Шифровальщики - это вредоносные программы предназначенные для вымогательства после шифрования файлов на компьютере жертвы. После попадания на компьютер или сервер, шифруются все находящиеся на них файлы, как на локальных дисках, так и на подключенных сетевых дисках. Как правило файлы шифруются открытым RSA ключем, получаемым с управляющего сервера в сети Интернет, закрытый ключ при этом расположен на управляющем сервере, и для его получения требуется заплатить.
Методы распространения программ-шифровальщиков, в зависимости от цели злоумышленников, бывают либо массового распространения, либо, так называемые целевые атаки. Массовые методы распространения как правило используют распространение через заражение популярных веб-сайтов, после открытия страницы такого сайта, программа-шифровальщик попадает на компьютер или сервер. Целевые атаки характерны тем, что злоумышленники проводят предварительную подготовку, поиск всей возможной информации из открытых источников информации о целевой организации. Как правило собранной информации вполне достаточно для проведения целевой атаки. После этого, как правило, на электронные ящики работников целевой организации направляются специально сформированные письма, с содержимым и от имени адресата, которые пользователь откроет с большой вероятностью. Открыв письмо с вложением, это может быть архив с файлом word или фотографией, пользователь пользователь запускает программу-шифровальщик на своем компьютере. Запущенная программа-шифровальщик, как правило распространяет себя по компьютерным устройствам в пределах локальной сети организации. Опасность целевых атак заключается в отсутствии в базе антивируса сигнатуры программы-шифровальщика, сформированной специально под атакуемую организацию. Так как большинство антивирусов работают по методу сигнатурного анализа, то антивирусы способны защитить только от массовых атак.
Методы защиты от шифровальщиков заключаются в выполнении организационных и технических мер.
1. С чего необходимо начать защиту - настройка резервного копирования файлов, имеющих ценность для организации и настроить периодическое копирование операционных систем критически важных серверов организации. Резервное копирование необходимо выполнять периодически, обязательно хранить резервную копию на внешнем носителе.
2. Важное мероприятие - повышение осведомленности сотрудников организации о необходимости проявлять бдительность при работе с электронной почтой, и не открывать письма с незнакомых почтовых ящиков. Для получения писем на общую почту, как правило это секретарь, офис-менеджер, или документовед, необходимо выделить отдельный компьютер, разместить в отдельном VLAN от остальных компьютеров в локальной сети, ограничить доступ межсетевым экраном к остальной корпоративной сети, и держать под рукой образ для оперативного восстановления данного компьютера. Важно объяснить пользователям, что им не следует боятся сообщить ответственному за ИБ в организации о полученном подозрительном файле, или о подозрительной активности на компьютере, что ругать их за это никто не будет, наоборот поблагодарят за бдительность. После проведенного мероприятия провести проверку пользователей либо в ручном режиме, либо в автоматизированном, с помощью специального клиент-серверного ПО, а именно, разослать письма с вложенным специально подготовленным файлом, и проверить на серверной части ПО, какие пользователи открыли письмо.
3. Желательное мероприятие - запрет на использование на максимально возможном количестве рабочих компьютеров использование социальных сетей и месенджеров. Через взломанный аккаунт друга, злоумышленник может так же прислать зараженный файл. Информация о сотрудниках организации, их профилях в соцсетях и их друзьях собирается злоумышленниками на этапе подготовки к целевой атаки. Компьютеры, на которых нет возможности заблокировать доступ к соцсетям и месенджерам, следует так же поместить в отдельный VLAN, для предотвращения заражения других компьютеров и серверов в локальной сети организации.
4. На всех компьютерах и серверах организации необходимо установить антивирус, желательно коммерческий, они содержат значительно больше функций по обнаружению вредоносного ПО и быстрее обновляют базы сигнатур.
5. Мероприятие для больших организаций трудоемкое, но крайне рекомендуемое, необходимо максимально возможно сегментировать компьютеры пользователей в отдельные VLAN и ограничить доступ на межсетевом экране между данными сегментами. Данное мероприятие позволит локализовать распространение шифровальщика на другие компьютеры в пределах сегмента.
Выполненные мероприятия позволят значительно снизить вероятность потери файлов в результате работы шифровальщиков, при этом, даже в случае заражения свести к минимуму негативные последствия заражения.
Дополнительно повысить защищенность от шифровальщиков можно выполнением следующих мероприятий:
6. Установить на почтовый сервер антивирус для почтовых серверов. Желательно устанавливать антивирус отличного от антивируса на рабочих станциях производителя.
7. На границе сети установить межсетевой экран нового поколения (NGFW), с возможностью работать на уровне приложений (уровень L7 модели OSI), подключенным потоковым антивирусом и системой предотвращения вторжений.
Выполнив данные мероприятия можно немного выдохнуть, но расслабляться специалисту ИБ в организации рано. Необходимо так же позаботится о защите от
целевых атак. Об этом можно ознакомится в соответствующем разделе.
Обратившись в нашу компанию, Вы получите в результате продуманную систему защиты информации, спроектированную нашими архитекторами, используя богатый накопленный опыт и экспертизу, с учетом особенностей Вашей инфраструктуры и реализованную нашими инженерами. Это позволяет нашим Заказчикам сосредоточится на выполнении основных бизнес задач, не тратя время и значительные денежные средства на устранение последствий действий злоумышленников.