Вирусы-шифровальщики: платить нельзя расшифровать

Трояны-шифровальщики могут больно ударить по бизнесу, но согласитесь, глупо обвинять преступников, если сам оказался слаб. После драки кулаками не машут и вместо того, чтобы искать способы дешифровки заражённых файлов, лучше заранее подготовиться и отрепетировать возможные атаки на сеть предприятия.

Опрометчиво так же будет слепо полагаться на антивирусы. Исправно функционирующий и годами защищающий нерадивых пользователей от заражения, ваш любимый антивирусный продукт может внезапно проморгать атаку Zero-day со всеми вытекающими последствиями.

Британская компания Sophos специализирующаяся на антивирусных решениях провела недавно исследование в ходе которого были опрошены 5000 ИТ-менеджеров из 26 стран (500 из США и 200 из Великобритании) в различных секторах и размерах компаний от 100 до 5000 сотрудников. Выяснилось, что компании-жертвы, решившие заплатить выкуп злоумышленникам получают свои данные назад целыми и невредимыми в 94% случаев. Отчаянный шаг — пойти на сделку с вымогателями объясняется рядом причин: публичной оглаской, высоким процентом риска от простоя бизнеса, вмешательством в дела компании внешних силовых структур в случае обращения пострадавшей стороны за помощью. Злоумышленники же со своей стороны заботливо поддерживают свой имидж возвращая доступ к данным после оплаты. Тем самым внедряя в умы будущих жертв тезис — лучше заплатить, чем пытаться вернуть данные самостоятельно.

Шеф, всё пропало! Все файлы зашифрованы!

Не имеет значения, насколько велика ваша организация, в какой стране она находится, какой сектор бизнеса она занимает, находятся под угрозой абсолютно все! Безобидный клик на почтовом вложении или по новостной ссылке может обернуться огромной бедой для компании.

По иронии судьбы, несмотря на то, что организации ужесточают меры безопасности для уменьшения атак они все же случаются. Это происходит из-за таргетирования злоумышленников на конкретную жертву: изучения и использования уязвимостей отдельно взятой сети предприятия путём атак с нескольких «направлений».

В целом, исследование показало, что хотя вредоносная загрузка файлов или ссылок по-прежнему представляла наибольшую опасность (29% успешных атак), другие методы, такие как удаленные атаки на серверы (21%), незащищенный протокол удаленного рабочего стола (9%), внешние поставщики (9%) и зараженные USB-накопители (7%) также были популярны.

Облачные репозитории не являются панацеей и тоже находятся под угрозой.

 

Не платите выкуп

Важно отметить, что выплата выкупа стоит дороже, чем восстановление данных с использованием резервных копий.

Некоторые могут указать на то, что простой бизнеса часто называют самой дорогой частью атаки вымогателей, но суммы запрашиваемые преступниками за расшифровку файлов могут достигать стоимости сервера на котором они были зашифрованы.

Гораздо проще позаботиться о хранении резервных копий в безопасных местах, усилению защиты специализированными утилитами следящими за попыткой шифрования данных, провести беседу с сотрудниками на предмет кибер-безопасности, чем тратить деньги на дешифровку данных или выкуп преступникам.

 

Что делать

Конечно, полностью защититься от атаки невозможно, но любому грамотному ИТ-специалисту вполне по силам свести её последствия к минимуму.

Что можно предпринять:

  • Составьте и протестируйте план резервного копирования , в том числе храните данные в тех местах, где злоумышленники не смогут найти его (удалённые FTP серверы, облачные хранилища).
  • Используйте специальную защиту от вымогателей . Программы защиты от шифровальщиков такие как Kaspersky Antiransom Tool for Business или Malwarebytes Anti-Ransomware for Business (доступна так же бесплатная beta версия) — будут хорошим дополнением к уже имеющейся антивирусной защите.
  • Блокировка протокола удаленного рабочего стола (RDP) . Преступники используют слабые учетные данные RDP для запуска целевых атак вымогателей. Отключите RDP, если вам это не нужно, и используйте ограничение скорости, двухфакторную аутентификацию (2FA) или виртуальную частную сеть (VPN), если вам необходим удалённый рабочий стол.
  • Выбирайте надежные пароли и используйте многофакторную аутентификацию как можно чаще . И никогда не используйте пароли повторно.
  • Не забывайте вовремя обновлять операционные как клиентские, так и серверные. Такие вымогатели, как WannaCry и NotPetya, полагались на уязвимости в программном коде Windows.