные решения для передачи ключей согласившимся на выкуп жертвам.

Сейчас обстановка с вирусами этого класса выглядит спокойной, но никто не даст гарантий, что аналогичные атаки не повторятся в будущем. Мы попросили специалистов компании Tom Hunter рассказать о возможных мерах защиты и противодействия современным вирусам-шифровальщикам.

Сетевые настройки и политики безопасности


Нередко заражение происходит по следующей стандартной схеме. Пользователь получает на почту файл (загружает из интернета). При этом сам файл маскируется под полезный, например doc или xls, но фактически он является исполняемым exe-файлом, с помощью которого и происходит запуск вируса. Проблема в том, что в таком файле обычно отсутствуют вирусные сигнатуры (в том, что вы «решили» зашифровать свои файлы, ничего подозрительного нет). Это можно сделать даже штатными средствами операционной системы, поэтому антивирус «пропускает» этот файл.

Выполнение некоторых настроек позволит резко снизить риск заражения и предотвратить распространение вируса по локальной сети. Для обеспечения приемлемого уровня защиты достаточно:
  1. Не использовать учетную запись администратора для повседневной работы, только обычную с паролем.
  2. Отключить автозапуск со всех съемных и сетевых носителей.
  3. Включить DEP (Data Execution Prevention – предотвращение запуска данных) для всех программ.
  4. Настроить штатный фаерфол, оставив доступ лишь тем сервисам и программам, которые реально используются в работе.
  5. Настроить свойства браузера и зоны IE. В его параметрах можно выставить запрет на загрузку и запуск исполняемых файлов, другие браузеры, например Google Chrome, используют эти настройки по умолчанию.
  6. Настроить автоматическое резервное копирование, желательно на удаленные сервера или облачные хранилища с обязательной авторизацией.

Действия при заражении


Если заражение все же произошло, то необходимо в срочном порядке перейти к борьбе и попытаться восстановить файлы или быть готовым восстановить их из резервной копии. Существует несколько десятков разновидностей шифровальщиков, но в общем случае порядок действий выглядит следующим образом:
  1. Скачайте свежий пакет обновлений для антивируса или специальное средство удаления вредоносных программ. Запустите полную глубокую проверку и дождитесь ее завершения. Чтобы усилия по дешифровке были максимально эффективны, сначала нужно удалить сам вирус.
  2. Воспользуйтесь бесплатными средствами дешифровки, которые можно найти на сайте NoMoreRansom. Его поддерживают крупнейшие разработчики антивирусного программного обеспечения, и есть хороший шанс, что к конкретной версии вируса уже подобраны ключи дешифровки. На указанном выше сайте можно заранее оценить возможность дешифровки: укажите контактные данные (e-mail, который написали злоумышленники для связи) или файл с заметками шифровальщика. Также потребуются два зашифрованных файла размером не более 1 МБ каждый.
  3. Воспользуйтесь бесплатными утилитами для дешифровки. Их можно найти на сайтах разработчиков антивирусов. В общих словах принцип работы с бесплатными утилитами выглядит следующим образом: Вам понадобятся два файла с зараженной машины, один из которых зашифрован вирусом, а другой нет. В утилиту добавляются оба, и при наличии возможности дешифровки она выдаст вам соответствующий ключ.
Если дешифровка невозможна, придется полностью очищать машину и восстанавливать данные из резервной копии.

Алгоритмы действий злоумышленников


Любые действия по выстраиванию сетевой безопасности будут неэффективны, если пользователи не соблюдают элементарных правил защиты и просто невнимательны. В арсенале злоумышленников немало методов социальной инженерии, и они действительно способны убедить невнимательного сотрудника выполнить целевое действие, например запустить зараженный файл. Письма, отправленные с похожих на знакомые вам адресов, сайты, дизайн и URL которых очень похож на часто посещаемые вашими сотрудниками, – все это позволяет хакерам передать и запустить файл, содержащий вирус-шифровальщик. Поэтому внимательность к деталям и осведомленность о существующих угрозах – важный элемент защиты, не уступающий по значимости всем остальным.

Тестирование безопасности


Предотвращение заражения – лучший способ избежать проблем с вирусами-шифровальщиками. Однако для выстраивания эффективной стратегии защиты нужно располагать сведениями о существующих в Сети и на локальных машинах уязвимостях, и чтобы получить эту информацию, необходимо провести пентест, который представляет собой независимый аудит информационной безопасности и проводится с учетом всех особенностей сетевой инфраструктуры компании-заказчика. Высокий профессионализм и богатый опыт проведения пентеста для компаний самого разного уровня – вот самые важные причины, по которым следует сделать выбор в пользу Tom Hunter.