Уже ни для кого не секрет, что вирусы пишутся с целью наживы. Злоумышленники (читай хакеры) зарабатывают миллионы долларов на своем деле и каждый день изобретают новые вирусы, способы заражения и методы монетизации. В нашем сегодняшнем материале речь пойдет о вирусах-шифровальщиках, с которыми может столкнуться как крупная компания, так и рядовые пользователи.
Существует множество различных определений понятия "вирус-шифровальщик", мы же остановимся на том, что это вредоносная программа, которая запускается на компьютере пользователя и шифрует все доступные пользователю файлы, делая тем самым их непригодными к использованию, а потом требует от пользователя денег за то, чтобы сделать их снова доступными. Кроме того, что шифруются данные на компьютере пользователя, шифруются и все доступные пользователю на корпоративном сервере.
Возможности
Шифровальщики и схожие им программы, блокирующие пользователю доступ к информации – далеко не новая проблема. Первые вирусы подобного рода появились еще в конце 90-ых годов. Однако, в большинстве своем, они использовали слабые алгоритмы шифрования, поддающиеся быстрой дешифровке.
Современные вирусы лишены этих недостатков. Чаще всего, злоумышленники с помощью симметричного алгоритма шифруют все данные на высокой скорости, а ключ шифруют при помощи ассиметричного алгоритма. Это означает, что для дешифровки нужен ключ, которым владеет только хакер, написавший конкретно этот вирус, в исходном коде найти его не удастся. Например, один из самых популярных сейчас вирусов этого семейства, CryptoLocker, использует алгоритмы RSA и AES, признанные одними из самых стойких.
Пути распространения
Чаще всего эти вирусы распространяются через электронную почту. Внешне, это самые обыкновенные письма, которые каждый из нас получает ежедневно: договоры, акты, уведомления от веб-сервисов, штрафы на автомобиль, информация о покупках или скидках в интернет-магазинах и т.п. Все письма содержат ссылку для скачивания некоего файла, который и оказывается вирусом , а иногда вирус находится в самом письме в формате скрипта или архива. Например, почти беспроигрышный для злоумышленника вариант – отправить бухгалтеру письмо, вроде «Марина Ивановна, по ссылке акт сверки, просьба подписать у директора». Подавляющее большинство бухгалтеров скачают файл по ссылке и запустят его, думая что открывают акт сверки.
Так же шифровальщики часто распространяются путем прямого взлома и заражения компьютеров. Такие программы способны эксплуатировать уязвимости операционных систем или программного обеспечения. Они устанавливаются на компьютер самостоятельно, без участия пользователя, и запускают программу шифровальщик. Одна из самых известных историй про вирусы такого рода – вирус WannaCry. Весной 2017 года всего за пару недель этим вирусом заразилось около 300 000 компьютеров по всему миру. Основной удар пришелся на Россию, где вирусом были заражены даже крупные банки и государственные учреждения, не говоря о рядовых пользователях.
Способы защиты
Описав возможности, историю и способы распространения этого вида вирусов, пора поговорить и о способах защиты.
Первый вариант, который приходит в голову, и который многие начинают реализовывать - повышать компьютерную грамотность пользователей путем пояснения – «Уважаемая бухгалтерия, когда к вам приходит письмо вот такого вида, вы его не открывайте, потому что там вирус. Например, если написано про акт сверки, а в названии компания, с которой мы не работали - ну это точно вирус!!! Нельзя это открывать!!!».
Бухгалтерия кивает, всей душой соглашается... и через неделю снова открывает письма с шифровальщиками, поскольку пришло письмо теперь не с актом сверки, а с "закрывающими документами". А про закрывающие документы в почте никто ничего не говорил. Итого - этот метод не работает.
Второй метод, который обычно используется после первого, или вместо него, это запретительно-формальный. В зависимости от корпоративного уклада в компании это могут быть приказы, распоряжения, инструкции. Часто это проходит в такой форме - пишется некий документ, в котором формально определено, что такие-то и такие-то письма открывать нельзя. И под документом пользователь ставит свою роспись и дату, когда ознакомился с документом.
Подпись есть, свою ответственность пользователь зафиксировал. Поэтому за почтой старается следить внимательнее. Но рано или поздно и через этот фильтр проходят шифровальщики. Метод работает чуть лучше, чем предыдущий, но все равно мя бы ему поставили оценку "неудовлетворительно".
Следующим этапом может начаться борьба непосредственно с письмами. Поиск качественных антиспамерских систем, которые могут отлавливать "шифровальщиков". И это тоже тупиковый путь.
Следующий этап - жесткая настройка почтовой системы на работу только с "белым списком" адресов. Т.е. если почтовый адрес не внесен в этот список, то письмо от него не пройдет. Казалось бы, все хорошо, не будет ни спама, ни шифровальщиков. Но и этот метод не является гарантированным способом защиты.
Возникает вопрос - а как же от этого вообще можно защититься? Способы-то есть? Или все так грустно, что защититься можно только одним способом - не выходить в интернет вообще? Не выходить в интернет вообще - это, безусловно, рабочий вариант. Точно никакую вирусню не поймаешь. Но он какой-то совсем грустный, этот вариант.
Так что для тех, кому изоляция от интернета не подходит, можно использовать проверенный, надежный, и не слишком сложный способ защиты от шифровальщиков. Называется он - ограничение прав пользователей. Заключается он в том, что составляется список программных продуктов, которые конкретный пользователь может запускать на своем компьютере. А все, что в список не вошло - заблокировано. Такой метод работает надежнее, чем "лежачий полицейский" на дороге.
Бухгалтер вполне может открывать хоть "акты сверки", хоть "закрывающие документы", содержащие шифровальщиков - в списке разрешенных на запуск программ этих вредоносов не будет, и они просто не запустятся. Реализовать такую систему защиты можно разными способами. Например, с использованием некоторых антивирусных пакетов, в состав которых входят соответствующие модули.
Итого, способ защититься есть, остается только им воспользоваться. Безусловно, в этом способе тоже есть нюансы. Например, выясняется, что у какого-то пользователя забыли что-то включить в список разрешенных программ, а ему это суперсрочно понадобилось. Да, так бывает. И это не так страшно, как разгребать последствия работы шифровальщика. Или, например, есть в компании сотрудники, которые считают себя супер-продвинутыми пользователями, которые сами знают о том, какие письма им можно открывать, а какие - нельзя. Как показывает практика, рано или поздно, но на каждого такого супер-опытного пользователя находится более опытный создатель шифровальщика. Так что это отнесем к организационным моментам взаимодействия руководства компании с такими супер-пользователями.
Что делать, если все же заразились
Безусловно, надо рассмотреть и тот самый случай, когда шифровальщик все же проник в систему. Что делать? Паника, страх. А иногда и слезы. Все это не помогает.
Помогает резервная копия. Мы уже писали про резервное копирование. Здесь же мы акцентируем внимание только на одном моменте - система резервного копирования должна быть настроена так, чтобы шифровальщик, приникнув в сеть, не смог проникнуть в систему резервного копирования. Это принципиальный момент. И опытные системные администраторы знают, как это сделать. Не так давно по телеканалам и на разных ресурсах в интернете выступало большое количество "экспертов", которые рекомендовали подключать к компьютерам переносные диски и хранить на этих переносных дисках копии своих данных. Рекомендация очень и очень правильная. Копии хранить надо. Но в рекомендации ни один "эксперт", которого мы наблюдали, не сказал одной простой вещи - диск надо подключать только на время копирования на него данных. А потом сразу отключать. Если поймать шифровальщика в то время, когда диск будет подключен к компьютеру - шифровальщик и его тоже обработает. И ценность этих резервных копий будет нулевая.
Проверьте в общедоступных источниках, возможно, заразивший вас вирус – старый и для него уже есть утилиты для дешифровки или патчи, закрывающие дыры, через которые проникает вирус. Далеко не факт что этот вариант сработает, но попробовать стоит.
Что же делать, если нет ни резервной копии, ни возможности провести дешифровку данных? Может, уже пришла пора для "паники, страха и слез?". Пока еще нет.
Надо оценить масштабы катастрофы - понять, что же пропало? Насколько проблематично восстановить эти данные? Были ли эти данные, хотя бы частично, сохранены в каких-то других своих версиях? Может быть, неделю назад 1С-ную базу отдавали 1С-никам, чтобы они в ней сделали какие-то настройки?
Ну что, испробовали все варианты, объем потерь приличный, восстановить за приемлемое время не получится. Начинают приходить мысли: "а может уже стоит заплатить и нам все вернут?". Как бы это не звучало печально - может быть и вернут. А может быть и не вернут. И здесь как повезет - иногда данные после оплаты восстанавливаются, иногда - нет. Статистика примерно 50 на 50.
Итого - самый надежный способ избежать граблей, связанных с шифрованием корпоративных данных - наличие выстроенной системы ограничений для пользователей и наличие правильно построенной системы резервного копирования бизнес-критичных данных.
GLOS IT
31.01.2018
