Что такое вымогателей?

В настоящее время Ransomware – это эпидемия, основанная на коварном вредоносном ПО, которое киберпреступники используют, чтобы вымогать у вас деньги, сохраняя компьютер или компьютерные файлы с целью получения выкупа, требуя от вас оплаты за их восстановление. К сожалению, Ransomware быстро становится все более популярным способом для авторов вредоносных программ вымогать деньги у компаний и потребителей. Если эта тенденция сохранится, Ransomware скоро повлияет на устройства IoT, автомобили и системы SCSA ICS, а также только на компьютерные конечные точки. Существует несколько способов, с помощью которых Ransomware может проникнуть на чей-либо компьютер, но большинство из них связаны с тактикой социальной инженерии или использованием программных уязвимостей для автоматической установки на компьютер жертвы.

Авторы вредоносных программ рассылают волны спама в разные группы с прошлого года и даже раньше. Географически, нет никаких ограничений в отношении того, на кого вы можете повлиять, и, хотя электронные письма изначально были направлены отдельным конечным пользователям, а затем малым и средним компаниям, сейчас компания является зрелой целью.

Помимо фишинга и социальной инженерии фишинг-фишинг, Ransomware также распространяется через порты удаленного рабочего стола. Ransomware также влияет на файлы, доступные на подключенных дисках, включая внешние жесткие диски, такие как USB-диски, внешние диски или папки в сети или в облаке. Если на вашем компьютере есть папка OneDrive, вы можете воздействовать на эти файлы и затем синхронизировать их с облачными версиями.

Никто не может с уверенностью сказать, сколько таких вредоносных программ в целом. Из-за того, что многие из них существуют в неоткрытых электронных письмах, а о многих инфекциях не сообщается, трудно сказать.

Влияние на тех, кто пострадал, заключается в том, что файлы данных были зашифрованы, и конечный пользователь вынужден, основываясь на тикающих часах, принять решение, платить ли выкуп или потерять данные навсегда. Обычно это относится к популярным форматам данных, таким как файлы Office, музыкальные файлы, файлы PDF и другие популярные файлы данных. Более сложные варианты удаляют компьютерные «теневые копии», которые в противном случае позволили бы пользователю вернуться к более раннему времени. Кроме того, «точки восстановления» компьютера и доступные файлы резервных копий уничтожаются. Преступник управляет процессом так, что у него есть сервер управления и контроля, который хранит закрытый ключ для файлов пользователя. Они используют таймер для уничтожения закрытого ключа, а также запрашивают и отображают таймер на экране пользователя, предупреждая, что закрытый ключ будет уничтожен в конце обратного отсчета, если выкуп не будет выплачен. Сами файлы все еще существуют на компьютере, но зашифрованы, недоступны даже для перебора.

Во многих случаях конечный пользователь просто платит выкуп, не видя выхода. ФБР советует не платить выкуп. Выплачивая выкуп, вы финансируете этот тип бизнеса, и нет никаких гарантий, что вы восстановите какие-либо файлы. Кроме того, индустрия кибербезопасности становится лучше в борьбе с Ransomware. По крайней мере, один из крупнейших производителей антивирусов выпустил продукт «расшифровки» на прошлой неделе. Однако еще неизвестно, насколько эффективным будет этот инструмент.

Что делать сейчас

Есть много перспектив для рассмотрения. Человек хочет восстановить свои файлы. На уровне компании они хотят восстановить файлы и ресурсы для защиты. На уровне предприятия они хотят иметь все вышеперечисленное и должны быть в состоянии продемонстрировать должную осмотрительность в предотвращении заражения других чем-либо, что было внедрено или отправлено компанией, чтобы защитить их от массовых пыток, которые неизбежно поразят далекое будущее.

Как правило, после шифрования маловероятно, что сами файлы могут быть зашифрованы. Вот почему профилактика – лучшая тактика.

Сделайте резервную копию ваших данных

Лучшее, что вы можете сделать, – это регулярно создавать резервные копии на автономных носителях с несколькими версиями файлов. Благодаря автономным носителям, таким как служба резервного копирования, лента или другие носители, которые позволяют выполнять ежемесячное резервное копирование, вы всегда можете вернуться к старым версиям файлов. Вам также следует создать резервные копии всех файлов данных – некоторые из них могут быть на USB-накопителе или подключенных дисках или USB-ключах. Пока вредоносные программы могут получить доступ к файлам доступа для записи, они могут быть зашифрованы и сохранены для выкупа.

Образование и осведомленность

Ключевым элементом в процессе предотвращения заражения вымогателями является информирование конечных пользователей и сотрудников о направлениях атак, в частности о спаме, фишинге и фишинг-копье. Почти все атаки вымогателей успешны, потому что конечный пользователь нажал на ссылку, которая казалась невинной, или открыл вложение, которое выглядело так, как будто оно было получено от известного человека. Информируя и информируя персонал об этом риске, он может стать критической линией защиты от этой коварной угрозы.

Показать скрытые расширения файлов

Как правило, Windows скрывает известные расширения файлов. Если вы разрешите отображение всех расширений файлов в сообщениях электронной почты и файловой системе, вы сможете легче обнаруживать подозрительные файлы с кодами вредоносных программ, выдавая себя за дружественные документы.

Фильтруйте исполняемые файлы в письме

Если ваш почтовый сканер имеет возможность фильтровать файлы по расширению, вы можете отказаться от писем, отправленных с вложенными файлами * .exe. Используйте доверенную облачную службу для отправки или получения файлов * .exe.

Отключить выполнение файлов из временных файловых папок

Во-первых, разрешите отображение скрытых файлов и папок в Проводнике, чтобы вы могли видеть папки appdata и programdata.

Программное обеспечение защиты от вредоносных программ позволяет создавать правила, предотвращающие запуск исполняемых файлов из профиля вашего приложения и локальных папок, а также из папки программы на вашем компьютере. Исключения могут быть установлены для законных программ.

Отключить RDP

Если возможно, отключите RDP (протокол удаленного рабочего стола) на зрелых объектах, таких как серверы, или заблокируйте их доступ к Интернету, принудительно применяя их через VPN или другой безопасный маршрут. Некоторые версии Ransomware используют эксплойты, которые могут реализовать Ransomware в целевой системе с поддержкой RDP. В нескольких статьях Technet подробно описано, как отключить RDP.

Патч и обновить все

Очень важно быть в курсе обновлений Windows, а также антивирусных обновлений, чтобы предотвратить использование Ransomware. Не так очевидно, что не менее важно быть в курсе всех программ Adobe и Java. Помните, что ваша безопасность так же хороша, как ваша самая слабая ссылка.

Используйте многоуровневый подход для защиты конечной точки

Эта статья не предназначена для того, чтобы одобрить один конечный продукт, а скорее для рекомендации относительно методологии, которую быстро внедряет отрасль. Вы должны понимать, что Ransomware как форма вредоносного ПО является источником слабой безопасности конечных точек. Если вы укрепите безопасность конечных точек, вымогателей не будет распространяться так легко. В отчете, опубликованном на прошлой неделе Институтом технологии критической инфраструктуры (ICIT), рекомендуется многоуровневый подход, сосредоточенный на эвристическом поведенческом мониторинге для предотвращения неинтерактивного шифрования файлов (что делает Ransomware), а также на одновременном запуске пакета безопасности или анти-программы. -программное обеспечение для конечных точек, которые, как известно, обнаруживают и останавливают вымогателей. Важно понимать, что и то, и другое необходимо, потому что, хотя многие антивирусные программы обнаруживают известные варианты этого вредоносного трояна, неизвестные штаммы нулевого дня должны быть остановлены путем распознавания их поведения шифрования, смены обоев и связи через брандмауэр, чтобы сделать их центр управления и контроля.

Что делать, если вы считаете, что заражены

Немедленно отключитесь от любой Wi-Fi или корпоративной сети. Возможно, вы сможете прекратить связь с сервером управления и контроля, прежде чем он закончит шифрование файлов. Вы также можете запретить Ransomware на вашем компьютере шифровать файлы на сетевых дисках.

Используйте Восстановление системы, чтобы вернуться к известному состоянию очистки.

Если на вашем компьютере Windows включена функция восстановления системы, возможно, вы сможете восстановить систему до более ранней точки восстановления. Это работает только в том случае, если ваш вымогатель еще не уничтожил точки восстановления.

Загрузите компьютер с загрузочного диска и запустите антивирусное программное обеспечение

Если вы загружаете систему на загрузочный диск, ни одна из служб реестра не может быть запущена, включая агент Ransomware. Вы можете удалить антивирусную программу из антивирусной программы.

Опытные пользователи могут сделать больше

Ransomware встраивает исполняемые файлы в папку Appdata вашего профиля. Кроме того, записи в ключах Run и Runonce в реестре автоматически запускают агент Ransomware при запуске операционной системы. Опытный пользователь должен иметь возможность сделать это

a) Выполните тщательную проверку на вирусы в конечной точке, чтобы удалить установщик Ransomware

б) Запустите компьютер в безопасном режиме без запуска вымогателей или прекратить обслуживание.

в) Удалить программы шифрования

г) Восстановление зашифрованных файлов из автономных резервных копий.

e) Установите многоуровневую защиту конечных точек, включая как поведенческую защиту, так и защиту на основе подписи для предотвращения повторного заражения.