Эпидемия программ-вымогателей и что вы можете сделать

Что такое программы-вымогатели

Программы-вымогатели – это сегодня эпидемия, основанная на коварном вредоносном ПО, которое киберпреступники используют для вымогательства у вас денег, удерживая ваш компьютер или компьютерные файлы для выкупа и требуя от вас оплаты, чтобы вернуть их. К сожалению, программы-вымогатели быстро становятся все более популярным способом для авторов вредоносных программ вымогать деньги как у компаний, так и у потребителей. Если эта тенденция сохранится, программы-вымогатели вскоре повлияют на устройства Интернета вещей, автомобили и системы ICS и SCADA, а также только на компьютерные конечные точки. Есть несколько способов проникновения программ-вымогателей на чей-то компьютер, но большинство из них является результатом тактики социальной инженерии или использования уязвимостей программного обеспечения для автоматической установки на машину жертвы.

С прошлого года и даже раньше авторы вредоносных программ рассылали волны спама различным группам. Нет никаких географических ограничений на то, кого это может затронуть, и, хотя изначально электронные письма предназначались для отдельных конечных пользователей, затем для малого и среднего бизнеса, теперь предприятие является зрелой целью.

Помимо фишинга и целевой социальной инженерии, программы-вымогатели также распространяются через порты удаленных рабочих столов. Программа-вымогатель также влияет на файлы, доступные на подключенных дисках, включая внешние жесткие диски, такие как флэш-накопители USB, внешние диски или папки в сети или в облаке. Если на вашем компьютере есть папка OneDrive, эти файлы могут быть затронуты, а затем синхронизированы с облачными версиями.

Никто не может с какой-либо достоверностью сказать, сколько вредоносных программ этого типа существует в дикой природе. Поскольку многое из этого содержится в неоткрытых электронных письмах, а о многих заражениях не сообщается, трудно сказать.

Воздействие на тех, кто пострадал, заключается в том, что файлы данных были зашифрованы, и конечный пользователь вынужден решать, основываясь на тикающих часах, платить ли выкуп или потерять данные навсегда. Затронутые файлы обычно представляют собой популярные форматы данных, такие как файлы Office, музыка, PDF и другие популярные файлы данных. Более сложные варианты удаляют компьютерные «теневые копии», которые в противном случае позволили бы пользователю вернуться к более раннему моменту времени. Кроме того, уничтожаются компьютерные «точки восстановления» и файлы резервных копий, которые становятся доступными. Преступник управляет процессом так, что у него есть сервер управления и контроля, на котором хранится закрытый ключ для файлов пользователя. Они применяют таймер для уничтожения закрытого ключа, а запросы и таймер обратного отсчета отображаются на экране пользователя с предупреждением о том, что закрытый ключ будет уничтожен в конце обратного отсчета, если не будет уплачен выкуп. Сами файлы продолжают существовать на компьютере, но они зашифрованы, недоступны даже для грубой силы.

Во многих случаях конечный пользователь просто платит выкуп, не видя выхода. ФБР не рекомендует платить выкуп. Выплачивая выкуп, вы финансируете дальнейшую деятельность такого рода, и нет никаких гарантий, что вы получите какие-либо свои файлы обратно. Кроме того, индустрия кибербезопасности все лучше справляется с программами-вымогателями. По крайней мере, один крупный поставщик средств защиты от вредоносных программ на прошлой неделе выпустил «дешифратор». Однако еще неизвестно, насколько эффективным будет этот инструмент.

Что вам следует делать сейчас

Следует учитывать несколько точек зрения. Человек хочет вернуть свои файлы. На уровне компании они хотят, чтобы файлы и активы были защищены. На уровне предприятия они хотят всего вышеперечисленного и должны быть в состоянии продемонстрировать выполнение должной осмотрительности в предотвращении заражения других от всего, что было развернуто или отправлено компанией, чтобы защитить их от массовых правонарушений, которые неизбежно нанесут ущерб не такое уж далекое будущее.

Вообще говоря, маловероятно, что после шифрования сами файлы могут быть зашифрованы. Поэтому лучшая тактика – это профилактика.

Сделайте резервную копию ваших данных

Лучшее, что вы можете сделать, – это выполнять регулярное резервное копирование на автономный носитель, сохраняя несколько версий файлов. С автономными носителями, такими как служба резервного копирования, лента или другой носитель, который позволяет ежемесячное резервное копирование, вы всегда можете вернуться к старым версиям файлов. Кроме того, убедитесь, что вы выполняете резервное копирование всех файлов данных – некоторые могут быть на USB-накопителях, подключенных дисках или USB-ключах. Пока вредоносная программа может получить доступ к файлам с доступом на уровне записи, они могут быть зашифрованы и сохранены для выкупа.

Образование и осведомленность

Важнейшим компонентом в процессе предотвращения заражения программами-вымогателями является информирование конечных пользователей и сотрудников о векторах атак, в частности о спаме, фишинге и целевом фишинге. Почти все атаки программ-вымогателей успешны, потому что конечный пользователь щелкнул ссылку, которая выглядела безобидной, или открыла вложение, которое выглядело так, как будто оно пришло от известного человека. Информируя сотрудников об этих рисках и обучая их, они могут стать важной линией защиты от этой коварной угрозы.

Показать скрытые расширения файлов

Обычно Windows скрывает известные расширения файлов. Если вы включите возможность видеть все расширения файлов в электронной почте и в своей файловой системе, вам будет проще обнаруживать подозрительные файлы с вредоносным кодом, маскирующиеся под понятные документы.

Отфильтровать исполняемые файлы в электронной почте

Если ваш почтовый сканер шлюза имеет возможность фильтровать файлы по расширению, вы можете запретить сообщения электронной почты, отправленные с вложенными файлами * .exe. Используйте надежную облачную службу для отправки или получения файлов * .exe.

Отключить выполнение файлов из папок с временными файлами

Во-первых, вы должны разрешить отображение скрытых файлов и папок в проводнике, чтобы вы могли видеть папки appdata и programdata.

Ваше антивирусное программное обеспечение позволяет вам создавать правила, предотвращающие запуск исполняемых файлов из приложений и локальных папок вашего профиля, а также из папки программных данных компьютера. Исключения могут быть установлены для законных программ.

Отключить RDP

Если это целесообразно, отключите RDP (протокол удаленного рабочего стола) на «зрелых» целях, таких как серверы, или заблокируйте им доступ в Интернет, заставив их использовать VPN или другой безопасный маршрут. Некоторые версии Ransomware используют эксплойты, которые могут развернуть Ransomware в целевой системе с поддержкой RDP. Есть несколько технических статей, в которых подробно описано, как отключить RDP.

Патч и обновление всего

Очень важно, чтобы вы всегда были в курсе обновлений Windows, а также обновлений антивируса, чтобы предотвратить эксплойт программ-вымогателей. Не так очевидно, что так же важно оставаться в курсе всего программного обеспечения Adobe и Java. Помните, что ваша безопасность настолько хороша, насколько хорошо ваше самое слабое звено.

Используйте многоуровневый подход к защите конечных точек

Целью данной статьи не является одобрение одного продукта конечной точки по сравнению с другим, а скорее рекомендация методологии, которую отрасль быстро внедряет. Вы должны понимать, что программы-вымогатели как разновидность вредоносного ПО подпитываются слабой безопасностью конечных точек. Если вы укрепите безопасность конечных точек, вымогатели не будут распространяться так легко. В отчете, выпущенном на прошлой неделе Институтом технологий критической инфраструктуры (ICIT), рекомендуется многоуровневый подход с акцентом на поведенческий эвристический мониторинг для предотвращения акта неинтерактивного шифрования файлов (что и делает программа-вымогатель), а также В то же время запустите пакет безопасности или антивирусное ПО для конечных точек, которое, как известно, обнаруживает и останавливает программы-вымогатели. Важно понимать, что и то и другое необходимо, потому что, хотя многие антивирусные программы обнаруживают известные штаммы этого неприятного трояна, неизвестные штаммы нулевого дня необходимо будет остановить, распознав их поведение шифрования, смены обоев и связи через брандмауэр с их Центр управления и контроля.

Что делать, если вы считаете, что заразились

Немедленно отключитесь от любой Wi-Fi или корпоративной сети. Возможно, вы сможете остановить связь с сервером управления и контроля до того, как он завершит шифрование ваших файлов. Вы также можете запретить программе-вымогателям на вашем компьютере шифрование файлов на сетевых дисках.

Используйте восстановление системы, чтобы вернуться к заведомо чистому состоянию

Если на вашем компьютере с Windows включено восстановление системы, вы можете вернуть систему к более ранней точке восстановления. Это будет работать только в том случае, если штамм программы-вымогателя еще не уничтожил ваши точки восстановления.

Загрузитесь с загрузочного диска и запустите антивирусное программное обеспечение

Если вы загрузитесь с загрузочного диска, ни одна из служб в реестре не сможет запуститься, включая агент вымогателей. Вы можете использовать свою антивирусную программу для удаления агента.

Опытные пользователи могут делать больше

Программа-вымогатель встраивает исполняемые файлы в папку Appdata вашего профиля. Кроме того, записи в разделах «Run» и «Runonce» в реестре автоматически запускают агент Ransomware при загрузке операционной системы. Опытный пользователь должен уметь

а) Выполните тщательное антивирусное сканирование конечной точки, чтобы удалить установщик вымогателей.

б) Запустите компьютер в безопасном режиме без запущенных программ-вымогателей или прекратите работу службы.

в) Удалите программы-шифровальщики

г) Восстановить зашифрованные файлы из резервных копий в автономном режиме.

e) Установите многоуровневую защиту конечных точек, включая защиту на основе поведения и сигнатур, для предотвращения повторного заражения.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть
Закрыть