Напомню читателям, что в данной статье мы рассматриваем тему вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Как было показано в первой части статьи, современные темпы развития вирусов-шифровальщиков представляют серьезную проблему, на которую нельзя не обращать внимания. Столкнувшись с шантажом, жертва оказывается перед выбором — платить либо потерять информацию. Поэтому лучше предупредить угрозу, нежели заниматься устранением последствий. Сегодня мы обсудим, как это сделать, а также рассмотрим способы борьбы с шифровальщиками.

Что делать?

На самом деле это основной вопрос. Например, в своем выступлении начальник ФБР порекомендовал платить (http://uk.businessinsider.com/fbi-recommends-paying-ransom-for-infected-computer-2015-10). Поможет ли это? Думаю, нет. Потому что никто не даст вам гарантий, что даже после этого вы сможете получить свои данные в целости и сохранности. Кроме того, ущерб не ограничивается одной только суммой выкупа: пока вы разбираетесь со злоумышленником, ключевые процессы бизнеса простаивают, и вы теряете средства и клиентов. Общие рекомендации будут выглядеть стандартно:

  1. Регулярно обновлять операционную систему и приложения.
  2. Установить и регулярно обновлять надежное антивирусное программное обеспечение.
  3. Не использовать программы из сомнительных источников, а лучше иметь в организации список приложений, которые будут регулярно обновляться, то есть везде, где это возможно, работать по принципу белого списка.
  4. Не открывать письма и уж тем более вложения, если вы не знаете отправителя.
  5. Регулярно обновлять резервные копии. Успешное восстановление данных после атаки вируса-вымогателя возможно только путем восстановления данных. При этом для компании важно оценить затраты, связанные с восстановлением данных при возможной атаке вируса-вымогателя. Соблюдать правило «3-2-1»: должно быть минимум три копии данных на двух различных носителях, причем одна из них должна находиться вне основного места расположения данных.

По мере развития методов вымогательства совершенствуются и технологии противодействия им. На сегодня фактически это многоступенчатая защита, причем антивирусные продукты — всего лишь одна, хоть и огромная ее часть.

Обновления решают все

Как ни странно, несмотря на то что о своевременном обновлении операционных систем и прикладных продуктов говорят много, делается в этом отношении очень мало. И если на серверах операционные системы еще как-то обновляются, то на персональных компьютерах практически нет. А ведь, по данным Microsoft в период от 8 до 24 часов после выпуска обновления появляются вредоносные программы, которые используют закрываемую уязвимость! Обратимся к цифрам: 77% российских пользователей работают с устаревшим программным обеспечением, а в среднем на одном компьютере в нашей стране сегодня содержится семь приложений, которые требуют обновления. Такие данные получила «Лаборатория Касперского» с помощью «облачной» инфраструктуры Kaspersky Security Network (KSN), http://www.kaspersky.ru/about/news/virus/2016/KSN-multi-device-security.

Необновленные приложения довольно часто имеют уязвимые места, через которые на устройство могут проникнуть вредоносные программы. Львиную долю подобных уязвимых приложений составляют широко распространенные программы — веб-браузеры и пакеты офисных программ. Так, в первом полугодии 2016 года на эти приложения в совокупности приходилось более 80% уязвимостей.

Однако, помимо этого, на компьютерах пользователей имеются программы, о существовании которых они могут даже и не знать. Зачастую ими оказываются различные модули и приложения, которые устанавливаются автоматически при загрузке какого-либо бесплатного программного обеспечения. Как свидетельствуют данные из KSN, подобные «дополнения» есть у каждого четвертого пользователя в России. В среднем на одном компьютере содержатся две такие программы, и если пользователь их не обнаружит, то они «проживут» на устройстве приблизительно год.

Риск, исходящий от программ, устанавливаемых без ведома пользователя, крайне высок. Во-первых, они пополняют число неиспользуемых и необновляемых приложений и таким образом способствуют увеличению числа уязвимостей на устройстве. А во-вторых, никто не может гарантировать, что эти программы не являются вредоносными.

Как обновлять? В данном случае имеет смысл не только воспользоваться встроенными в программное обеспечение системами оповещения об обновлениях, но и подумать о внедрении специализированного решения. Если вы, например, корпоративный пользователь, то вам управлять уязвимостями и обновлениями поможет Kaspersky Endpoint Security для бизнеса. Если же вы персональный пользователь, то существует решение Kaspersky Internet Security для всех устройств. Функция «Обновление программ» в его составе проверяет все имеющееся на компьютере программное обеспечение и определяет, какие обновления необходимо установить. При наличии соответствующих обновлений от разработчиков защитное решение автоматически установит их, причем сделает это в фоновом режиме, оказывая минимальное воздействие на работу устройства.

Если же вы решитесь обновлять программное обеспечение с помощью сторонних средств, обратите внимание на Personal Software Inspector от компании Secunia. Это бесплатное программное обеспечение, с помощью которого вы сможете обновлять сторонние приложения.

Другая проблема — удаление неиспользуемого программного обеспечения. Надеюсь, в вашей организации существует утвержденный список применяемых программ? Если нет, то давно пора бы его составить. Однако следует понимать, что создавать такой список вручную долго, дорого и никому не нужно. Как быть? Стоит воспользоваться функцией аудита программного обеспечения, также реализованной в корпоративных версиях некоторых продуктов.

Если же вы персональный пользователь, то в том же Kaspersky Internet Security для всех устройств реализована функция «Удаление программ», она занимается поиском подозрительных и редко используемых приложений. В ходе проверки выявляются программы, установленные без согласия пользователя, замедляющие запуск операционной системы, запускающиеся самопроизвольно и неотключаемые, а также давно забытые и не использовавшиеся на протяжении долгого времени. В итоге пользователь получает список всех программ, о существовании которых он мог не знать или забыть, и на основании этой информации он может принять решение, что удалить, а что оставить. Если же говорить именно об антивирусных технологиях, то здесь стоит в первую очередь рассмотреть уровни анализа информации.

Анализ всего и вся

Анализ репутации файлов и веб-страниц с помощью «облачных» технологий, web monitoring and url filtering (WMUF), существует уже давно, но тем не менее это один из самых, на мой взгляд, эффективных способов предотвращения заражения. Кроме того, стоит вспомнить о фильтровании веб-трафика и блокировании зараженных объектов электронной почты. Также напомню, что сегодня любой антивирус обладает эвристическим и сигнатурным анализом объекта. Другое дело, что качество этого анализа у всех разное, но ведь это уже второй вопрос, не так ли? Например, для возможного предотвращения заражения в решении Kaspersky Endpoint Security для бизнеса применяются перечисленные ниже технологии.

  • Квалификация уязвимостей (Patchmanagement).
  • Противодействие заражению:

— репутационная фильтрация с использованием «облачных» технологий;

— контроль запуска приложений;

— запуск приложений в безопасной среде;

— автоматическая защита от эксплойтов (AEP).

  • Анализ функционирования приложений:

— контроль активности программ;

— поведенческий анализ;

— откат вредоносных действий.

Но все же наилучшим способом защиты, а главное, беспроигрышным, является проведение регулярного резервного копирования, причем здесь важно не забывать и о мобильных устройствах, в особенности о смартфонах под управлением Android.

Резервное копирование как якорь

О пользе резервного копирования написано уже столько статей, что в них можно утонуть. И тем не менее, если уж не удалось предотвратить заражение, спасти ваши данные, а вместе с ними и бизнес, поможет именно восстановление из резервной копии. Настоятельно рекомендую вам регулярно выполнять резервное копирование своих систем и данных. Какое решение выберете вы, я не знаю. Но оно должно позволить вашей компании:

  • выполнять резервное копирование регулярно и по расписанию;
  • сохранять резервные копии за несколько периодов в различных местах, в том числе в недоступной для программ-вымогателей среде — защищенном «облаке»;
  • составить план восстановления, чтобы точно знать, как будет проходить восстановление и сколько времени оно займет;
  • проводить регулярное тестирование — только в этом случае резервное копирование и восстановление окажутся эффективными;
  • установить решение автоматизированного аварийного восстановления для повышения уровня защиты.

О резервном копировании для персональных пользователей также написано огромное количество статей. Что можно предложить? Для пользователей Windows проще всего задействовать встроенное решение от Microsoft, тем более что резервная копия настраивается буквально парой щелчков мыши (см. экраны 1 и 2).

 

Создание резервной копии в Windows 10
Экран 1. Создание резервной копии в Windows 10

 

Настройка резервного копирования
Экран 2. Настройка резервного копирования

В случае использования резервного копирования от Microsoft вам будет предложено создать образ системного диска и настроить резервное копирование данных по вашему выбору или применить стандартные параметры. Но недостаток такого решения в том, что настраивать придется несколько решений: одно для компьютера, второе для смартфона, третье для планшета… Увы, потребуется масса времени.

Другой вариант настройки резервной копии используется в продуктах сторонних разработчиков, в качестве примера расскажу, как это делается в Kaspersky Total Security (см. экран 3).

 

Резервное копирование и восстановление в Kaspersky Total Security
Экран 3. Резервное копирование и восстановление в Kaspersky Total Security

В ходе создания резервной копии вам будет предложено либо самому выбрать, что именно вы хотите сохранить, либо использовать стандартные решения (см. экран 4).

 

Выбор файлов для резервного копирования
Экран 4. Выбор файлов для резервного копирования

На следующем этапе вы сможете выбрать сетевое, «облачное» хранилище или хранилище на подключенном внешнем диске и начать собственно копирование.

Еще можно воспользоваться специализированным платным решением. Хорошим примером такого решения может служить Acronis True Image (см. экран 5), основным преимуществом которого является использование единой консоли для копирования информации как с компьютера, так и с мобильных устройств с операционными системами Android и iOS. Причем вы сами можете выбрать, хотите ли вы сохранить резервную копию мобильного устройства в «облаке» или на локальном жестком диске своего компьютера.

 

Главное окно Acronis True Image
Экран 5. Главное окно Acronis True Image

В этом окне вы сможете выбрать данные, которые хотели бы копировать, или создать полную копию компьютера (см. экран 6).

 

Выбрать источник резервного копирования
Экран 6. Выбрать источник резервного копирования

Возможно, вы захотите иметь резервную копию своих данных из социальной сети или копию мобильного устройства (под управлением Android или iOS, значения не имеет; см. экран 7). Если вы захотите выбрать «Резервное копирование для социальных сетей», сначала вам необходимо подключиться к «облачному» хранилищу Acronis и к вашей учетной записи в социальной сети, а затем указать, что именно вы хотите копировать (см. экран 8).

 

Панель мониторинга
Экран 7. Панель мониторинга

 

Создание резервной копии учетной записи Facebook
Экран 8. Создание резервной копии учетной записи Facebook

Если же вы захотите создать резервную копию своего мобильного устройства, то вам придется предварительно загрузить соответствующее мобильное приложение (см. экран 9).

 

Резервная копия мобильного устройства
Экран 9. Резервная копия мобильного устройства

Учтите, что резервную копию мобильного устройства вы сможете создать как на своем компьютере, так и в «облаке». Я не знаю, какой вариант вы выберете, но помните, что очень часто это единственное, что может вам помочь в случае заражения.

Как защититься от ransomware

Чтобы обезопасить себя от ransom­ware, можно сделать следующее:

  1. Регулярно создавайте резервные копии всех важных файлов. Желательно, чтобы у вас было две резервных копии данных: одна в «облаке», например в Dropbox, Google Drive и других специализированных службах, а другая — на сменном носителе (съемный жесткий диск, большая флешка, запасной ноутбук). Для этого устройства установите ограниченные права доступа только на чтение и запись, без возможности удаления или перезаписи. Резервные копии пригодятся вам и в других случаях: если вы случайно удалите важный файл или при поломке основного жесткого диска. Регулярно проверяйте, в порядке ли сделанные резервные копии. Система создания резервных копий — это тоже программа, она может скопировать данные с ошибками.
  2. Преступники часто создают сообщения, похожие на письма от интернет-магазинов или банков, чтобы распространять вредоносные программы — это называется «фишинг». Так что настройте в почте спам-фильтр и никогда не открывайте вложения к письмам, отправленным незнакомыми людьми. Не доверяйте никому — вредоносную программу могут прислать со взломанной учетной записи вашего друга в Skype или «Вконтакте», партнера по онлайн-играм или даже коллеги с работы.
  3. Включите функцию «Показывать расширения файлов» в настройках. Так вам будет легче разобраться, какой файл является опасным. Троянцы — это программы, значит, опасаться нужно в первую очередь подозрительных файлов с расширениями exe, vbs и scr. Но расслабляться нельзя в любом случае, так как многие другие файлы тоже могут быть опасными. Мошенники часто ставят несколько расширений подряд, чтобы замаскировать вредоносную программу под видео, фото или документ, например: hot-chics.avi.exe или report.doc.scr.
  4. Регулярно устанавливайте обновления для операционной системы, браузера, антивируса и другого программного обеспечения. Преступники используют бреши в программном обеспечении, чтобы заразить устройства пользователей.
  5. Установите надежный антивирус, который умеет бороться с троянцами-вымогателями и в большинстве случаев просто не позволит вирусам попасть к вам в систему, а если это произойдет, защитит важные файлы с помощью специальной функции.
  6. Если вам кажется, что вы обнаружили какой-то подозрительный процесс, отключите компьютер от Интернета. Если троянец-вымогатель не успеет стереть ключ шифрования на вашем компьютере, то есть шанс восстановить файлы. Правда, новейшие его версии используют заранее заданный ключ, так что с ними этот совет не сработает.
  7. Если вы уже попались, то не платите выкуп, если в этом нет острой необходимости. Помните: каждый денежный перевод — это вливание в преступный бизнес, который будет развиваться и дальше, до тех пор пока поступают деньги.
  8. Еще один совет для уже зарази­вшихся: проверьте — возможно, вам повезло, и вам попался один из старых вариантов программ-шифровальщиков. Раньше вымогатели были далеко не такими продвинутыми, как сейчас, и зашифрованные ими файлы сравнительно несложно восстановить.
  9. Кроме того, соответствующие службы и специалисты по кибербезопасности периодически ловят преступников и выкладывают инструменты для восстановления файлов в Интернет. Есть смысл проверить, можно ли вернуть свои файлы бесплатно. Для этого посетите, например, noransom.kaspersky.com.