Несмотря на то, что с момента появления первого вируса-шифровальщика прошло уже более 10 лет, проблема становится все острее и актуальнее.
Уже неоднократно отмечалось, что основной целью злоумышленников сегодня является получение прибыли. Для этого как нельзя лучше подходит данная разновидность злонамеренного ПО. Модель монетизации предельно проста. Часть вашей информации, например, файлы Word, Excel, баз данных шифруются, а за расшифровку от вас требуют определенную сумму. Формы оплаты крайне разнообразны — SMS, электронные деньги, пополнение баланса мобильного телефона и т. д.
Если ранее такое ПО распространялось через порносайты, сайты взломанного ПО, сегодня рассылка писем идет адресно, вручную через домены бесплатной почты. То есть мы наблюдаем качественное изменение. Да и атаки сегодня в основном идут на организации, им некогда ждать, нужно срочно, значит, вероятность оплаты возрастает.
Методы проникновения
Основным методом проникновения сегодня является электронная почта. Чаще всего это письма от имени банков, налоговой, в которых сообщается о задолженности либо срочной проверке регистрационных данных после сбоя.
Как правило, все они имеют вложения типа «акт.doc.....................exe», «Благодарственное письмо.hta», «Документы.cab». Реже — проникновение шифровальщика через файлы взломанных программ или самораспаковывающиеся программы, скачанные из Интернета.
Как правило, после шифрования вирус выдает сообщение о том, что файлы зашифрованы, и рекомендации по их дешифровке (имеется в виду методы оплаты).
Большинство вирусов шифровальщиков живут не более пяти дней, в среднем — три дня.
Методы противодействия
Резервное копирование. Наиболее очевидным методом противодействия на сегодняшний день является создание резервных копий.
Я бы рекомендовал не хранить документы, файлы почты и т. д. на рабочих станциях, а хранить их исключительно централизованно. Тем самым решается и проблема резервного копирования информации с рабочих станций, ибо если вся информация хранится на серверах, то и делать резервные копии серверов куда как проще.
Использование антивирусных облачных технологий. Несмотря на то, что уже много лет в корпоративных антивирусах для ускорения обнаружения используется такое понятие, как антивирусное облако (например, Kaspersky Security Network), на многих предприятиях предпочитают отключать данную опцию, хотя ее использование не несет угрозы утечки информации. В сеть антивирусного вендора передаются не сами исполнимые файлы, а только хеши соответствующих файлов. Да и сами документы при этом не передаются.
Использование таких технологий существенно ускоряет процесс обнаружения вредоносного ПО, ведь обнаружив его на одном ПК не нужно ждать включения сигнатуры соответствующего вредоноса, можно просто включить его хеш в базу вредоносного ПО и пополнить базу антивирусного облака практически в реальном времени.
Использование контроля приложений (Application Control). Суть его в том, что на предприятии заводится основной список разрешенного «белого» программного обеспечения.
Контроль запуска программ (контроль приложений) позволяет установить ограничения на запуск программ на клиентских компьютерах. При этом разрешения на запуск устанавливаются с помощью правил. При запуске проверяются:
• категория, к которой относится программа (категория — это набор условий и исключений, позволяющих идентифицировать программу или группу программ);
• учетная запись, от имени которой запускается программа;
• правила, с помощью которых регулируется запуск программ данной категории для данной учетной записи.
Если есть хотя бы одно подходящее правило, разрешающее запуск программы, и нет запрещающих — запуск будет разрешен. Если разрешающих правил нет или для данной учетной записи одновременно есть правила, разрешающие и запрещающие запуск программ данной категории, запуск будет запрещен.
Список категорий, естественно, у каждого конкретного производителя ПО будет разным, однако их всех будет объединять наличие категории «другое ПО», к которой будет относиться неизвестное ПО.
Таким образом, можно выбрать один из следующих методов:
• создать и актуализировать «белый» список ПО, разрешенного к запуску в организации;
• разрешить запускать ПО из любых категорий, которые создает ваш производитель антивирусного ПО, и запретить запуск из категории «другое ПО». Если пользователю нужно запустить что-то из категории «другое», он должен подать заявку администратору на разрешение соответствующего запуска.
Да, все эти способы сложно назвать удобными, однако они позволяют защититься от вредоносного ПО.
Очень важно понимать, что в случае вирусов-шифровальщиков основную роль в противодействии играют не подразделения ИТ и ИБ, а в первую очередь бизнес-подразделения. Да-да! Потому как именно они определяют, как будет развиваться бизнес, какое программное обеспечение должны устанавливать ИТ-специалисты, какое ПО следует считать «белым». Без этого стратегия использования «белого» списка бессмысленна.
Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.