Вирусы - вымогатели. Платить или не платить? ... и как бороться?

(067) 333-77-88

(093) 333-77-88

заказать звонок заказать услугу

Вирусы вымогатели.

   Мы живём в современном мире, где считается совершенно нормальным, когда электронные данные имеют свой финансовый эквивалент не только для предприятий и организаций, но и для обычных граждан. Данная ситуация и создаёт предпосылки для широкого распространения вредоносного программного обеспечения, именуемого «программы-вымогатели». Схема его работы проста: проникнуть в сеть жертвы, зашифровать как можно больше данных и вымогать плату за расшифровку. Но, если ещё десяток лет назад, получение выкупа преступником было сложным и затратным занятием, то теперь всё изменилось радикальным образом. Широкое распространение криптовалют превращает данный тип преступлений в достаточно безопасное и прибыльное занятие.

   Все вирусы-вымогатели представляют собой средство, помогающее злоумышленнику выполнить комбинированную многоэтапную атаку на компьютеры в вашей сети. Но, как уже упоминалось выше, ключевые этапы одинаковые во всех случаях.

На первом этапе, этапе заражения, выбирается один из способов внедрения вредоносного программного обеспечения. Конечно, в том случае, когда вы не представляете собой крупный объект с высоким показателем финансового ущерба от простоя, то никаких эксклюзивных мер по взлому вашей сети предприниматься не будет. Вы просто станете одной из множества целей «ковровой бомбардировки» — массированной фишинговой атаки, где вредоносный файл человек сам загрузит и запустит на своём компьютере. После этого программа-вымогатель начинает работает локально, одновременно пытаясь распространиться на другие компьютеры сети.

Следующий этап представляет собой передачу информации о заражении жертвы, и получение, от координирующего атаку узла, криптографических ключей, которые будут использованы для зашифровки данных.
Теперь можно провести процесс зашифровки данных, который начинается, как правило, с локальных дисков. Во время данной работы, вирус-вымогатель пытается распространиться на доступные сетевые ресурсы, и затруднить восстановление данных с резервной копии. Для этого, например, CryptoWall удаляет файлы теневой копии (Volume Shadow Copy). Ещё одной его функцией был поиск и попытка похищения, на зараженных ним машинах, кошельков BitCoin. Некоторые другие вирусы ещё и стараются передать ваши данные злоумышленникам. В таком случае, к шантажу потерей данных добавляется ещё и угроза их разглашения.

   Итак, что же делать, когда вы заподозрили работу вируса-вымогателя?

1. Отключите зараженные компьютеры от остальной сети. Нам необходимо полностью изолировать источник угрозы от других компьютеров и сетевых систем хранения данных.
2. Определите какой именно вирус привёл к заражению, и удалите его. Если у вас недостаточно опыта для этого, а обратиться к специалистам невозможно (по любой причине), то просто продержите выключенными зараженные компьютеры несколько дней. За это время, как правило, вирусные сигнатуры появляются даже у самых неторопливых создателей антивирусного ПО, и всю работу по удалению заразы антивирус сделает сам. Должен предупредить сразу, что такой метод работает только при самых лёгких случаях заражения. Скорее всего, вам потребуется восстановить систему из её образа, хранящегося на offline носителе, и перейти к пункту 3.
3. Восстановите утраченные данные из последней резервной копии. Если резервные копии не пострадали от вируса, или вообще делались…

   Когда ситуация с резервными копиями из разряда «совсем плохо», многие начинают задумываться об выплате выкупа. Мы крайне не рекомендуем это делать! Злоумышленники практически никогда не предоставляют ключи для дешифровки файлов даже после получения денег!

Вы, разумеется, можете считать их благородными разбойниками, которые вынуждено занялись своим ремеслом, чтобы собрать денег для лечения тяжело больных детей, но реальность гораздо суровей. Например, вирус Power Worm распространялся своими создателями с дефектом в коде, в результате которого данные неизбежно уничтожаются во время шифрования. Но этот факт никак не помешал его авторам обещать восстановление данных в обмен на выкуп…
Похожая ситуация с вирусом NotPetya, действия которого заключались в простом уничтожении данных на заражённых компьютерах.
В этот же ряд можно поставить ситуацию, которая случилась в 2016 году, в одной из больниц Канзаса. Тогда руководство больницы приняло решение заплатить выкуп, но после перевода денег файлы были расшифрованы лишь частично. После чего, киберпреступники потребовали за расшифровку остальных файлов ещё большую сумму. Второй раз больница платить отказалась. Руководство уже не считало это оправданным или разумным решением…

   Как защититься: прописные истины.

1. Не переходите по ссылкам в электронных письмах. Да-да… Полагаю, этот совет все слышали множество раз, но ситуация от этого сильно не меняется. Наибольший процент заражений за прошлый год произошёл именно так. Так что повторим бог знает какой раз: не уверен на 100% в отправителе письма – никаких переходов!
2. Не запускайте файлы, полученные в зашифрованных архивах, без чёткого понимания причины выбора такого способа передачи информации. Не забывайте, встроенные антивирусные средства почтовых служб не могут проверить зашифрованный архив.
3. При необходимости доступа к ресурсам своей сети, используйте VPN или SSL туннелирование трафика.
4. Регулярно делайте резервные копии важных данных, и продумайте схему их хранения так, чтобы они сами не пострадали от атаки вымогателя. Или восстанавливать вам будет нечего…
Помните, что любое создание резервной копии сопряжено с риском попадания в неё «спящего агента». Следовательно, мест хранения резервных копий (на offline устройствах или носителях) должно быть больше одного, с цикличной их сменой при каждым последующем резервным копированием.

P.S. Если вы заинтересовались данным материалом, и хотите получить по данной тематике более подробную информацию, то рекомендую прочитать следующие статьи: *

Ссылка №1
Ссылка №2
Ссылка №3
Ссылка №4

* — все предложенные материалы на английском.

+380 (67) 333-77-88
+380 (93) 333-77-88

info@ukrtekbezpeka.com

(53 оценок, среднее: 5,00 из 5)
Укртекбезпека => Украина, Одесса
Ваше имя *
Ваш номер: *