Всем приветы, в комментариях как-то спрашивали «как защитить свои данные от потери»? Речь шла про антивирусы. В первую очередь вопрос актуален для вирусов-шифровальщиков. Я хоть и не из безопасников, но давайте разбираться в теме.
Антивирус.
Главный вопрос от многих, кто беспокоится о защите от вирусов-шифровальщиков и им подобных - какой антивирус использовать?
Дело в том, что антивирус не является панацеей. Никакой антивирус. Чем сильнее накручиваете защиту, тем сильнее падает юзабилити системы. За последние год было много громких случаев, когда шифровали целые предприятия – многих затронул случай, когда прилегла огромная логистическая компания в РФ. Или же, многие пользователи одного облачного сервиса, неожиданно не смогли попасть на свои удаленные виртуальные сервера. Потом, конечно, сервисы эти восстановили, но инцидентов таких меньше не становится. Вы же прекрасно понимаете, что в компаниях с миллиардными оборотами в большинстве своём стоят антивирусы и даже целые отделы безопасности работают, а зачастую еще и внешний аудит от спецконтор инфобеза заказывается, дабы подсветить дыры и проблемы. Так вот, я всё веду к тому, что идеального антивируса, который бы спас вас от этой напасти нет. Если бы такой рецепт существовал, большинство бы уже использовало сей замечательный метод. Ну классно же – «выпил таблетку» и все недуги ушли.
Это не значит, что антивирус не поможет! Он нужен! Его использование однозначно митигирует часть ваших рисков! Но зачастую, антивирус тоже не в состоянии отловить процесс шифровальщика. Более того – атаки становятся изощреннее и умнее.
Если не считать бытовые случаи с битлокерами, в первый раз я столкнулся с шифровальщиками по весне 2017 года. Тогда на весь мир прогремели вирусы WannaCry и Петя. Распространялись они за счет существования уязвимостей протокола SMBv1, а чтобы защититься, его во-первых стали массово отключать, а во-вторых накатывать оперативно выставленные майками патчи. Вот и сидели мы три дня и три ночи, патчили тысячи серверов пачками, спали на клавиатуре и радовались, что успели. Нас тогда не зацепило, а вот многие компании сильно пострадали – встали колом ИТ системы большого количества больниц, останавливались заводы и банки, логистические компании. Ущерб был колоссальный. Кто-то платил выкуп, кто-то восстанавливал системы из бэкапов.
Сейчас, когда всплывают новости о шифровальщиках, оказывается, что атака шла долгое время – злоумышленники тем или иным способом получали доступ в инфру, изучали её и только потом в час Х начинали свои злодеяния. Информация нет-нет, а всплывала на профильных площадках типа хабра или телеграмм чатах системных администраторов.
Если говорить об антивирусах, то можно долго искать в сети сравнения, рейтинги, скоринги. Топами в РФ сегменте я бы назвал Касперского и стандартный Защитник от Windows. Антивирус является лишь одним из барьеров, которые приходится преодолевать вредоносному ПО.
Я для себя определил следующий подход: есть деньги и довольно мощный компьютер – можно купить лицуху касперского. Нет денег? Ну можно и штатным антивирусом пользоваться. Главное не отключайте его бездумно, когда он начинает ругаться на подозрительный файл (это одна из самых распространенных ошибок😊 ) . Обычно это вж-ж-ж антивируса неспроста.
Поведенческий анализ
Существует еще и такой механизм. Он используется и в антивирусах и представляется в рамках отдельного софта. Эффективность каждого из них тяжело оценить (мы же помним про примеры шифровки огромных инфраструктур). Однако, если вкратце описать механизм – используется либо промежуточная изолированная песочница, либо как в случае у Касперского или Кибер Бэкапа , есть процесс, который следит за активностью других процессов. Он может даже дать зашифровать какой-то файл, после чего прибьет шифровальщика или отправит его в карантин «до выяснения обстоятельств».
Стандартные правила ИТ-гигиены
Как и в случае с защитой от обычных, живых вирусов, необходимо соблюдать гигиену. Ведь именно превентивные меры могут сильно снизить риск заражения – мыть руки и пользоваться антисептиком никогда лишним не будет. Поговаривали, что во времена ковида сильно снизился процент заболеваний ЖКТ – оказывается достаточно было научить людей мыть руки с мылом 😊
На многих предприятиях регулярно проводятся тренинги по инфобезу. Они касаются не только шифровальщиков. Правила ниже очень простые и давно всем известны, но еще раз проговорим их:
1. Не переходим по непонятным ссылкам. Часто они подаются под видом каких-то «розыгрышей миллиона» или бесплатной раздачи условной игровой валюты. Фишинг никто не отменял, а с учетом того, что у каждого второго на телефоне телега и банковские приложения, ваш баланс может сильно пострадать.
2. Не ставьте софт из непроверенных источников. Да-да, я понимаю ситуацию в стране и то, что приходится порой пользоваться альтернативными площадками, т.к. многие вендоры нас забанили. Важно помнить, что не всегда антивирус запищит на явную паль.
3. Не храните пароли в открытом доступе и не используйте очень простые пароли формата qwerty123. Никогда их никому не сообщайте. Под открытым доступом я понимаю не только бумажку, которую можно взять со стола, но и текстовый файлик password.txt на рабочем столе. Если вы узнали себя в этом абзаце – идите и посмотрите на менеджеры паролей. Всякие keepass и password safe вам в помощь. Не откладывайте.
4. Если вам пришло письмо на электронку, проверьте еще раз адресата. Например, что «файл квитанции» действительно от газпрома, а не от gaspr0mmma. Кстати, шифровальщики часто пришиты ко всяким pdf, word и прочим файлам. Так что, открывая очередную платежку от контрагента, может оказаться, что вы уже на крючке. Пока вы работаете, а компьютер немного «подтупливает», ваши данные уже портятся вредоносом.
5. Разделяйте вашу информационную среду – отделяйте рабочее от личного. В идеале, если вы видите что-то подозрительное, то лучше предварительно проверить это в закрытом изолированном контуре. Не стоит открывать файл crack_cheat_money_for_minecraft на компе, где у вас банковские приложения и все соцсети. В идеале еще, чтобы и сетевые контуры были раздельные и фаерволы конкретно настроены. Но это встречается не так часто, как хотелось бы.
6. Обновления софта. Как бы скептически многие не относились к обновлению той же винды, но регулярно они закрывают множество vulnerabilities, тем самым повышая безопасность вашей системы. Нет, я не призываю бездумно и бесстрашно накатывать последние релизы от майков, но периодически обновлять систему всё же необходимо. Кто-то это делает раз в месяц, кто-то раз в квартал. Чем дольше вы не обновляли систему, тем больше известных уязвимостей на ней остается.
Этих правил сильно больше. Всем известно, что не стоит общаться с неизвестными номерами, никогда не переводить деньги «на безопасные счета» и всё равно из месяца в месяц мы слушаем громкие истории о том, как кого-то развели на миллионы рублей.
Многие просто пренебрегают основами ИТ гигиены или у них притупляется бдительность. А потом, под девизом «да всё там нормально, я миллион раз так делал», совершается роковая ошибка. Из совсем свежего и недавнего – рекордный скам в криптовалюте, когда с биржи bybit увели крипты больше чем на миллиард баксов. Сотрудник подписал искаженную транзакцию и деньги уплыли якобы к северокорейским хакерам, а не на горячий кошелек биржи.
Так что все эти ошибки совершают не только простые люди, но и специально обученные сотрудники. Принцип «со мной такого никогда не случится» не работает.
Крупные компании часто обрабатывают точечно и шифровальщик лишь один из плохих сценариев. Утечка и компрометация коммерческих данных может быть самоцелью. От такого защищаться сложно и статья далеко не об этом – это хлеб ИБшников. Обычные же люди окучиваются веером – ищутся пользователи, «не моющие руки перед едой».
Ну да мы отвлеклись.
А что делать, если вас уже зашифровали?
А как правило что-то делать уже поздно. Тут как в анекдоте – даже если вас съели, у вас есть два выхода.
Выход первый – заплатить «выкуп», если этого требует шифровальщик и получить дешифратор. Гарантий, что так вы решите свою проблему нет, да и требуемая сумма может быть внушительной.
Выход второй – восстанавливаться из резервных копий. Если их нет, то придется начать жизнь с чистого листа.
Да, можно попробовать расшифроваться каким-нибудь Kaspersky RectorDecryptor или аналогами, но они помогут далеко не ото всего. Некоторые старые вирусы не шифровали все данные целиком (это довольно ресурсоемкий процесс), а просто «били» часть файлов путем дописывания или изменения в начале или конце небольшого объема информации. Как результат – вместо цельного файла у вас получалась каша. Такие проблемы еще как-то решаются. Когда же вы сталкиваетесь с «более взрослой историей», то не зная ключей шифрования, вы ничего не сделаете с вашими испорченными данными.
Резервное копирование
Старая админская шутка. Существует три типа людей:
1. Те, кто еще не делает бэкапы.
2. Те, кто уже делает
3. Те кто регулярно проверяет восстановление из сделанных бэкапов.
Самый лучший способ защитить свои данные – делать резервные копии. И я сейчас не только о копировании на флешку, но и о более взрослых решениях. Одно из золотых правил СРК называется 3-2-1:
Мы храним не менее 3 копий одного файла на двух разных типах носителей, причем 1 копия лежит в стороне – так называемая отчуждаемая копия.
Не стоит брезговать и облачными сервисами (тут палка о двух концах, публичные облака с точки зрения информационной безопасности – отдельная песня). Но тем не менее, если у вас на диске ваши фотки за 15 лет, а не коммерческие подробности многомиллиардного контракта, то не будет лишним пользоваться каким-нибудь яндекс диском с автоматической репликацией нужных папок.
Если у вас есть сервер, то можно рассмотреть сценарии разворота какой-либо системы резервного копирования, например Veeam - комьюнити версия вроде бы осталась бесплатно.
Опять же, упомянутый выше кибер бэкап в версии «персональный» можно приобрести с облачным репозиторием для хранения ваших копий – подписка там стоила каких-то вменяемых денег. В случае инцидента есть шанс, что вы обойдетесь без потерь.
Но увы, не всегда и СРК является панацеей. Как я и писал выше, бывают сценарии, когда вирус выжидает какое-то время, заранее портя данные и проявляясь во время Ч.
Потом вы вроде бы восстановились из копии, а через несколько часов вернулись к разбитому корыту. Это происходит из-за того, что в бэкап попали УЖЕ испорченные данные. И тут мы подходим к долгосрочному хранению отчуждаемых копий, WORM носителям и так далее. Как-нибудь запилю на эту тему цикл постов, если это покажется кому-то интересным.
Как вы понимаете, это всё не самое дешевое удовольствие, но моральное спокойствие стоит дороже.
Пожалуй на этом на сегодня всё, побегу по своим делам.
Мойте руки, не ходите по паленым ссылкам и помните, что предотвратить проактивно некоторые вещи сильно проще, чем расхлёбывать их последствия.
С вами сегодня был СтасонычЪ. Подписывайтесь на телегу и пишите в комментариях 😊
Поддержать канал можно тут
