Эпидемия вымогателей и что вы можете сделать

Что такое вымогателей

В настоящее время вымогатели — это эпидемия, основанная на коварном вредоносном ПО, которое киберпреступники используют, чтобы вымогать у вас деньги, удерживая ваш компьютер или компьютерные файлы с целью получения выкупа, требуя от вас оплаты за их получение. К сожалению, вымогатели быстро становятся все более популярным способом для авторов вредоносных программ вымогать деньги у компаний и потребителей. Если эта тенденция будет продолжена, Ransomware скоро повлияет на устройства IoT, автомобили и системы ICS и SCADA, а также только на компьютерные конечные точки. Существует несколько способов, с помощью которых Ransomware может проникнуть на чей-то компьютер, но большинство из них — следствие тактики социальной инженерии или использования программных уязвимостей для автоматической установки на компьютер жертвы.

С прошлого года и даже до этого авторы вредоносных программ рассылали волны спам-писем, предназначенных для различных групп. Не существует географического ограничения в отношении того, на кого это может повлиять, и, хотя изначально электронные письма предназначались для отдельных конечных пользователей, а затем для малых и средних предприятий, теперь предприятие является зрелой целью.

В дополнение к фишинг-и фишинг-социальной инженерии Ransomware также распространяется через порты удаленного рабочего стола. Ransomware также влияет на файлы, которые доступны на подключенных дисках, включая внешние жесткие диски, такие как флэш-накопители USB, внешние диски или папки в сети или в облаке. Если на вашем компьютере есть папка OneDrive, эти файлы могут быть затронуты и затем синхронизированы с версиями Cloud.

Никто не может с полной уверенностью сказать, сколько вредоносных программ этого типа в дикой природе. Поскольку большая часть этого существует в неоткрытых электронных письмах и о многих инфекциях не сообщается, трудно сказать.

Для тех, на кого это повлияло, влияет то, что файлы данных были зашифрованы, и конечный пользователь вынужден на основе тактовых часов решать, платить ли выкуп или потерять данные навсегда. Затрагиваемые файлы — это обычно популярные форматы данных, такие как файлы Office, музыка, PDF и другие популярные файлы данных. Более сложные штаммы удаляют компьютерные «теневые копии», которые в противном случае позволили бы пользователю вернуться к более раннему моменту времени. Кроме того, уничтожаются «точки восстановления» компьютера и доступные файлы резервных копий. Преступник управляет процессом так, что у него есть сервер управления и контроля, который хранит закрытый ключ для файлов пользователя. Они применяют таймер для уничтожения закрытого ключа, а требования и таймер обратного отсчета отображаются на экране пользователя с предупреждением, что закрытый ключ будет уничтожен в конце обратного отсчета, если выкуп не будет выплачен. Сами файлы продолжают существовать на компьютере, но они зашифрованы, недоступны даже для грубой силы.

Во многих случаях конечный пользователь просто платит выкуп, не видя выхода. ФБР рекомендует не платить выкуп. Выплачивая выкуп, вы финансируете дальнейшую деятельность такого рода, и нет никаких гарантий, что вы получите какие-либо свои файлы обратно. Кроме того, индустрия кибербезопасности становится лучше в борьбе с Ransomware. По крайней мере, один крупный поставщик антивирусных программ выпустил «расшифровывающий» продукт на прошлой неделе. Однако еще неизвестно, насколько эффективным будет этот инструмент.

Что вы должны сделать сейчас

Есть несколько точек зрения, которые необходимо учитывать. Человек хочет вернуть свои файлы. На уровне компании они хотят, чтобы файлы и активы были защищены. На уровне предприятия они хотят всего вышеперечисленного и должны быть в состоянии продемонстрировать эффективность должной осмотрительности в предотвращении заражения других от всего, что было развернуто или отправлено компанией, чтобы защитить их от массовых увечий, которые неизбежно произойдут в не так далекое будущее.

Вообще говоря, после шифрования маловероятно, что сами файлы могут быть зашифрованы. Поэтому лучшая тактика — профилактика.

Сделайте резервную копию ваших данных

Лучшее, что вы можете сделать, это регулярно выполнять резервное копирование на автономные носители, сохраняя несколько версий файлов. С автономными носителями, такими как служба резервного копирования, лента или другие носители, которые позволяют выполнять ежемесячное резервное копирование, вы всегда можете вернуться к старым версиям файлов. Также убедитесь, что вы создаете резервные копии всех файлов данных — некоторые из них могут быть на USB-накопителях или подключенных дисках или USB-ключах. Пока вредоносная программа может получить доступ к файлам с доступом на уровне записи, они могут быть зашифрованы и сохранены для выкупа.

Образование и осведомленность

Важным компонентом в процессе предотвращения заражения вымогателями является информирование ваших конечных пользователей и персонала о направлениях атак, в частности спаме, фишинге и фишинге. Почти все атаки вымогателей успешны, потому что конечный пользователь нажал на ссылку, которая казалась безобидной, или открыл вложение, которое выглядело так, как будто оно было получено от известного человека. Информируя персонал и информируя его об этих рисках, они могут стать критически важной линией защиты от этой коварной угрозы.

Показать скрытые расширения файлов

Обычно Windows скрывает известные расширения файлов. Если вы включите возможность просмотра всех расширений файлов в электронной почте и в вашей файловой системе, вы сможете легче обнаруживать файлы с подозрительным вредоносным кодом, маскирующиеся под дружественные документы.

Отфильтровать исполняемые файлы в электронной почте

Если ваш почтовый сканер имеет возможность фильтровать файлы по расширению, вы можете запретить отправку сообщений электронной почты с вложенными файлами * .exe. Используйте доверенную облачную службу для отправки или получения файлов * .exe.

Отключить выполнение файлов из папок временных файлов

Во-первых, вы должны разрешить отображение скрытых файлов и папок в проводнике, чтобы вы могли видеть папки appdata и programdata.

Ваше антивирусное программное обеспечение позволяет вам создавать правила, предотвращающие запуск исполняемых файлов из приложений и локальных папок вашего профиля, а также из папки программных данных компьютера. Исключения могут быть установлены для законных программ.

Отключить RDP

Если это целесообразно, отключите RDP (протокол удаленного рабочего стола) на зрелых объектах, таких как серверы, или заблокируйте их от доступа в Интернет, форсируя их через VPN или другой безопасный маршрут. Некоторые версии Ransomware используют преимущества эксплойтов, которые могут развернуть Ransomware в целевой системе с поддержкой RDP. Есть несколько статей о технических подробностях, как отключить RDP.

Все исправления и обновления

Очень важно, чтобы вы всегда были в курсе обновлений Windows, а также обновлений антивируса, чтобы предотвратить использование Ransomware. Не так очевидно, что так же важно быть в курсе всех программ Adobe и Java. Помните, что ваша безопасность так же хороша, как ваша самая слабая ссылка.

Используйте многоуровневый подход к защите конечных точек

Целью данной статьи не является одобрение какого-либо одного конечного продукта над другим, а скорее рекомендация методологии, которую отрасль быстро внедряет. Вы должны понимать, что Ransomware как форма вредоносного ПО питается от слабой безопасности конечных точек. Если вы укрепите безопасность конечных точек, вымогателей не будет распространяться так же легко. В отчете, опубликованном на прошлой неделе Институтом технологий критической инфраструктуры (ICIT), рекомендуется многоуровневый подход с упором на эвристический мониторинг на основе поведения для предотвращения неинтерактивного шифрования файлов (что и делает Ransomware), а также на В то же время запустите пакет безопасности или конечную точку защиты от вредоносного ПО, которое, как известно, обнаруживает и останавливает Ransomware. Важно понимать, что и то, и другое необходимо, потому что, хотя многие антивирусные программы будут обнаруживать известные штаммы этого вредоносного трояна, неизвестные штаммы нулевого дня необходимо будет остановить, распознав их поведение при шифровании, смене обоев и обмене данными через брандмауэр. их центр управления и контроля.

Что вы должны делать, если считаете, что заражены

Немедленно отключитесь от любого WiFi или корпоративной сети. Возможно, вы сможете прекратить связь с сервером управления и контроля, прежде чем он завершит шифрование ваших файлов. Вы также можете запретить Ransomware на вашем компьютере шифровать файлы на сетевых дисках.

Используйте Восстановление системы, чтобы вернуться к известному чистому состоянию

Если на вашем компьютере с Windows включена функция восстановления системы, возможно, вы сможете вернуть свою систему к более ранней точке восстановления. Это будет работать только в том случае, если у вас есть еще не уничтоженные вами очки вымогателей.

Загрузитесь с загрузочного диска и запустите антивирусное программное обеспечение

Если вы загрузитесь с загрузочного диска, ни одна из служб в реестре не сможет запуститься, включая агент Ransomware. Вы можете использовать антивирусную программу для удаления агента.

Опытные пользователи могут сделать больше

Ransomware встраивает исполняемые файлы в папку Appdata вашего профиля. Кроме того, записи в ключах Run и Runonce в реестре автоматически запускают агент Ransomware при загрузке операционной системы. Опытный пользователь должен иметь возможность

a) Запустите тщательное антивирусное сканирование конечной точки, чтобы удалить программу установки Ransomware.

б) Запустите компьютер в безопасном режиме без использования Ransomware или прекратите обслуживание.

в) Удалить программы шифрования

г) Восстановление зашифрованных файлов из автономных резервных копий.

e) Установите многоуровневую защиту конечных точек, включая защиту на основе поведения и подписи, чтобы предотвратить повторное заражение.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *