Вредоносные программы-шифраторы
“Ваши данные зашифрованы! Отправьте 20000 рублей на электронный кошелек и мы пришлем вам программу для расшифровки.”
Если вам не приходилось видеть подобное сообщение на экране компьютера и вы не хватались за сердце, перебирая в уме перечень важных для вас данных, еще минуту назад мирно хранившихся на нем (начиная от бухгалтерских баз, рабочих документов, почты и заканчивая семейным фотоархивом) - вы счастливчик. Многим повезло меньше. А скольким еще спокойствие от мысли "как хорошо, что вчера я сделал резервную копию бухгалтерской базы" или "у меня же есть заархивированная папка "мои документы" сменялось разочарованием от того, что зловредный код не пощадил ничего: зашифрованы не только данные на жестком диске, но и папки с архивами, и документы на подключенной к компьютеру "секретной флешке" и даже данные на сетевом диске Google!
Вот уже несколько лет прошло с тех пор, как мы впервые столкнулись с реальными случаями намеренной порчи данных не для развлечения или маскировки целенаправленного взлома какой-либо системы, а исключительно в целях массового вымогательства. Однако, с прискорбием вынужден констатировать: до сих пор надёжной защиты от данного вида угроз не существует. Более того, механизм шифровки данных добавляется к более серьезным вирусам, использующим недавно найденные уязвимости в операционной системе, например ставшие знаменитыми на весь мир WannaCry, Petya, Bad Rabbit.
Как происходит заражение?
Знаменитый WannaCry использовал уязвимость в операционной системе Windows и мог заражать компьютер жертвы через интернет, участие пользователя не требовалось. От такого зловреда защитят только грамотные действия системных администраторов и своевременное обновление программного обеспечения.
Однако, это скорее исключение из правил для программ-вымогателей. В подавляющем большинстве случаев потенциальная жертва атаки получает электронное письмо, которое содержит либо вредоносный код в виде вложения, замаскированное под безопасные и очень важные для жертвы данные, либо ссылку на вредоносный сайт. За последние годы у меня скопилась целая коллекция писем, которые я регулярно получал и продолжаю получать вместе с обычным спамом. Мошенники активно используют психологию и в тексте затрагивают нужные струнки человеческого подсознания, чтобы снизить порог чувствительности или вовсе “отключить предохранители", препятствующие мгновенному нажатию на опасную ссылку или запуск вложения с угрозой.
В ход идут самые разные уловки: внезапная угроза блокировки банковского счета из-за задолженности, сообщение от судебных приставов, популярного банка или оператора связи, фотографии с отдыха и даже выигрыш в лотерею.
Почему не существует надежной защиты?
Дело в том, что сам процесс шифрования данных запускается не злоумышленником и не при помощи уязвимости в системе. Используется человеческий фактор: процесс инициируется самим пользователем.
Механизм чем-то напоминает архивирование данных. Более того, некоторые шифраторы вовсе используют алгоритмы шифрования популярных архиваторов, попросту архивируя данные пользователя с использованием пароля. Расшифровка таких данных практически невозможна, при этом работающий антивирус даже "не моргнет".
Интересное решение предлагает лаборатория Касперского, антивирус которой осуществляет мониторинг "подозрительных" действий программ. Последовательное обращение к пользовательским файлам в определенный момент вызывает срабатывание антивируса. Однако, это вызывает дополнительную нагрузку на аппаратную часть и серьезно снижает производительность системы. Как говорит опыт реальной эксплуатации различных антивирусных систем, в том числе Касперского - уповать полностью на защиту, предлагаемую антивирусом, не стоит.
Как защитить данные?
На мой взгляд, необходимо обеспечить три вещи. Первое и самое главное - регулярное резервное копирование данных. Главный нюанс заключается в том, чтобы доступ к создаваемым резервным копиям был запрещен пользователю-оператору рабочей станции. В противном случае вирус-шифратор может зашифровать и файлы резервных копий. К сожалению, такие случаи не редкость. Именно поэтому регулярное копирование данных "в облако" при помощи регулярной автоматической синхронизации от имени текущего пользователя не является подходящим методом резервного копирования. Очевидно, что сразу после заражения такой системы данные будут зашифрованы в обеих инстанциях. Однако регулярное копирование данных в удаленное хранилище с вводом дополнительного пароля обеспечит сохранность резервных копий. Этот совет скорее касается личных данных. Организацию надежной системы резервного копирования в компании лучше доверить профессионалам (читайте мою статью Резервное копирование данных).
Второе - внимательное отношение к данным: не открывать письма, полученные из неизвестных источников, не переходить по незнакомым ссылкам, читать предупреждения системы и антивирусного ПО.
Особенно важно, столкнувшись с подозрительным письмом или вредоносным вложением, обратиться за помощью к специалистам, а не пытаться пересылать опасный "подарок" друзьям и коллегам, снабжая просьбой помочь в открытии вложения! Это не шутка, к сожалению опыт показывает, что некоторые письма с вредоносными вложениями открываются пользователями только потому, что они получены уже от известных им источников.
Третье - своевременное обновление программного обеспечения: производители регулярно выпускают важные обновления, касающиеся безопасности. Бывали случаи, когда случайно найденные уязвимости, опубликованные разработчиком при выпуске обновления программы, использовались злоумышленниками против тех систем, на которые еще не успели установить эти важные обновления.
Построение надежной инфраструктуры - задача для профессионалов
Вирусы-шифровальщики - один из самых неприятных трендов последнего времени, к счастью, уже начал выходить из моды. На пороге - эпоха вирусов, заставляющих зараженные системы майнить для злоумышленников криптовалюты. Так или иначе, в сфере информационных технологий постоянно появляются новые угрозы, на которые нужно быстро реагировать и которым приходится противодействовать.
Соблюдение базовых принципов информационной безопасности позволит минимизировать ущерб и время простоя инфраструктуры. Рекомендую обращаться к нам в “Оптимальный сервис” за услугой Абонентское обслуживание компьютеров. Ведь инфраструктуры, которые мы обслуживаем, пережили уже не одну волну известных и не очень вирусов-шифровальщиков.
