На цей раз ми перевірили, як справляються з троянами-шифрувальниками комплексні засоби антивірусного захисту. Для цього було зроблено добірку ransomware і навіть написано окрему програму, що імітує дії невідомого трояна-шифрувальника. Її сигнатури точно немає у базах жодного учасника сьогоднішнього тестування. Подивимося, на що вони здатні!
WARNING
Стаття написана у дослідницьких цілях. Вся інформація в ній має ознайомлювальний характер. Усі зразки отримані з відкритих джерел та надіслані вірусним аналітикам.
Старі засоби від нових загроз
Класичні антивіруси мало допомагають у захисті від троянських програм, що шифрують файли та вимагають викуп за їх розшифрування. Технічно такі шифрувальники повністю або майже повністю складаються з легітимних компонентів, кожен з яких не виконує жодних шкідливих дій сам собою. Малвар просто об'єднує їх у ланцюжок, що призводить до жалюгідного результату - користувач позбавляється можливості працювати зі своїми файлами, поки не розшифрує їх.
У Останнім часомз'явилося багато спеціалізованих утиліт для захисту від троянів-шифрувальників. Вони або намагаються виконувати несигнатурний аналіз (тобто визначати нові версії ransomware за їхньою поведінкою, репутацією файлу та іншими непрямими ознаками), або просто забороняють будь-яким програмам вносити зміни, необхідні для дій шифрувальників.
Ми переконалися, що такі утиліти практично марні. Навіть задані в них максимально жорсткі обмеження (при яких вже не можна нормально працювати) не забезпечують надійного бар'єру від троянів-вимагачів. Частину заражень ці програми запобігають, але лише створюють у користувача помилкове почуття захищеності. Він стає більш безпечним і виявляється жертвою ransomware ще швидше.
Основна проблема при боротьбі з класичними троянами-шифрувальниками полягає в тому, що всі їхні дії виконуються тільки з файлами користувача і не торкаються системних компонентів. Користувачеві ж не можна заборонити змінювати та видаляти свої файли. Явних відмінних рис у поведінці у якісних представників ransomware дуже мало, або вони відсутні зовсім. Мережеве підключення зараз виконує більшість програм (хоча б для перевірки оновлень), а функції шифрування вбудовані навіть у текстові редактори.
Виходить, що для засобів превентивного захисту не залишається якихось явних ознак, які допомагають відрізнити чергового трояна-шифрувальника від легітимної програми. Якщо сигнатури трояна немає в базах, шанс, що його антивірус виявить, дуже малий. Евристичний модуль реагує лише на грубі модифікації відомих шифрувальників, а поведінковий аналізатор зазвичай не визначає якоїсь підозрілої активності зовсім.
Бекапи бекапам різниця!
Сьогодні тисячі комп'ютерів заражаються ransomware щодня і, як правило, руками самих користувачів. Антивірусні компанії приймають заявки на розшифровку файлів (у своїх клієнтів – безкоштовно), проте та їх аналітики не всесильні. Часом даних для успішного дешифрування вдається зібрати дуже мало або сам алгоритм трояна містить помилки, що призводять до неможливості відновити файли у вихідному вигляді. Зараз заявки на розшифровку обробляються від двох діб до півроку, і за цей час багато хто з них просто втрачає актуальність. Залишається шукати додаткові засоби захисту, не сподіваючись на антивірусний сканер.
Довгий час універсальним захистом від будь-яких вірусних атак були резервні копії. У разі зараження новою малварью можна було просто відновити все з бекапу, перезаписавши зашифровані файли їх оригінальними версіями та скасувавши будь-які небажані зміни. Однак сучасні трояни-шифрувальники навчилися визначати та псувати резервні копії теж. Якщо налаштовано їх автоматичне створення, то сховище бекапів підключено та доступно на запис. Просунутий троян сканує всі локальні, зовнішні та мережеві диски, визначає каталог із резервними копіями та шифрує їх або видаляє із затиранням вільного місця.
Робити ж бекапи вручну надто втомливо та ненадійно. Щодня таку операцію виконувати складно, а за триваліший термін накопичиться багато актуальних даних, відновити які буде звідки. Як же бути?
Сьогодні більшість розробників пропонує, окрім класичних антивірусів, комплексні рішення для забезпечення безпеки. Тепер, крім файрвола, IDS та інших добре знайомих компонентів, вони містять новий захищене сховище резервних копій. На відміну від звичайного каталогу з бекапами доступ до нього є тільки у антивірусу і контролюється його драйвером. Зовнішнє керування каталогом повністю відключено - навіть адміністратор не може відкрити чи видалити його через файловий менеджер. Подивимося, наскільки добрий такий підхід.
Методика тестування
Для наших експериментів ми зробили клони віртуальної машини з чистою Windows 10 та останніми наборами виправлень. У кожній з них було встановлено свій антивірус. Відразу після оновлення баз ми перевіряли реакцію антивіруса на тестову добірку та нашу програму-імітатор. До тестової добірки увійшли 15 зразків. З них 14 були різними модифікаціями відомих троянів-шифрувальників, а п'ятнадцятий був трояном-даунлоадером, який завантажував чергового шифрувальника з віддаленого сайту.
Усі зразки мали розширення.tst незалежно від реального формату файлу. Спеціально написана для цих тестів програма з нехитрою назвою EncryptFiles імітувала типову поведінку трояна-шифрувальника. При запуску з дефолтними параметрами вона відразу шифрувала вміст файлів з каталогу "Мої документи" без будь-яких питань. Для наочності ми зберегли в програмі echo-повідомлення і помістили в каталог з документами поточного користувача кілька текстових файлів у кодуванні OEM-866, щоб відразу відображати їх вміст прямо в консолі. В одному файлі були цитати із творів Стругацьких (простий неформатований текст), а в іншому – параметри об'єктивів у вигляді таблиці (форматований текст).
Після встановлення та оновлення кожного антивірусу зразки ransomware копіювалися в каталог «Завантаження» з папки мережі, підключеної в режимі «Тільки читання». Потім скопійовані файли додатково перевірялися антивірусом (примусова перевірка на запит) у налаштуваннях за замовчуванням. Зразкам, що залишилися після перевірки, присвоювалося їх реальне розширення, після чого вони запускалися. Якщо зараження системи не відбувалося, далі була перевірка реакції антивірусу на програму-імітатор. У разі успішного шифрування файлів, ми намагалися відновити їх вихідні версії засобами антивірусу і протоколювали результат.
Kaspersky Total Security
В одну з тестових віртуалок ми встановили Kaspersky Total Security, в якому було обіцяно «захист від програм-шифрувальників, що запобігає псуванню файлів шкідливими програмами». KTS розпізнав майже всі загрози вже при спробі скопіювати зразки ransomware з папки мережі.
У каталог «Завантаження» потрапив лише один файл із п'ятнадцяти – nd75150946.tst – це саме Trojan.Downloader, причому давно відомий. При його додатковій перевірці на запит KTS знову вважав файл безпечним. Сорок п'ять антивірусних сканерів на VirusTotal із ним не погодилися.
Ми відкрили цей зразок Hex-редактором, щоб визначити його справжнє розширення. Знайомий заголовок 504B0304 і ім'я іншого файлу всередині - очевидно, перед нами ZIP-архів. Усередині архіву знаходився підозрілий файл: його іконка відповідала документу PDF, а розширення при цьому було.
При спробі запустити файл із розширенням.scr з архіву KTS заблокував його автоматично розпаковану копію в тимчасовому каталозі користувача. За результатами хмарного аналізу через мережу KSN він визначив файл як невідомий шкідливий об'єкт і запропонував видалити його з перезавантаженням. В даному випадку це була надмірна обережність, тому що троян не отримав управління і міг бути видалений будь-яким способом, як звичайний файл.
Цікаво, що Kaspersky Total Security не вчиться на своїх помилках. При повторній перевірці архіву той знову був визнаний чистим, хоча розпакований з нього файл щойно спричинив спрацювання за результатами аналізу в KSN.
На початку наступного етапу тестування ми перевірили вихідний стан каталогу «Мої документи» та вивели вміст пари текстових файлів із нього в консоль.
Після чого ми відкрили модуль «Резервне копіювання та відновлення» та забекапіли ці документи до папки Backup прямо на системному розділі. У реальній ситуації варто вибирати інше розташування (наприклад, зовнішній диск), але для нашого тесту воно не відіграє ролі. Доступ до цієї папки в будь-якому випадку контролюється засобами KTS і через стандартний драйвер файлової системи трояни не можуть з нею взаємодіяти.
Штатними засобами навіть адміністратор може лише переглянути властивості цієї папки. При спробі увійти до неї автоматично запускається менеджер бекапів KTS та просить ввести пароль, якщо він був заданий раніше.
Сам менеджер резервних копій зроблений у Касперського дуже наочним. Можна вибрати стандартні каталоги, вказати свої або виключити окремі файли. Кількість файлів кожного типу відразу відображається у вікні зліва, а їх розмір – у властивостях праворуч.
Крім запису бекапів на локальні та знімні диски, KTS підтримує їхнє відправлення в Dropbox. Використання хмарного сховища особливо зручне в тому випадку, якщо малеча перешкоджає запуску комп'ютера та підключенню зовнішніх носіїв.
Нашу програму-імітатор KTS проігнорував. Вона спокійно зашифрувала файли, перетворивши їх вміст на абракадабру. Відмова у доступі до підкаталогів «Мої відеозаписи», «Мої малюнки» та «Моя музика» - недоробка в самій програмі, що ніяк не впливає на її здатність шифрувати файли в %USERPROFILE%Documents .
Якщо в нашій програмі функція дешифрування виконується просто при запуску з ключем /decrypt, то у троянів вона не завжди запускається навіть після виконання вимог про викуп. Єдиним досить швидким варіантом відновлення зашифрованих файлів у разі залишається їх перезапис з раніше створеної резервної копії. Буквально в кілька кліків ми вибірково відновили один із зашифрованих файлів у його вихідному розташуванні. Так само можна відновити один або кілька каталогів цілком.
Dr.Web Security Space
Як і KTS, Dr.Web SS визначив 14 із 15 зразків вже при спробі скопіювати їх у каталог «Завантаження».
Однак на відміну від KTS він все ж таки виявив Trojan.Downloader в зразку, що залишився, після зміни його розширення на ZIP і запуску примусової перевірки.
Більшість параметрів Dr.Web SS за замовчуванням заблоковано. Щоб його активувати, треба спочатку натиснути на піктограму замка та ввести пароль, якщо він був заданий.
Резервні копії створюються в Dr.Web SS за допомогою інструмента "Захист від втрати даних". Налаштування доступні мінімальні. Можна вибрати для бекапу стандартні користувацькі каталоги або вказати свої, задати одне з вибраних обмежень на обсяг копій, вказати розташування резервних копій і налаштувати розклад бекапу. Завантаження в хмарні сховища Dr.Web SS не підтримується, тому доводиться обмежуватися локальними дисками.
Захист каталогу з бекапами у Dr.Web SS агресивніший, ніж у KTS. Адміністратор навіть не може переглянути його властивості через провідник.
Ми зробили резервні копії документів і розпочали другу частину тесту.
Програму-імітатор Dr.Web SS не розпізнав і не перешкодив її роботі. Через секунду всі файли були зашифровані.
Запустивши знову захист від втрати даних, ми відновили вихідні файли. Однак вони збереглися зовсім не там, де чекали.
При вказівці цільової папки «Мої документи» в ній автоматично створюється підкаталог з поточною датою та часом як ім'я. Вже розпаковуються з бекапу збережені файли, причому з відновленням всіх відносних шляхів. Виходить вкрай незручний довгий шлях, який може перевищити поширене обмеження в 255 символів.
Norton Security Premium
Пам'ятаючи про Norton Ghost, що став стандартом бекапу ще в 90-х, просто було спрогнозувати появу такої функціональності в антивірусі від Symantec. Дивно, що минуло два десятки років, перш ніж це очевидне рішення стало затребуваним. Не було б щастя та нещастя допомогло.
При спробі скопіювати каталог із зразками ransomware NSP визначив і помістив у карантин 12 з 15 загроз.
Всі три файли розпізнаються як шкідливі при аналізі на VirusTotal, у тому числі два з них - антивірусом від Symantec. Просто налаштування за замовчуванням зроблено так, що NSP не перевіряє деякі файли при копіюванні. Виконуємо примусове сканування... і NSP виявляє ще два трояни у тому ж каталозі.
Як і попередні антивіруси, NSP залишає троян-даунлоадер у перейменованому архіві ZIP. При спробі запустити файл.scr із архіву NSP блокує запуск розпакованої копії трояна з тимчасового каталогу поточного користувача. При цьому сам архів не обробляється.
Архів вважається чистим навіть при його повторному скануванні відразу після того, як було виявлено троян, що розпакований з нього. Особливо смішно виглядає напис: «Якщо, на вашу думку, ще залишилися погрози, натисніть тут». При натисканні по ній відбувається оновлення баз (або не відбувається, якщо вони і так свіжі).
Дивно, що деякі зі старих зразків ransomware досі детектуються NSP лише евристичним аналізатором та засобами хмарної перевірки. Схоже, вірусологам Symantec ліньки підтримувати бази в актуальному стані. Їхній антивірус просто блокує все підозріле і чекає на реакцію користувача.
Другий етап тестування відбувався традиційно. Ми створили резервні копії файлів з каталогу "Мої документи", а потім спробували їх зашифрувати.
Менеджер резервних копій у NSP спочатку порадував своєю логічністю. Він використовує класичний принцип «Що? Де? Коли?», знайомий ще з досівських часів. Однак у сучасній версії його затьмарює зайва абстрактність. Замість прямого перерахування об'єктів з повними шляхами та файлів по розширенням використовується їх віртуальне розташування та умовне угруповання за типами. Залишається здогадуватися, які файли NSP визнає такими, що належать до фінансової інформації, а які просто помістить у розділ «Інші».
Додаткові налаштування можливі (наприклад, за посиланням «Додати або виключити файли та папки»), проте зробити їх дуже непросто. Заради пари файлів (кожен менше кілобайта) все одно доводиться бекапит полдерева каталогів і всяке сміття на зразок desktop.ini, а майстер резервного копіювання пропонує увічнити це на CD-R. Схоже, XXI століття настало не для всіх.
З іншого боку, користувачам NSP надається під бекапи 25 Гбайт у хмарі. Щоб завантажити резервні копії туди, достатньо вибрати цільове розташування «Безпечне мережеве сховище».
Створивши локальний бекап, ми запустили програму, що імітує дії трояна-шифрувальника. NSP не перешкодив їй і дозволив зашифрувати файли.
Їх відновлення з резервної копії пройшло швидше та зручніше, ніж у Dr.Web SS. Достатньо було підтвердити перезапис, і файли у вихідному вигляді відразу опинилися на колишніх місцях.
K7 Ultimate Security
Раніше цей продукт від індійської компанії K7 Computing мав назву Antivirus Plus. З назвами цього розробника і зараз є невелика плутанина. Наприклад, дистрибутив K7 Total Security немає коштів резервного копіювання. Саме тому ми тестували версію Ultimate – єдину здатну робити бекап.
На відміну від відомих у Росії антивірусів, ця розробка була в наших тестах темною конячкою. Фраза «індійський код» вважається лайкою у програмістів, і багато чого ми від нього не чекали. Як показали тести – дарма.
K7 Ultimate Security - перший антивірус, який одразу виявив усі 15 загроз з нашої добірки. Він навіть не дозволив завершити копіювання семплів у каталог «Завантаження» і видаляв би їх прямо в папці мережі, якби вона не була підключена в режимі «Тільки читання».
Оформлення у програми камуфляжно-сталеве. Мабуть, розробники захоплюються грою в танки або просто намагаються таким чином викликати асоціацію з чимось надійним. Параметри резервного копіювання K7 задаються приблизно так само, як і в NSP. Однак загалом інтерфейс K7 менш перевантажений, і в ньому простіше дістатися тонких налаштувань.
На запуск програми-імітатора та шифрування файлів K7 ніяк не відреагував. Як завжди, довелося відновлювати оригінали з бекапу.
Зручно, що при відновленні можна вибрати окремі файли та записати їх на колишнє місце. Відповівши ствердно на запит про перезапис існуючого файлу, ми відновили lenses.txt у пару кліків на попередньому місці.
В рамках цього тесту про роботу K7 більше додати нічого. Success він і є success.
Висновки
Незважаючи на добрі результати тестування, загальні висновки вийшли невтішними. Навіть повні версіїПопулярні платні антивіруси пропускають деякі варіанти ransomware в налаштуваннях за замовчуванням. Вибіркове сканування на запит також не дає гарантії безпеки перевірених файлів. За допомогою примітивних трюків (на зразок зміни розширення) виявлення уникають і давно відомі модифікації троянів. Нова ж малеча майже завжди перевіряється на відсутність детекту перед випуском у дике середовище.
Не варто сподіватися на поведінковий аналізатор, перевірку хмар, репутаційні характеристики файлів та інші засоби несигнатурного аналізу. Якийсь толк від цих методів є, але дуже невеликий. Навіть нашу примітивну програму-імітатор із нульовою репутацією і без цифровий підписне заблокував жодного антивірусу. Як і багато троян-шифрувальників, вона містить масу недоробок, проте це не заважає їй безперешкодно шифрувати файли відразу при запуску.
Автоматичне резервне копіювання файлів користувача - не наслідок прогресу, а вимушений захід. Вона може бути досить ефективною лише з постійним захистом сховища бекапів засобами антивірусу. Втім, дієвою вона буде рівно доти, доки антивірус не вивантажать з пам'яті або не деінсталюють зовсім. Тому завжди варто робити додаткові копії на якийсь рідко підключається носій або завантажувати їх у хмару. Звісно, якщо ти достатньо довіряєш хмарному провайдеру.
Сьогодні багато хто вже на собі відчув результати дій кіберзлочинців, основна зброя яких — віруси-шифрувальники. Основна мета – з їхньою допомогою вимагати гроші у користувачів. За розблокування особистих файлів можуть вимагати десятки тисяч гривень, а з власників бізнесу – мільйони (наприклад, за заблоковану базу 1С).
Сподіваємося, що наші поради допоможуть максимально убезпечити Вашу базу даних.
Антивірусний захист
Звичайно, головний засіб захисту – це антивірус. Обов'язково треба стежити за актуальністю антивірусної програми, адже вірусні бази даних автоматично (без участі користувача) оновлюються кілька разів на день. Потрібно регулярно відстежувати появу нових надійних антивірусних програм і додавати їх у свої продукти.
Однією з таких програм є хмарний сервіс ESET LiveGrid®, який блокує вірус раніше, ніж він потрапляє в антивірусну базу. Система ESET відразу аналізує підозрілу програму та визначає ступінь її небезпеки, при підозрі на вірус процеси програми блокуються.
Так само можна скористатися безкоштовним антивірусом AVG, він звичайно трохи поступається ESET але має гарний ступінь захисту від вірусів, а для повного захисту можна купити і ліцензію на AVG
На початку 2017 року експерти з MRG Effitas провели тестування 16 популярних антивірусних продуктів для використання в домашніх користувачів на операційній системі Microsoft Windows 10, 64-бітної. У випробуваннях надійності антивірусів використовувалося 386 зразків різних шкідливих кодів, включаючи 172 трояни, 51 бекдор, 67 банківських шкідливих програм, 69 шифраторів та 27 потенційно небезпечних та рекламних програм.
Ось результати тестування
За даною діаграмою можна визначити найкращий безкоштовний антивірус 2017 року так само і найкращий платний антивірус, а який вже ставити собі для захисту на комп'ютер або ноутбук, вирішувати Вам.
Якщо ж Ваш вибрав упав на платний антивірус, і Ви зупинилася на NOD32, то добре перевіряти, чи включена функція ESET LiveGrid®, можна так: ESET NOD32 - Додаткові налаштування - Службові програми - ESET LiveGrid® - Включити систему репутації ESET LiveGrid®.
Зловмисники завжди сподіваються, що користувачі не встигли встановити останні оновлення, і їм вдасться використовувати вразливості програмне забезпечення. Насамперед, це стосується операційної системи Windows, тому треба перевірити та активувати автоматичні оновлення ОС (Пуск – Панель управління – Центр оновлення Windows – Налаштування параметрів – Вибираємо спосіб завантаження та встановлення оновлень).
Якщо Ви не використовуєте службу шифрування, яка передбачена в Windows, краще її відключити, адже деякі модифікації шифрувальників використовують цю функцію у своїх цілях. Для її відключення треба виконати такі кроки: Пуск – Панель управління – Адміністрація – Служби – Шифрована файлова система (EFS) та перезавантажити систему.
Але якщо Ви вже застосовували шифрування для захисту будь-яких файлів або папок, то треба прибрати галочки у відповідних чекбоксах (ПКМ – Властивості – Атрибути – Додатково – Шифрувати вміст для захисту даних). Якщо цього не зробити, то після відключення служби шифрування Ви втратите доступ до цієї інформації. Дізнатися, які файли були зашифровані, легко – вони виділені зеленим кольором.
Обмежене використання програм
Щоб підвищити рівень безпеки, можна заблокувати запуск програм, які не відповідають заданим вимогам. Такі налаштування, за промовчанням, встановлені для Windows і Program Files.
Налаштувати локальну групову політикуможна так:
Натискаємо виконати та вводимо команду: gpedit.msc("Пуск - Виконати (Win+R) - secpol.msc")
Вибираємо:
- «Конфігурація комп'ютера»
- "Конфігурація Windows"
- «Параметри безпеки»
- «Політики обмеженого використання програм» натискаємо праву кнопку мишки та тиснемо
Після чого потрібно створити правило, яке забороняє запуск програм з будь-яких місць, крім дозволених
Заходимо до розділу «Додаткові правила» та натискаємо праву кнопку. У вікні тиснемо на пункт «Створити правило для шляху»
У полі шлях ставимо зірочку «*», тобто. будь-який шлях та вибираємо рівень безпеки: Заборонено.
І так продовжимо працювати в Політики обмеженого використання програм і тиснемо правою кнопкою мишки на пункт Застосування і вибираємо Властивості.
Дані налаштування можна залишити, як вони є за замовчуванням або включити застосування до всього без винятків, а також можна переключити пункт застосування обмеженої політики до всіх, крім локальних адміністраторів (якщо у вас на комп'ютері заведені облікові записи користувача та адміністратора).
І в пункті «Призначені типи файлів» вибираємо розширення яких типів файлів буде поставлено заборону запуску. У цьому вікні вказано розширення, які блокуються під час спроби запуску.
Краще додати ще розширення .js - java script.
Ефективне налаштування займе якийсь час, але результат цього вартий.
Заборону на запуск певних програм милі файлів можете налаштувати на свій розсуд, залежно від поставлених завдань та цілей.
Після чого правила потрібно запустити, і що це зробити переходимо в «Рівні безпеки» і натискаємо праву кнопку мишки на «Заборонено». У вікні тиснемо «За замовчуванням» і наші правила застосовані.
Радимо не працювати з облікового запису адміністратора. Це дозволить зменшити шкоду при випадковому зараженні (Включити обліковий запис адміністратора - Задати пароль - Позбавити поточного користувача адміністративних прав - Додати до групи користувачі).
Для роботи з правами адміністратора Windows є спеціальний інструмент - «Контроль облікових записів», який сам запросить пароль для виконання операцій. Перевірка налаштування: Пуск - Панель керування - Облікові записикористувачів - Зміна параметрів контролю облікових записів - За замовчуванням - Повідомляти лише під час спроб внести зміни до комп'ютера
Контрольні точки відновлення системи
На жаль, трапляються випадки, коли віруси долають усі рівні захисту. Тому у Вас має бути можливість повернутися до попереднього стану системи. Налаштувати автоматичне створення контрольних точок можна так: Мій комп'ютер – ПКМ – Властивості – Захист системи – Параметри захисту.
Зазвичай, захист увімкнений лише для системного диска, але шифрувальник може зіпсувати вміст усіх розділів. Щоб відновити файли стандартними засобамиабо програмою Shadow Explorer, необхідно увімкнути захист для всіх дисків. Контрольні точки займають якийсь обсяг пам'яті, але вони врятують дані у разі зараження.
Віруси шифрувальники - давно відомий тип загрози. Вони з'явилися приблизно одночасно зі смс-банерами, і щільно засіли з останніми, у топ-рейтингу вірусів-вимагачів.
Модель монетизації вірусу-здирника проста: він блокує частину інформації або комп'ютер користувача повністю, а за повернення доступу до даних вимагає надіслати смс, електронні гроші або поповнити баланс мобільного номера через термінал.
У випадку з вірусом, що шифрує файли, все очевидно - для розшифрування файлів потрібно заплатити певну суму.Причому за останні кілька років ці віруси змінили підхід до своїх жертв. Якщо раніше вони розповсюджувалися за класичними схемами через варези, порно сайти, підміну видачі та масові спам-розсилки, при цьому заражаючи комп'ютери рядових користувачів, то зараз розсилання листів йде адресно, вручну, з поштових скриньок на «нормальних» доменах — mail.ru, gmail і т.д. А заражати намагаються юридичних осіб, де під шифри потрапляють бази даних та договору.
Тобто. атаки з кількості переросли у якість. На одній із фірм автору довелося зіткнутися з шифрувальником. hardended який прийшов у пошті з резюме. Зараження відбулося відразу після відкриття файлу кадровиками, фірма якраз підшукувала персонал і жодних підозр файл не викликав. Це був docx із вкладеним у нього AdobeReader.exe:)
Найцікавіше, що ніякі евристичні та проактивні рецептори антивірусу Касперського не спрацювали. Ще день чи 2 після зараження, вірус не визначався dr.web-ом та nod32
То як бути з такими погрозами? Невже антивірус марний?
Час антивірусів, що працюють лише за сигнатурами, минає.
G Data TotalProtection 2015 - найкращий захиствід шифрувальників
із вбудованим модулем резервного копіювання. Натискайте та купуйте.
Для всіх постраждалих від дійшифрувальника - промокод зі знижкою на покупку G DATA - GDTP2015.Просто введіть цей промокод під час оформлення замовлення.
Віруси здирники вкотре довели неспроможність антивірусних програм. Смс-банери, свого часу безперешкодно «зливались» користувачам у папку temp і просто запускалися на весь робочий стіл та перехоплювали натискання всіх службових комбінацій із клавіатури.
Антивірусник у цей час чудово працював:) Касперський, як і в штатному режимі, виводив свій напис "Protected by Kaspersky LAB".
Банер - не хитромудрий зловред як руткіти, а проста програма, яка змінює 2 ключі в реєстрі і перехоплює введення з клавіатури.
Віруси, які шифрують файли, вийшли новий рівень шахрайства. Це знову проста програма, яка не впроваджується в код операційної системи, не замінює системних файлів, не зчитує області оперативної пам'яті інших програм.
Вона просто запускається на короткий час, генерує відкритий та закритий ключі, шифрує файли та відправляє закритий ключ зловмиснику. На комп'ютері жертви залишається купка зашифрованих даних та файл із контактами хакерів для подальшої оплати.
Резонно замислитись: « А навіщо тоді потрібний антивірус, якщо він здатний знаходити лише відомі йому шкідливі програми?
Справді, антивірусна програма необхідна – вона захистить від усіх відомих загроз. Однак багато нових видів шкідливого коду їй не по зубах. Щоб захиститися від вірусів шифрувальників, потрібно вживати заходів, одного антивірусу тут недостатньо. І скажу одразу: «Якщо у вас уже зашифровані файли, ви потрапили. Легко повернути їх не вийде».
:
Не забувайте про антивірус
Резервне копіювання важливих інформаційних систем та даних кожному сервісу – свій виділений сервер.
Резервне копіювання важливих даних.
:
Що робити з самим вірусом?
Самостійні дії із зашифрованими файлами
Досвід спілкування з техпідтримкою антивірусу, чого чекати?
Звернення до поліції
Подбати про запобіжні заходи надалі (див. попередній розділ).
Якщо нічого не допомогло, може коштувати заплатити?
Якщо ви ще не стали жертвою вірусу-шифрувальника:
*Наявність антивірусного програмного забезпечення на комп'ютері з останніми оновленнями.
Скажімо прямо: «Антивіруси хріново справляються з новими видами шифрувальників, зате чудово борються з відомими погрозами». Отже наявність антивіруса на робочій станції необхідна. Якщо жертви вже є, ви хоча б уникнете епідемії. Який антивірус вибрати – вирішувати вам.
За досвідом - Касперський "їсть" більше пам'яті і процесорного часу, а для ноутбуків жорстких дисків з оборотами 5200 - це катастрофа (нерідко із затримками читання сектора в 500 мс..) Нод32 - швидкий, але мало що ловить. Можете купити антивірус GDATA - оптимальний варіант.
*Резервне копіювання важливих інформаційних систем та даних. Кожному сервісу – свій сервер.
Тому дуже важливо, винести всі сервіси (1С, платник податків, специфічні АРМи) і будь-який софт від якого залежить життя компанії, на окремий сервер, ще краще — термінальний. А ще краще кожен сервіс розмістити на свій сервер (фізичний чи віртуальний – вирішуйте самі).
Не зберігайте базу 1с у загальному доступі, у мережі. Так роблять багато хто, але це неправильно.
Якщо робота з 1с організована через мережу із загальним доступом на читання/запис для всіх співробітників — виносите 1с на термінальний сервер, нехай користувачі працюють з ним через RDP.
Якщо користувачів мало, а грошей на серверну ОС не вистачає - як термінальний сервер можна використовувати звичайний Windows XP (за умови зняття обмежень на кількість одночасних підключень, тобто потрібно патчити). Хоча, з таким самим успіхом ви можете встановити неліцензійну версію windows server. Благо, Microsoft дозволяє користуватися, а купити та активувати потім:)
Робота користувачів з 1с через RDP, з одного боку, зменшить навантаження на мережу і прискорить роботу 1с, з іншого, запобігатиме зараженню баз даних.
Зберігати файли БД в мережі із загальним доступом — небезпечно, а якщо інших перспектив немає — подбайте про резервне копіювання (див. розділ.).
*Резервне копіювання важливих даних.
Якщо у вас ще не робляться бекапи (резервне копіювання) — ви балбес, вибачте. Ну чи передавайте привіт вашому системному адміністратору. Бекапи рятують не тільки від вірусів, а й від недбайливих співробітників, хакерів, жорстких дисків, що «посипалися», зрештою.
Як і що бекапити можна прочитати в окремій статті про . В антивірусі GDATA, наприклад, є модуль резервного копіювання у двох версіях – total protection та endpoint security для організацій ( купити GDATA total protection можна).
Якщо ви знайшли зашифровані файли у себе на комп'ютері:
*Що робити з самим вірусом?
Вимикайте ваш комп'ютер і звертайтеся до фахівців комп'ютерних служб + на підтримку антивірусу. Якщо вам пощастить, тіло вірусу ще не вийшло і його можна використовувати для розшифрування файлів. Якщо не пощастило (як це часто буває), вірус після шифрування даних відправляє закритий ключ зловмисникам і видаляється всі свої сліди. Робиться це для того, щоб не було можливості визначити, яким чином і за яким алгоритмом зашифровані.
Якщо у вас залишився лист із зараженим файлом – не видаляйте. Відправте в антивірусну лабораторію найпопулярніших продуктів. І не відчиняйте його повторно.
*Самостійні дії із зашифрованими файлами
Що можна робити:
Звернутися на підтримку антивірусу, отримати інструкції і, можливо, дешифрувальник для вашого вірусу.
Написати заяву до поліції.
Пошукати в інтернеті досвід інших користувачів, які вже зіткнулися з цим лихом.
Вживати заходів щодо розшифрування файлів, попередньо скопіювавши їх в окрему папку.
Якщо у вас Windows 7 Або 8, можна відновити попередні версії файлів (правою кнопкою на папці з файлами). Знову ж таки, не забудьте їх попередньо скопіювати
Чого робити не можна:
Перевстановлювати Windows
Видаляти зашифровані файли, перейменовувати їх та змінювати розширення. Ім'я файлу дуже важливе при розшифровці в майбутньому
*Досвід спілкування з техпідтримкою антивірусу, чого чекати?
Коли один із наших клієнтів упіймав крипто-вірус.hardended, якого в антивірусних базах ще не було, були надіслані запити до dr.web та Kaspersky.
У dr.web техпідтримка нам сподобалася, зворотний зв'язок з'явився одразу і навіть давали поради. Причому після кількох днів сказали чесно, що нічого не зможуть і скинули. докладну інструкціюпро те, як надіслати запит через компетентні органи.
У Касперському, навпаки, спочатку відповів бот, потім бот відрапортував, що мою проблему вирішить установка антивірусу з останніми базами (нагадаю, проблема – це сотні зашифрованих файлів). Через тиждень статус мого запиту змінився на «відправлено до антивірусної лабораторії», а коли автор ще за кілька днів скромно поцікавився про долю запиту, представники Касперського відповіли, що відповіді з лабораторії ще не отримаємо, мовляв, чекаємо.
Ще через деякий час надійшло повідомлення про те, що мій запит закритий із пропозицією оцінити якість сервісу (це все при тому ж очікуванні відповіді від лабораторії).. «Та пішли ви!» - подумав автор.
NOD32, до речі, почав ловити цей вірус на 3-й день після його появи.
Принцип такий – ви самі по собі із вашими зашифрованими файлами. Лабораторії великих антивірусних брендів допоможуть вам тільки у випадку наявності у вас ключа на відповідний антивірусний продукті якщо в крипто-вірус є вразливістю.Якщо ж зловмисники зашифрували файл одразу кількома алгоритмами і не один раз, вам, швидше за все, доведеться платити.
Вибір антивірусу за вами, не варто їх нехтувати.
*Звернення до поліції
Якщо ви стали жертвою крипто-вірусу, і вам завдано якихось збитків, навіть у вигляді зашифрованої особистої інформації — можна звернутися до поліції. Інструкція із заяви тощо. є.
*Якщо нічого не допомогло, може коштувати заплатити?
Враховуючи відносну бездіяльність антивірусів до шифрувальників, іноді легше заплатити зловмисникам. За hardended файли, наприклад, автори вірусу просять в районі 10 тис. руб.
За інші загрози (gpcode тощо) цінник може коливатися від 2 тис руб. Найчастіше така сума виявляється нижчою від тих збитків, які може завдати відсутність даних і нижче тієї суми, яку у вас можуть запросити умільці за розшифрування файлів вручну.
Резюмуючи — найкращий захист від вірусів-шифрувальників, це резервне копіювання важливих даних із серверів та робочих станцій користувачів.
Як чинити - вирішувати вам. Успіхів.
Користувачі, які прочитали цей запис, зазвичай читають:
Вконтакте
Всім привіт шановні друзі та читачі. На зв'язку Руслан Міфтахов, автор цього блогу, хто не знає.
У цій статті я хотів би обговорити гучну тему про вірусну атаку по всьому світу, яка розпочалася у п'ятницю 12 травня цього року. Також дати кілька порад як захиститися від вірусу шифрувальника та врятувати свої важливі дані на комп'ютері.
Якщо ви читаєте мій блог, знаєте, що я займаюся ремонтом комп'ютерів. Це більше моє хобі, аніж робота. Так ось наскільки я пам'ятаю до 2013 року були поширені віруси блокатори.
При завантаженні системи вискакувало повідомлення з будь-яким загрозливим написом, іноді з картинками. У мене навіть кілька фото таких блокувальників лишилося. Ось одна з них.
Декілька клієнтів мені зізнавалися, що платили гроші шахраям, і в результаті викликали майстри, щоб прибрати цей вірус. Одна навіть тричі по 500 рублів платила в різних терміналах, думаючи, що в іншому, напевно, код розблокування надрукується. У результаті викликала мене, і я видалив цей вірус за 5-10 хвилин.
Десь у 2013 році я вперше зіткнувся в нашому місті з вірусом шифрувальником, коли почали надходити заявки такого роду на кшталт wannacry. Наприклад, такий вірус під назвою ебола, який я сфоткав на згадку.
Звичайно сам вірус не складало труднощів видалити з комп'ютера, а ось зашифровані дані розшифрувати не вдалося, тут міг допомогти тільки потрібний дешифратор.
Принцип дії вірусу
Вірус переважно поширюється через електронну пошту. Приходить лист із темою від МВС Росії чи рішення суду чи з податкової, загалом грають на цікавості користувача, щоб той відкрив лист. А в тому листі прикріплений файл, цей вірус шифрувальник.
Після проникнення на ПК вірус починає шифрувати усі фото, відео, документи. Файли на комп'ютері є, але їх неможливо відкрити. Ось така біда, а щоб розшифрувати дані шахраї просять за це 15-20 тисяч рублів.
Звичайно, якщо файли мають свою цінність і копій немає, користувач йде на угоду з шахраями. Таких випадків я не чув, ніхто не любить казати, що він став жертвою шахраїв.
Навіть викликали в один будинок керування, де я спостерігав таку картину.
За словами бухгалтера, надійшов лист на електронну пошту з темою від адміністрації. Відкривши яке, у прикріплених файлах був нібито важливий документ, який потрібно відкрити та прочитати. Ну а далі самі все розумієте, відкривши цей файл, запускається вірус і шифрує все, що не потрапивши на комп'ютері.
І це все перед перевіркою податкової, чи це збіг, чи то була на те причина;)
Чому люди платять шахраям?
Тут грає тонка психологія, у випадку з вірусом блокувальником виходили непристойні картинки з написом, що ви лазили по непристойних сайтах і зберігаєте фото з дитячою порнографією, а це карається законом така стаття. Хтось вірив у цю нісенітницю і платив, а хтось просто не хотів, щоб бачили це його родичі і платили, сподіваючись, що блокатор зникне після оплати. Ага наївні.
У випадку вірусу wanna cry шахраї розраховують, що зашифровані файли будуть користувачеві дуже потрібні і важливі і він заплатить. Але тут сума вже не 500-1000 рублів, як у першому випадку. І напевно шахраї націлені на більшу дичину.
Самі подумайте, який середньостатистичний користувач платитиме 500 доларів за втрачений сімейний фотовідео архів або за курсову чи дипломну роботу.
Тут скоріше мета великі компанії та держкорпорації, що й трапилося з Мегафоном, Білайном та рядом інших. Як думаєте заплатять вони 500 доларів за відновлення власної бази?
Заплатять, якщо немає звичайно копії. Якщо є копія, тут питань немає, зноситься все і ставиться заново резервна копія. Втратять 2, 3 години, але все буде працювати як і працювало.
Як застерегтися від шифрувальника
- Перше, що потрібно — це робити і важливі дані. Я рекомендую мати не менше трьох копій на різних носіях. Копіюйте на флешку, на зовнішній жорсткий диск, тримайте копію у хмарі Майл, Яндекс диск або інших сервісах хмарного зберігання.
- Регулярно оновлюйте вручну операційну систему. Навіть якщо віндовс не був оновлений, антивірус нод32 детектує та заблокує WannaCry та його модифікації.
- Бути пильним і не відкривати підозрілих листів, для цього звичайно потрібен досвід, щоб відчувати якісь листи не можна відкривати.
- Обов'язково повинен стояти антивірус з діючою ліцензією з базою даних, що постійно оновлюється. Рекомендую антивірус Eset Nod 32 Smart Security.
Щоб придбати зі знижкою антивірус переходьте на кнопку нижче.
Після оплати зручним для вас способом, на ваш вказаний електронна адресаприйде ліцензійний ключ та посилання для скачування антивіруса.
Ось ці пункти, якщо дотримуватиметеся, то вам ніякий вірус навіть шифрувальник не страшний. І співатимете як у мультику «три порося»: нам не страшний сірий вовк, страшний вовк, старий вовк:)
Ну, все на цьому, я вас попередив, а попереджений, значить що? Правильно – озброєний.
Діліться цією статтею, щоб ваші друзі, знайомі та родичі не потрапили у лапи шахраїв.
З повагою, Руслан Міфтахов
