Защита от программ-вымогателей

Дата: 16.02.2021. Автор: Владимир Безмалый. Категории: Блоги экспертов по информационной безопасности
Защита от программ-вымогателей

Что такое программа-вымогатель?

Программы-вымогатели — это тип вредоносных программ, которые злоумышленники используют для заражения компьютеров и шифрования компьютерных файлов до уплаты выкупа. После первоначального заражения программа-вымогатель попытается распространиться на подключенные системы, включая общие накопители и другие доступные компьютеры.

Если требования злоумышленника о выкупе не выполняются (т. е. если жертва не платит выкуп), файлы или зашифрованные данные обычно остаются зашифрованными и недоступными для жертвы. Даже после выплаты выкупа за разблокировку зашифрованных файлов злоумышленники иногда требуют дополнительных платежей, удаляют данные жертвы, отказываются расшифровать данные или отказываются предоставить рабочий ключ дешифрования для восстановления доступа жертвы.

Как работает программа-вымогатель?

Программа-вымогатель идентифицирует диски в зараженной системе и начинает шифровать файлы на каждом диске. Вымогатели обычно добавляет расширение к зашифрованным файлам, такие как.aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault, или .petya, чтобы показать , что файлы были зашифрованы-расширение файла используется уникальное для вымогателей типа.

После завершения шифрования файлов программа-вымогатель создает и отображает файл или файлы, содержащие инструкции о том, как жертва может заплатить выкуп. Если жертва платит выкуп, злоумышленник может предоставить криптографический ключ, который жертва может использовать для разблокировки файлов, делая их доступными.

Примечание. Учтите, что выплата выкупа не гарантирует получение ключа дешифрования. Более того, даже получение ключа дешифрования не гарантирует правильную расшифровку данных. Бывало уже, что зашифрованные файлы не могли быть расшифрованы ввиду ошибок алгоритма зашифрования (расшифрования).

Как доставляется программа-вымогатель?

Программы-вымогатели обычно доставляются через фишинговые электронные письма или через «автоматические загрузки». Фишинговые электронные письма часто выглядят так, как если бы они были отправлены законной организацией или кем-то, известным жертве, и побуждают пользователя щелкнуть вредоносную ссылку или открыть вредоносное вложение. «Попутная загрузка» — это программа, которая автоматически загружается из Интернета без согласия пользователя или часто без его ведома. Возможно, вредоносный код запустится после загрузки без вмешательства пользователя. После запуска вредоносного кода компьютер заражается программой-вымогателем.

Как защитить свои данные и сети?

  • Сделайте резервную копию вашего компьютера. Регулярно выполняйте резервное копирование своей системы и других важных файлов и регулярно проверяйте свои резервные копии. Если ваш компьютер заражен программой-вымогателем, вы можете восстановить систему до ее предыдущего состояния с помощью резервных копий.
    Примечание. Вероятно, это самый простой совет. Надеюсь, вы делаете резервные копии регулярно?
  • Храните резервные копии отдельно. Лучше всего хранить резервные копии на отдельном устройстве, к которому нельзя получить доступ по сети, например на внешнем жестком диске. После завершения резервного копирования обязательно отключите внешний жесткий диск или отключите устройство от сети или компьютера.
  • Обучите свою организацию. Организации должны обеспечить обучение своего персонала по вопросам кибербезопасности. В идеале организации должны проводить регулярные обязательные тренинги по повышению осведомленности о кибербезопасности, чтобы их персонал был проинформирован о текущих угрозах кибербезопасности и методах злоумышленников. Чтобы повысить осведомленность сотрудников, организации могут тестировать свой персонал с помощью оценок фишинга, имитирующих реальные фишинговые электронные письма.

Что я могу сделать, чтобы предотвратить заражение программами-вымогателями?

  • Обновите ваш компьютер. Убедитесь, что ваши приложения и операционные системы (ОС) обновлены. Уязвимые приложения и ОС являются целью большинства атак программ-вымогателей.
  • Будьте осторожны со ссылками и при вводе адресов веб-сайтов. Будьте осторожны, нажимая прямо на ссылки в электронных письмах, даже если отправителем оказывается кто-то из ваших знакомых. Попытайтесь самостоятельно проверить адреса веб-сайтов (например, обратитесь в службу поддержки вашей организации, поищите в Интернете веб-сайт организации-отправителя или тему, указанную в электронном письме). Обратите внимание на адреса веб-сайтов, на которые вы нажимаете, а также на те, которые вы вводите сами. Адреса вредоносных веб-сайтов часто выглядят почти идентичными законным сайтам, часто с небольшими вариациями в написании или с другим доменом (например, .com вместо .net).
  • Осторожно открывайте вложения электронной почты. С осторожностью открывайте вложения электронной почты даже от отправителей, которых вы думаете, что знаете, особенно если вложения представляют собой сжатые файлы.
  • Храните вашу личную информацию в безопасности. Прежде чем предоставлять информацию, проверьте безопасность веб-сайта.
  • Проверьте отправителей электронной почты. Если вы не уверены, является ли электронное письмо законным, попробуйте проверить его легитимность, связавшись напрямую с отправителем. Не переходите по ссылкам в письме. Если возможно, используйте для связи другой канал (телефон, мессенджер и т.д.).
  • Проинформируйте себя. Будьте в курсе последних угроз кибербезопасности и новейших методов вымогательства.
  • Используйте и поддерживайте профилактические программы. Установите антивирусное программное обеспечение, брандмауэры и фильтры электронной почты и постоянно обновляйте их, чтобы уменьшить вредоносный сетевой трафик.

Как реагировать на заражение программой-вымогателем?

  • Изолируйте зараженную систему. Удалите зараженную систему из всех сетей и отключите на компьютере беспроводную связь, Bluetooth и любые другие потенциальные сетевые возможности. Убедитесь, что все общие и сетевые диски отключены, будь то проводные или беспроводные. 
  • Выключите другие компьютеры и устройства. Выключите и отделите (т. Е. Удалите из сети) зараженный компьютер (ы). Отключите и отделите любые другие компьютеры или устройства, которые совместно используют сеть с зараженными компьютерами, которые не были полностью зашифрованы программой-вымогателем. Если возможно, соберите и обезопасьте все зараженные и потенциально зараженные компьютеры и устройства в центральном хранилище, четко пометив все компьютеры, которые были зашифрованы.
  • Защитите свои резервные копии. Убедитесь, что данные резервного копирования находятся в автономном режиме и в безопасности. Если возможно, просканируйте данные резервной копии с помощью антивирусной программы, чтобы убедиться, что они не содержат вредоносных программ.

Источник — Блог Владимира Безмалого «Быть, а не казаться. О безопасности и не только».

Владимир Безмалый

Об авторе Владимир Безмалый

Данный блог посвящен информационной безопасности и информационнм технологиям.
Читать все записи автора Владимир Безмалый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *