Murzilka | Дата: Воскресенье, 19.06.2016, 07:45 | Сообщение # 1 |
Генералиссимус
Группа: Администраторы
Сообщений: 1617
Статус: Offline
| Время троянцев-вымогателей настало #virus #viruscrypt #trojanВирусы шифровальщики — давно известный тип угрозы. Они появились примерно в одно время с смс-банерами, и плотно засели с последними, в топ-рейтинге вирусов-вымогателей. Модель монетизации вируса-вымогателя проста: он блокирует часть информации или компьютер пользователя целиком, а за возвращение доступа к данным требует отправить смс, электронные деньги или пополнить баланс мобильного номера через терминал. В случае с вирусом шифрующим файлы, всё очевидно — для расшифровки файлов нужно заплатить определенную сумму. Причем, за последние несколько лет эти вирусы изменили подход к своим жертвам. Если раньше они распространялись по классическим схемам через варезы, порно сайты, подмену выдачи и массовые спам-рассылки, при этом заражая компьютеры рядовых пользователей, то сейчас рассылка писем идет адресно, вручную, с почтовых ящиков на «нормальных» доменах — mail.ru, gmail и т.д. А заражать пытаются юридических лиц, где под шифры попадают базы данных и договора. Т.е. атаки из количества переросли в качество. На одной из фирм автору довелось столкнуться с шифровальщиком .hardended который пришел в почте с резюме. Заражение произошло сразу же после открытия файла кадровиками, фирма как раз подыскивала персонал и никаких подозрений файл не вызвал. Это был docx с вложенным в него AdobeReader.exe :) Самое интересное, что никакие эвристические и проактивные сенсорыантивируса Касперского не сработали. Еще день или 2 после заражения, вирус не определялся dr.web-ом и nod32 Так как быть с такими угрозами? Неужели антивирус бесполезен?
Время антивирусов, работающих только по сигнатурам, уходит. G Data TotalProtection 2015 — лучшая защита от шифровальщиков со встроенным модулем резервного копирования. Нажимайте и покупайте. Для всех пострадавших от действий шифровальщика — промокод со скидкой на покупку G DATA — GDTP2015. Просто введите этот промокод при оформлении заказа. Вирусы вымогатели в очередной раз доказали несостоятельность антивирусных программ. Смс-баннеры, в свое время беспрепятсвенно «сливались» пользователям в папку temp и просто запускались на весь рабочий стол и перехватывали нажатие всех служебных комбинаций с клавиатуры. Антивирусник в это время замечательно работал Касперский, как и в штатном режиме, выводил свою надпись «Protected by Kaspersky LAB». Баннер — не хитроумный зловред как руткиты, а простая программа, которая изменяет 2 ключа в реестре и перехватывает ввод с клавиатуры. Вирусы, которые шифруют файлы, вышли на новый уровень мошенничества. Это снова обычная программа, которая не внедряется в код операционной системы, не подменяет системных файлов, не считывает области оперативной памяти других программ. Она просто запускается на короткое время, генерирует открытый и закрытый ключи, шифрует файлы и отправляет закрытый ключ злоумышленнику. На компьютере жертвы остается кучка зашифрованных данных и файл с контактами хакеров для дальнейшей оплаты. Резонно задуматься: «А зачем тогда нужен антивирус, если он способен находить только известные ему вредоносные программы? Действительно, антивирусная программа необходима — она защитит от всех известных угроз. Однако многие новые виды вредоносного кода ей не по зубам. Чтобы защититься от вирусов шифровальщиков, нужно принимать меры, одного антивируса здесь недостаточно. И скажу сразу: «Если у вас уже зашифрованы файлы, вы попали. Легко их вернуть не получится».
Если вы еще не стали жертвой вируса-шифровальщика:Не забывайте про антивирусРезервное копирование важных информационных систем и данных каждому сервису — свой выделенный сервер.Резервное копирование важных данных. Если вы обнаружили зашифрованные файлы у себя на компьютере:Что делать с самим вирусом?Самостоятельные действия с зашифрованными файламиОпыт общения с техподдержкой антивируса, чего ждать?Обращение в полициюПозаботиться о мерах предосторожности в дальнейшем (см предыдущий раздел).Если ничего не помогло, может стоить заплатить? Если вы еще не стали жертвой вируса-шифровальщика:*Наличие антивирусного ПО на компьютере с последними обновлениями. Скажем прямо: «Антивирусы хреново справляются с новыми видами шифровальщиков, зато отлично борются с известными угрозами». Так что наличие антивируса на рабочей станции необходимо. Если жертвы уже есть, вы хотя бы избежите эпидемии. Какой антивирус выбрать — решать вам. По опыту — Касперский «ест» больше памяти и процессорного времени, а для ноутбучных жестких дисков с оборотами 5200 — это катастрофа (нередко с задержками чтения сектора в 500 мс..) Нод32- быстрый, но мало что ловит. Можетекупить антивирус GDATA — оптимальный вариант. *Резервное копирование важных информационных систем и данных. Каждому сервису — свой сервер.Как автор излагал выше — вирусы шифровальщики очень «любят» заражать компьютеры в организациях (кому нужны школьники с их паролями на steam?), там есть чем платить и нет времени ждать помощи со стороны.
По сему, очень важно, вынести все сервисы (1С, налогоплательщик, специфические АРМы) и любой софт от которого зависит жизнь компании, на отдельный сервер, еще лучше — терминальный. А еще лучше каждый сервис разместить на свой сервер (физический или виртуальный — решайте сами). Не храните базу 1с в общем доступе, в сети. Так делают многие, но это неправильно. Если работа с 1с организована по сети с общим доступом на чтение/запись для всех сотрудников — выносите 1с на терминальный сервер, пусть пользователи работают с ним через RDP. Если пользователей мало, а денег на серверную ОС не хватает — в качестве терминального сервера можно использовать обычный Windows XP (при условии снятия ограничений на количество одновременных подключений, т.е. нужно патчить). Хотя, с таким же успехом вы можете установить нелицензионую версию windows server. Благо, Microsoft позволяет пользоваться, а купить и активировать потом :) Работа пользователей с 1с через RDP, с одной стороны, уменьшит нагрузку на сеть и ускорит работу 1с, с другой, предотвратит заражение баз данных. Хранить файлы БД в сети с общим доступом — небезопасно, а если других перспектив нет — позаботьтесь о резервном копировании (см. след раздел.) *Резервное копирование важных данных.Если у вас еще не делаются бэкапы (резервное копирование) — вы балбес, уж простите. Ну или передавайте привет вашему системному администратору. Бэкапы спасают не только от вирусов, но и от нерадивых сотрудников, хакеров, «посыпавшихся» жестких дисков в конце концов. Как и что бэкапить — можно прочитать в отдельной статье про резервное копирование данных. В антивирусе GDATA, например, есть модуль резервного копирования в двух версиях — total protection и endpoint security для организаций (купить GDATA total protection можно здесь).
Если вы обнаружили зашифрованные файлы у себя на компьютере:*Что делать с самим вирусом?Выключайте ваш компьютер и обращайтесь к специалистам компьютерных служб + в поддержку вашего антивируса. Если вам повезет, то тело вируса еще не удалилось и его можно использовать для расшифровки файлов. Если не повезло (как это часто бывает) — вирус после шифрования данных отправляет закрытый ключ злоумышленникам и удаляется все свои следы. Делается это для того, чтобы не было возможности определить каким образом и по какому алгоритму зашифрованы. Если у вас осталось письмо с зараженным файлом — не удаляйте. Отправьте в антивирусную лабораторию популярных продуктов. И не открывайте его повторно. *Самостоятельные действия с зашифрованными файламиЧто можно делать: Обратиться в поддержку антивируса, получить инструкции и, возможно, дешифровщик для вашего вируса. Написать заявление в полицию. Поискать в интернете опыт других пользователей, которые уже столкнулись с этой бедой. Принимать меры по расшифровке файлов, предварительно скопировав их в отдельную папку. Если у вас Windows 7 Или 8 — можно восстановить предыдущие версии файлов (правой кнопкой на папке с файлами). Опять же, не забудьте их предварительно скопировать Чего делать нельзя: Переустанавливать Windows Удалять зашифрованные файлы, переименовывать их и менять расширение. Имя файла очень важно при расшифровке в будущем
*Опыт общения с техподдержкой антивируса, чего ждать?Когда один из наших клиентов поймал крипто-вирус .hardended, которого в антивирусных базах еще не было, были отправлены запросы в dr.web и Kaspersky. В dr.web техподдержка нам понравилась, обратная связь появилась сразу и даже давали советы. Причем после нескольких дней сказали честно, что сделать ничего не смогут и сбросили подробную инструкцию о том как послать запрос через компетентные органы. В Касперском, наоборот, сначала ответил бот, потом бот отрапортовал, что мою проблему решит установка антивируса с последними базами (напомню, проблема — это сотни зашифрованных файлов). Через неделю статус моего запроса изменился на «отправлено в антивирусную лабораторию», а когда автор еще через пару дней скромно поинтересовался о судьбе запроса, представители Касперского ответили, что ответ из лаборатории еще не получим, мол, ждем. Еще через некоторое время пришло сообщение о том, что мой запрос закрыт с предложением оценить качество сервиса (это все при том же ожидании ответа от лаборатории).. «Да пошли вы!» — подумал автор. NOD32, кстати, начал ловить данный вирус на 3й день после его появления. Принцип такой — вы сами по себе с вашими зашифрованными файлами. Лаборатории крупных антивирусных брендов помогут вам, только в случаеналичия у вас ключа на соответствующий антивирусный продукт и если вкрипто-вирусе есть уязвимость. Если же злоумышленники зашифровали файл сразу несколькими алгоритмами и не один раз, вам, скорее всего придется платить. Выбор антивируса за вами, не стоит им пренебрегать. *Обращение в полициюЕсли вы стали жертвой крипто-вируса, и вам нанесен какой-либо ущерб, даже в виде зашифрованной личной информации — можно обратиться в полицию. Инструкция по заявлению и т.д. есть здесь.
*Если ничего не помогло, может стоить заплатить?Учитывая относительное бездействие антивирусов по отношению к шифровальщикам, иногда легче заплатить злоумышленникам. За hardended файлы, например, авторы вируса просят в районе 10 тыс. руб. За прочие угрозы (gpcode и т.д.) ценник может колебаться от 2 тыс руб. Чаще всего такая сумма оказывается ниже тех убытков, которые может нанести отсутствие данных и ниже той суммы, которую у вас могут запросить умельцы за расшифровку файлов вручную. Резюмируя — лучшая защита от вирусов-шифровальщиков, это резервное копирование важных данных с серверов и рабочих станций пользователей. Как поступать — решать вам. Удачи. Постоянная ссылка на статью — http://itpanic.ru/blog/?p=3366
Пользователи прочитавшие эту запись обычно читают:
C уважением Некий Tomsik aka Мурзилка А у вас есть ручка за 2.50?
|
|
| |