Решение задач заказчика с помощью органичного внедрения решений в области ИТ, основанных на совокупности лучших современных технических навыков и средств

Вирусы-шифровальщики/вымогатели(Ransomware) - ответы на вопросы

Вирусы-шифровальщики/вымогатели(ransomware) стали настоящей проблемой для очень широкого круга организаций. Судя по статистике, такого рода зловредные программы будут продолжать портить жизнь всё чаще с каждым годом. Поэтому хочется ответить на самые главные вопросы по этой теме. КАК ЗАРАЖАЮТ компьютеры/сеть организации? Самыми распространёнными способами заражения являются: почта с вложенными документами/ссылками или открытые RDP-порты, также злоумышленники используют уязвимости 0-day, т.е. те о которых разрабочики ОС сами ещё не знают и подвергаются опасности не вовремя обновляемые ОС через дыры в безопасности, которые не были перекрыты уже имеющимися заплатками. Через электронную почту, в силу недостаточной компьютерной грамотности, например, сотрудник отдела кадров, получив письмо с «резюме» или ссылкой на какой-то другой «интересующий его документ», открывает и соглашается со всем, что при этом у него спрашивает система, таким образом заражает свой компьютер, а затем уже вирус-червь сам расползается по сетевым ресурсам организации. КАК РАБОТАЮТ вирусы-шифровальщики? В большинстве случаев происходит шифрование с открытым ключом (асимметричный шифр), в таком случае у злоумышленника есть некий закрытый ключ, который может позволить расшифровать данные. Вирус в качестве жертв шифрования использует самые чувствительные для пользователей файлы, а именно документы (*.doc, *.docx, *.xls, *.xlsx и т.п.), графические файлы и, что бывает самое критичное для бизнеса - файлы баз данных 1С и файлы резервных копий. Ещё вирус удаляет теневые копии файлов, которые бы могли позволить восстановить некоторые документы. КАК РАСШИФРОВАТЬ? Гарантии, что данные можно будет расшифровать к сожалению нет, но есть несколько вариантов, которые могут сработать. Чаще всего вымогатели с помощью вируса на заражённых компьютерах/серверах создают текстовые файлы, в которых указаны реквизиты биткойновского кошелька и e-mail для связи. Также злоумышленники пишут, что если им перевести деньги, то они выдадут закрытый ключ и помогут с расшифровкой, а если не заплатите, то расшифровать не получится никогда.Действительно, существуют «честные» мошенники, которые, получив выкуп, выдают ключ и данные можно будет расшифровать, однако таких случаев не так уж много. В большинстве случаев, мошенники даже после получения денег не выдают никакой информации для расшифровки ваших данных, поэтому мы не рекомендуем платить выкуп кибер-преступникам. У производителей антивирусного ПО(например, Dr.Web и Kaspersky) есть бесплатные специальные программы дешифраторы, которые позволят вернуть данные зашифрованные некоторыми популярными вирусами, а если вы являетесь их клиентом(куплен их антивирус), то даже готовы будут принять от вас пример зашифрованного файла неизвестным криптовирусом, который попытаются дешифровать с помощью подбора закрытого ключа. КАК ЗАЩИТИТЬСЯ? 100% защиты от заражения не существует, однако снизить вероятность почти до нуля можно, путём использования МежСетевого Экрана, обновленного системного ПО, антивирусов с актуальными сигнатурами, правильной политики прав пользователей, а также правил элементарной ИТ-гигиены. КАК НЕ БЕСПОКОИТЬСЯ на счёт бизнес-критичных данных? Т.к. мы знаем, что гарантированной защиты от заражения не существует, мы должны быть готовы к восстановлению данных и работоспособности системы в целом в любой ситуации, а для этого нужно провести целый комплекс мероприятий. Самое главное для восстановления данных и работоспособности системы в целом это правильная политика резервного копирования и организация недоступного для шифровальщиков места хранение этих копий. В таком случае, если вы всё таки стали жертвой вируса-шифровальщика, вы сможете восстановиться из резервной копии. Ещё один из простых способов возвращения к вашим живым данным - это механизм использования мгновенных снимков(SnapShot) на Системе Хранения Данных. А самым продвинутым способом восстановления будет являться гибридная схема - использование ПО для BackUP в связке с мгновенными снимками СХД. Также существуют программные продукты, которые ставятся как агенты и отслеживают теневые копии файлов и даже после работы вируса-шифровальщика позволяют восстановить данные. Если вас заинтересовала данная тема, обращайтесь в компанию Парадигма и получите ответы на вопросы и необходимые материалы.
Автор @kostai @itparadigma #itparadigma #шифровальщик #криптовирус #ransomware

 

Ростов-на-Дону: ☎ (863)209-81-18 ✉ rostov@itparadigma.ru  

Краснодар:          ☎ (861)201-83-27 ✉ krasnodar@itparadigma.ru 

Автор: Константин Дятлов - коммерческий директор компании Парадигма 

Контакты

г.Ростов-на-Дону,
ул. 1-я Баррикадная, 3
т. (863)209-81-18

г. Краснодар,
пер. Петровский, 39
т. (861)201-83-27
sales@itparadigma.ru
Мета-Арт
наверх