ПОЧЕМУ ПРОГРАММЫ ВЫМОГАТЕЛИ ТАК ОПАСНЫ
Программы-вымогатели основаны на крипторах – троянцах, которые проникают на компьютер через невинное на первый взгляд электронное письмо или ссылку на специально созданную интернет-страницу. Затем троянец незаметно шифрует все данные, которые может найти — например, финансовые документы или базы данных клиентов. За расшифровку файлов злоумышленники требуют выкуп, порой довольно значительный.
Естественно, что злоумышленники запутывают следы, поэтому они часто требуют оплаты в биткоинах и скрывают командные серверы в анонимной сети Tor. Если трафик между сервером и программой перехватывается, киберпреступники переходят к продвинутым криптографическим схемам, которые могут сделать расшифровку файлов невозможной. Все эти технологии были использованы, например, в атаках троянца Trojan-Ransom.Win32.Onion.
Сегодня многие шифровальщики требуют платежа не только за сами данные, но и за дополнительные «услуги». Например, преступники могут шантажировать людей, занимающих высокие должности: «Если не заплатишь, все узнают, какие сайты ты посещаешь».
ЭПИДЕМИЯ ШИФРОВАЛЬЩИКОВ
Обнаружено шифровальщиков (через Kaspersky Security Network)
2014 - 121 238
2015 - 448430
Всего 554 267
В 2015 году общее число атак программ-шифровальщиков, зафиксированных Kaspersky Security Network, оказалось почти в четыре раза больше, чем годом ранее: в общей сложности около 450 000. Классификация шифровальщиков насчитывает множество типов и семейств – например, CryptoWall, TeslaCrypt, TorrentLocker и Locky. CTB-Locker, ACCDFISA и GpCode – только несколькопримеров самых известных программ.
Locky – троянец, известный тем, что зашифровал данные медицинского центра в США. Первоначально Locky доставлялся на компьютеры жертв с помощью макросов в doc-файлах, но позже распространители таких программ стали также использовать zip-архивы с вредоносными скриптами.
TeslaCrypt: СМИ писали о TeslaCrypt как о «проклятии геймеров»:программа в первую очередь шифрует связанные с играми файлы (сохранения, пользовательские профили и так далее). В 2016 года эпидемия стала еще масштабнее. Число шифровальщиков выросло в разы, появились множество новых видов таких программ.
Отметим пару интересных экземпляров.
Petya — троянец, который попадает на компьютеры жертв с помощью электронного письма. В отличие от других вымогателей, он шифрует не отдельные типы файлов, а по сути весь жесткий диск с помощью шифрования главной таблицы файлов. Другая его особенность состоит в том, что эта программа работает без подключения к интернету.
RAA —шифровальщик, написанный на языке Jscript. В корпоративную сеть он попадает стандартным способом — с помощью письма, замаскированного под деловую переписку. К письму прикреплен zip-архив с паролем, чтобы стандартный антивирус не смог распознать вредоносное ПО. Интересно, что эта программа «в нагрузку» к шифрованию файлов запускает троянца Pony, созданного для кражи паролей.
________________________________________
⇒ Рекомендуемый продукт: Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ
Надежная защита рабочих мест, обширные возможности по управлению системами и единая консоль управления. от 1094 руб. Подробнее>>
________________________________________
КАК ЗАЩИЩАТЬСЯ
Несмотря на все сложные технологии, которые используют сегодняшние вредоносные программы, вред от них для вас и вашего бизнеса легко свести к минимуму. В частности, «Лаборатория Касперского» предлагает ряд средств защиты от программ-шифровальщиков.
Защитное решение должно быть включено абсолютно всегда, и в нем должно использоваться максимальное количество слоев защиты. Кроме того, решение должно регулярно обновляться. Способов расшифровать файлы, испорченные современными шифровальщиками, пока не придумано, поэтому единственный способ спасти свои данные – это резервное копирование. Но все же одного резервного копирования (для которого можно использовать специальные решения, например программу Acronis) недостаточно: ведь оно не спасет недавно измененные файлы, а после восстановления система может снова стать жертвой шифровальщика.
Защита рабочих мест
«Лаборатория Касперского» разработала технологию Мониторинг системы (System Watcher). Расположенный на хосте, этот компонент защиты от вредоносного ПО анализирует все, что происходит с системой, в том числе изменение файлов. Обнаружив, что подозрительное приложение пытается открыть файлы, система сразу же создает локальную защищенную резервную копию. Если это приложение оказывается шифровальщиком (или другой вредоносной программой), Мониторинг системы автоматически откатывает нежелательные изменения. При этом эта функция не мешает работе пользователя и не требует от него никаких действий. Мониторинг системы содержат все уровни решения Kaspersky Security для бизнеса, а также Kaspersky Endpoint Security Сloud.
Другая возможная защита от шифровальщиков – использовать контроль запуска программ с четкими правилами, не допускающими запуск неавторизованных программ.
Защита серверов
Некоторые компьютеры в периметре безопасности могут иметь папки SMB/CIFS на корпоративных серверах. И не на всех этих компьютерах всегда запущен компонент Мониторинг системы. На некоторых из этих компьютеров может не быть защитных программ, а решения, установленные на других, могут не обеспечивать защиту от шифровальщиков.
В таком случае шифровальщик, проникнув на компьютер через письмо или уязвимость браузера, может зашифровать общие папки на корпоративных серверах. Единственная защита от этого – защитные решения для серверов.
Kaspersky Security для Windows Server предлагает новый уровень защиты, специально созданный для борьбы с шифровальщиками. Контроль над избранными папками, в том числе находящимися в общем доступе, позволяет сравнить состояние каждого файла до и после любой попытки доступа. Конечно, работа шифровальщика сильно изменит файл: он будет зашифрован! Поэтому этот механизм контроля почти всегда сможет обнаружить шифровальщика и заблокировать его дальнейшее развитие.
Шифрование папок на некоторых серверах может быть необходимо как часть периметра безопасности компании. Kaspersky Security для Windows Server позволяет администратору добавлять исключения для директорий, где используется такое шифрование.
Материал подготовлен АО "Лаборатория Касперского"
www.kaspersky.com
Платформа «Р7-Офис» гарантирует безопасность при передаче данных в реальном времени и совместном редактировании документов.
Современные ИТ-инфраструктуры активно внедряют контейнерные технологии, и Docker остается одним из самых популярных решений. Контейнеры обеспечивают легковесную изоляцию, быстрое развертывание приложений и гибкость масштабирования, что ускоряет процессы разработки и доставки ПО
Ключевая проблема: Более 30% пользователей в России никогда не меняли пароль от домашнего Wi-Fi роутера, оставляя свою сеть уязвимой для взлома.
Исследование «Лаборатории Касперского»*: россияне редко меняют пароли от Wi-Fi-роутеров
«МойОфис» представил обновленные версии корпоративных продуктов Squadus 1.7, Squadus PRO 1.7, «МойОфис Частное Облако» 3.2 и «МойОфис Стандартный». Нововведения создают удобное и защищенное пространство для эффективной командной работы. Также, в рамках релиза была значительно расширена функциональность приложений для частных лиц «МойОфис для дома»
Компания «РуБэкап» (входит в «Группу Астра») получила престижную премию FINNEXT на ежегодном форуме финансовых инноваций. Разработчик решения RuBackup признан лидером в специальной номинации «Эффективное импортозамещающее решение для резервного копирования, восстановления и защиты данных для банков»
Компании «Киберпротект» и Orion soft подтвердили взаимную совместимость системы резервного копирования Кибер Бэкап и платформы оркестрации контейнеризированных приложений Nova Container Platform. Вместе решения дают заказчикам инструменты для комплексной защиты данных в контейнерах: не только для гибкого резервного копирования и восстановления информации, но также и для мониторинга и контроля потенциальных уязвимостей
Разработчик ИИ-решений для интеллектуальной обработки информации Content AI и поставщик компьютерного оборудования ПИРИТ договорились о сотрудничестве при продвижении своих продуктов. Компании будут реализовывать сканеры Avision с редактором ContentReader PDF для корпоративных пользователей отечественных операционных систем
В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP
Злоумышленники обновили свою схему, предупреждают эксперты «Лаборатории Касперского»
Ваши контактные данные не публикуются на сайте.