06 июня 2017
Рекомендации по защите:
вирусы-шифровальщики
Общая информация об угрозе
Вирусы-шифровальщики представляют собой семейство троянских программ (Trojan.Encoder), которые зашифровывают файлы на жестких дисках персональных компьютеров пользователей, внешних жестких дисках и usb-накопителях, сетевых дисках, облачных хранилищах, web-сайтах, web-серверах — в зависимости от своего механизма действия и от настроек того окружения, в которое попала троянская программа. Шифрованию могут подвергаться отдельные файлы или целые разделы жестких дисков. Чаще всего шифруются изображения, офисные документы и архивы, аудио- и видеофайлы, файлы базы данных 1С.
Шифровальщики подразделяются на те, которым для начала работы необходима связь с командным центром (то есть доступ в Интернет), и на те, которые могут работать в оффлайн режиме. Связь с командным центром может осуществляться для выработки ключей шифрования или передачи информации для последующей расшифровки файлов жертвы.
Содержимое файлов шифруется с помощью симметричных алгоритмов, а ключ шифрования защищается асимметричным алгоритмом. Это значит, что для расшифровки файлов нужен ключ, которым владеет только злоумышленник. Используемые шифровальщиком алгоритмы шифрования могут быть самыми разными: DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES (Rijndael), ГОСТ 28 147–89, IDEA, Tea, CAST-128, CAST-256, ICE, Twofish, Serpent, MARS, MISTY1 и др.
Рекомендации по защите
- Антивирусное ПО эффективно выявляет известные виды шифровальщиков. В предотвращении заражения могут помочь такие функции антивируса, как проверка происхождения файлов, эвристический анализ, использование «песочницы» для неизвестных исполняемых файлов.
- Регулярная установка обновлений безопасности не только операционной системы, но и прикладных программ, может предотвратить заражение. Известны случаи распространения шифровальщиков посредством уязвимостей в системном и прикладном ПО.
- Не рекомендуется монтировать сетевые диски и директории с файлами резервного копирования в файловую систему. Прозрачный доступ к удаленным и съемным хранилищам делает их уязвимыми перед угрозой шифрования.
- Современные IPS/IDS умеют выявлять и блокировать в сетевом трафике как самих шифровальщиков, так и их обращения к командным центрам.
- Создание резервных копий защищаемых данных поможет восстановиться в случае успешной атаки шифровальщика.
- Использовать политик ограниченного использования программ поможет предотвратить запуск вирусной программы на исполнение. Software Restriction Policies (SRP) предоставляют возможность разрешать или запрещать запуск исполняемых файлов с помощью локальной или доменной политики безопасности.
- К наиболее кардинальным мерам относятся создание замкнутой программной среды и выборочное предоставление приложениям возможности доступа в Интернет. Грамотная реализация этих мер сведет к минимуму риск заражения вирусами (не только шифровальщиками). Стоит учитывать, что такие меры существенно затрудняют эксплуатацию информационной системы.
Действия в случае инцидента
Первое, что следует предпринять — это остановка процесса шифрования и изоляция зараженных узлов сети. Прервать процесс шифрования можно просто отключив питание компьютера. Изоляция зараженных узлов позволит избежать распространения вируса по сети, взаимодействия вируса с командным центром, шифрования удаленных хранилищ, смонтированных в файловые системы зараженных узлов.
Следует определить, какой именно шифровальщик атаковал информационную систему. Сканирование антивирусным ПО рекомендуется производить не из-под зараженной операционной системы. Лучше загрузиться с live-cd или подключить жесткий диск к другому компьютеру. Имеет смысл поискать информацию о вирусе в базах производителей антивирусов. Некоторые шифровальщики содержат ошибки в реализации, которые позволяют создать утилиты для расшифровки файлов. Ссылки на такие утилиты есть в базах вендоров антивирусного ПО.
Рекомендуется определить путь проникновения и механизм распространения шифровальщика, чтобы очертить контур узлов сети, которые возможно подверглись заражению. Также следует учитывать, что антивирусные продукты могут не выявлять некоторые типы вредоносного ПО. В некоторых случаях имеет смысл использовать комбинацию из двух антивирусных программ. Существуют специальные средства защиты информации, которые позволяют использовать для выявления вредоносных программ сразу несколько антивирусных ядер.
Большая часть вирусов-шифровальщиков будет пытаться удалять любые теневые копии, которые будут обнаружены. Иногда, по разным причинам, им не удается это сделать. В этом случае после удаления вируса из системы можно попытаться восстановить зашифрованные файлы из теневых копий.
Мы категорически не рекомендуем идти на поводу у злоумышленников и выполнять их требования. Следует понимать, что плата злоумышленникам за расшифровку файлов ничего не гарантирует. Известны случаи, когда после оплаты данные восстанавливали частично, либо вообще не восстанавливали.
Другие публикации по теме