Всем привет уважаемые друзья и читатели. На связи Руслан Мифтахов, автор этого блога, кто не знает.
В этой статье я бы хотел обсудить нашумевшую тему о вирусной атаке по всему миру, которая началась в пятницу 12 мая этого года. Также дать несколько советов как защититься от вируса шифровальщика и спасти свои важные данные на компьютере.
Если вы читаете мой блог, то знаете, что я занимаюсь ремонтом компьютеров. Это больше мое хобби, чем работа. Так вот насколько я помню до 2013 года распространены были вирусы блокираторы.
При загрузке системы выскакивало сообщение со всякой угрожающей надписью, иногда с порно картинками. У меня даже несколько фото таких блокировщиков осталось. Вот одно из них.
Несколько клиентов мне признавались, что платили деньги мошенникам, и в итоге вызывали мастера, чтобы убрать этот вирус. Одна даже три раза по 500 рублей платила в разных терминалах, думая что в другом наверняка код разблокировки напечатается. В итоге вызвала меня и я удалил этот вирус за 5-10 минут.
Где-то в 2013 году я впервые столкнулся в нашем городе с вирусом шифровальщиком, когда начали поступать заявки такого рода наподобие wannacry. Например вот такой вирус под названием эбола, который я сфоткал на память.
Конечно сам вирус не составляло труда удалить с компа, а вот зашифрованные данные расшифровать не получилось, тут мог помочь только подходящий дешифратор.
Принцип действия вируса
Вирус в основном распространяется через электронную почту. Приходит письмо с темой от МВД России или же решение суда или с налоговой, в общем играют на любопытстве пользователя, чтобы тот открыл письмо. А в том письме прикреплен файл, тот самый вирус шифровальщик.
После проникновения на ПК вирус начинает шифровать все фото, видео, документы. Файлы на компе как бы есть, но их не возможно открыть. Вот такая вот беда, а чтобы расшифровать данные мошенники просят за это 15-20 тысяч рублей.
Конечно, если файлы имеют свою ценность и копий нет, пользователь идет на сделку с мошенниками. Таких случаев я не слышал, никто не любит говорить, что он стал жертвой мошенников.
Даже вызывали в одно дом управление, где я наблюдал такую картину.
По словам бухгалтера, пришло письмо на электронную почту с темой от администрации. Открыв которое, в прикрепленных файлах был якобы важный документ, который нужно открыть и прочесть. Ну а дальше сами все понимаете, открыв этот файл, запускается вирус и шифрует все что не попадя на компьютере.
И это все перед проверкой налоговой, то ли это совпадение, то ли была на то причина;)
Почему люди платят мошенникам?
Тут играет тонкая психология, в случае с вирусом блокировщиком выходили непристойные картинки с надписью, что вы лазили по не пристойным сайтам и храните фото с детской порнографией, а это карается законом статья такая-то. Кто-то верил в эту чушь и платил, а кто-то просто не хотел чтобы видели это его родственники и платили, надеявшись, что блокиратор исчезнет после оплаты. Ага наивные.
В случае с вирусом wanna cry мошенники рассчитывают, что зашифрованные файлы будут пользователю очень нужны и важны и он заплатит. Но тут сумма уже не 500-1000 рублей, как в первом случае. И наверное мошенники нацелены на более крупную дичь.
Сами подумайте какой среднестатистический пользователь будет платить 500 долларов за утерянный семейный фото видео архив или за курсовую или дипломную работу.
Тут скорее цель крупные компании и госкорпорации, что и случилось с Мегафоном, Билайн и рядом других. Как думаете заплатят они 500 баксов за восстановление своей базы?
Заплатят, если нет конечно копии. Если есть копия, тут вопросов нет, сносится все и ставится заново резервная копия. Потеряют 2, 3 часа, но зато все будет работать как и работало.
Как предостеречься от шифровальщика
- Первое что нужно — это делать и важных данных. Я рекомендую иметь не меньше трёх копий на разных носителях. Копируйте на флешку, на внешний жёсткий диск, держите копию в облаке Майл, Яндекс диск или других сервисах облачного хранения.
- Регулярно обновляйте вручную операционную систему. Даже если виндовс не был обновлен, антивирус нод32 детектирует и заблокирует WannaCry и его модификации.
- Быть бдительным и не открывать подозрительные письма, для этого конечно нужен опыт, чтобы чувствовать какие письма нельзя открывать.
- Обязательно должен стоять антивирус с действующей лицензией с постоянно обновляемой базой данных. Я рекомендую антивирус Eset Nod 32 Smart Security.
Чтобы приобрести со скидкой антивирус переходите по кнопке ниже.
После оплаты удобным для вас способом, на ваш указанный электронный адрес придет лицензионный ключ и ссылка для скачивания антивируса.
Вот эти пункты, если будете соблюдать, то вам никакой вирус даже шифровальщик не страшен. И будете петь как в мультике «три поросенка»: нам не страшен серый волк, страшный волк, старый волк:)
Ну все на этом, я вас предупредил, а предупрежден, значит что? Правильно — вооружен.
Делитесь этой статьей, чтобы ваши друзья, знакомые и родственники не попались в лапы мошенников.
С уважением, Руслан Мифтахов
Под шифровальщиками (криптолокерами) подразумевается семейство вредоносных программ, которые с помощью различных алгоритмов шифрования блокируют доступ пользователей к файлам на компьютере (известны, например, сbf, chipdale, just, foxmail inbox com, watnik91 aol com и др.).
Обычно вирус шифрует популярные типы пользовательских файлов: документы, электронные таблицы, базы данных 1С, любые массивы данных, фотографии и т. д. Расшифровка файлов предлагается за деньги — создатели требуют перечислить определенную сумму, обычно в биткоинах. И в случае, если в организации не принимались должные меры по обеспечению сохранности важной информации, перечисление требуемой суммы злоумышленникам может стать единственным способом восстановить работоспособность компании.
В большинстве случаев вирус распространяется через электронную почту, маскируясь под вполне обычные письма: уведомление из налоговой, акты и договоры, информацию о покупках и т. д. Скачивая и открывая такой файл, пользователь, сам того не понимая, запускает вредоносный код. Вирус последовательно шифрует нужные файлы, а также удаляет исходные экземпляры методами гарантированного уничтожения (чтобы пользователь не смог восстановить недавно удаленные файлы с помощью специальных средств).
Современные шифровальщики
Шифровальщики и прочие вирусы, которые блокируют доступ пользователей к данным, — не новая проблема в информационной безопасности. Первые версии появились еще в 90-х годах, однако они в основном использовали либо «слабое» (нестойкие алгоритмы, малый размер ключа), либо симметричное шифрование (одним ключом шифровались файлы у большого числа жертв, также была возможность восстановить ключ, изучив код вируса), либо вообще придумывали собственные алгоритмы. Современные экземпляры лишены таких недостатков, злоумышленники используют гибридное шифрование: с помощью симметричных алгоритмов содержимое файлов шифруется с очень высокой скоростью, а ключ шифрования шифруется асимметричным алгоритмом. Это значит, что для расшифровки файлов нужен ключ, которым владеет только злоумышленник, в исходном коде программы его не найти. Для примера, CryptoLocker использует алгоритм RSA с длиной ключа в 2048 бит в сочетании с симметричным алгоритмом AES с длиной ключа 256 бит. Данные алгоритмы в настоящее время признаны криптостойкими.
Компьютер заражен вирусом. Что делать?
Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере. Шифрование идет последовательно, скорость зависит от размера шифруемых файлов. Поэтому если вы обнаружили в процессе работы, что привычные файлы и программы перестали корректно открываться, то следует немедленно прекратить работу на компьютере и выключить его. Тем самым вы можете защитить часть файлов от шифрования.
После того, как вы столкнулись с проблемой, первым делом нужно избавиться от самого вируса. Останавливаться подробно на этом не будем, достаточно попытаться вылечить компьютер с помощью антивирусных программ или удалить вирус вручную. Стоит только отметить, что зачастую вирус после завершения алгоритма шифрования самоуничтожается, тем самым затрудняя возможность расшифровки файлов без обращения за помощью к злоумышленникам. В таком случае антивирусная программа может ничего и не обнаружить.
Главный вопрос — как восстановить зашифрованные данные? К сожалению, восстановление файлов после вируса-шифровальщика практически невозможно. По крайней мере, гарантировать полное восстановление данных в случае успешного заражения никто не будет. Многие производители антивирусных средств предлагают свою помощь по дешифровке файлов. Для этого нужно отправить зашифрованный файл и дополнительную информацию (файл с контактами злоумышленников, открытый ключ) через специальные формы, размещенные на сайтах производителей. Есть небольшой шанс, что с конкретным вирусом нашли способ бороться и ваши файлы успешно расшифруют.
Попробуйте воспользоваться утилитами восстановления удаленных файлов. Возможно, вирус не использовал методы гарантированного уничтожения и некоторые файлы удастся восстановить (особенно это может сработать с файлами большого размера, например с файлами в несколько десятков гигабайт). Также есть шанс восстановить файлы из теневых копий. При использовании функций восстановления системы Windows создает снимки («снапшоты»), в которых могут содержаться данные файлов на время создания точки восстановления.
Если были зашифрованы ваши данные в облачных сервисах, обратитесь в техподдержку или изучите возможности сервиса, которым пользуетесь: в большинстве случаев сервисы предоставляют функцию «отката» на предыдущие версии файлов, таким образом, их можно восстановить.
Чего мы настоятельно не рекомендуем делать — идти на поводу у вымогателей и платить за расшифровку. Были случаи, когда люди отдавали деньги, а ключи не получали. Никто не гарантирует, что злоумышленники, получив деньги, действительно вышлют ключ шифрования и вы сможете восстановить файлы.
Как защититься от вируса-шифровальщика. Превентивные меры
Предотвратить опасные последствия легче, чем их исправить:
- Используйте надежные антивирусные средства и регулярно обновляйте антивирусные базы. Звучит банально, но это значительно снизит вероятность успешного внедрения вируса на ваш компьютер.
- Сохраняйте резервные копии ваших данных.
Лучше всего это делать с помощью специализированных средств резервного копирования. Большинство криптолокеров умеют шифровать в том числе и резервные копии, поэтому имеет смысл хранить резервные копии на других компьютерах (например, на серверах) или на отчуждаемых носителях.
Ограничьте права на изменения файлов в папках с резервными копиями, разрешив только дозапись. Помимо последствий шифровальщика, системы резервного копирования нейтрализуют множество других угроз, связанных с потерей данных. Распространение вируса в очередной раз демонстрирует актуальность и важность использования таких систем. Восстановить данные гораздо легче, чем расшифровать!
- Ограничьте программную среду в домене.
Еще одним эффективным способом борьбы является ограничение на запуск некоторых потенциально опасных типов файлов, к примеру, с расширениями.js,.cmd,.bat,.vba,.ps1 и т. д. Это можно сделать при помощи средства AppLocker (в Enterprise-редакциях) или политик SRP централизованно в домене. В сети есть довольно подробные руководства, как это сделать. В большинстве случаев пользователю нет необходимости использовать файлы сценариев, указанные выше, и у шифровальщика будет меньше шансов на успешное внедрение.
- Будьте бдительны.
Внимательность — один из самых эффективных методов предотвращения угрозы. Относитесь подозрительно к каждому письму, полученному от неизвестных лиц. Не торопитесь открывать все вложения, при возникновении сомнений лучше обратитесь с вопросом к администратору.
Александр Власов , старший инженер отдела внедрения систем защиты информации компании «СКБ Контур»
На этот раз мы проверили, как справляются с троянами-шифровальщиками комплексные средства антивирусной защиты. Для этого была сделана подборка ransomware и даже написана отдельная программа, имитирующая действия неизвестного трояна-шифровальщика. Ее сигнатуры точно нет в базах ни одного участника сегодняшнего тестирования. Посмотрим, на что они способны!
WARNING
Статья написана в исследовательских целях. Вся информация в ней носит ознакомительный характер. Все образцы получены из открытых источников и отправлены вирусным аналитикам.
Старые средства от новых угроз
Классические антивирусы мало помогают в защите от троянских программ, шифрующих файлы и требующих выкуп за их расшифровку. Технически такие шифровальщики полностью или почти полностью состоят из легитимных компонентов, каждый из которых не выполняет никаких вредоносных действий сам по себе. Малварь просто объединяет их в цепочку, приводящую к плачевному результату - юзер лишается возможности работать со своими файлами, пока не расшифрует их.
В последнее время появилось много специализированных утилит для защиты от троянов-шифровальщиков. Они либо пытаются выполнять несигнатурный анализ (то есть определять новые версии ransomware по их поведению, репутации файла и другим косвенным признакам), либо просто запрещают любым программам вносить изменения, необходимые для действий шифровальщиков.
В мы убедились, что такие утилиты практически бесполезны. Даже заданные в них максимально жесткие ограничения (при которых уже нельзя нормально работать) не обеспечивают надежный барьер от троянов-вымогателей. Часть заражений эти программы предотвращают, но этим лишь создают у пользователя ложное чувство защищенности. Он становится более беспечным и оказывается жертвой ransomware еще быстрее.
Основная проблема при борьбе с классическими троянами-шифровальщиками состоит в том, что все их действия выполняются только с файлами пользователя и не затрагивают системные компоненты. Пользователю же нельзя запретить изменять и удалять свои файлы. Явных отличительных черт в поведении у качественных представителей ransomware очень мало, либо они отсутствуют вовсе. Сетевое подключение сейчас выполняет большинство программ (хотя бы для проверки обновлений), а функции шифрования встроены даже в текстовые редакторы.
Получается, что для средств превентивной защиты не остается каких-то явных признаков, помогающих отличить очередного трояна-шифровальщика от легитимной программы. Если сигнатуры трояна нет в базах, шанс, что антивирус его обнаружит, очень мал. Эвристический модуль реагирует только на грубые модификации известных шифровальщиков, а поведенческий анализатор обычно не определяет какой-то подозрительной активности вовсе.
Бэкапы бэкапам рознь!
Сегодня тысячи компьютеров заражаются ransomware ежедневно и, как правило, руками самих же пользователей. Антивирусные компании принимают заявки на расшифровку файлов (у своих клиентов - бесплатно), однако и их аналитики не всесильны. Порой данных для успешной дешифровки удается собрать слишком мало или сам алгоритм трояна содержит ошибки, приводящие к невозможности восстановить файлы в исходном виде. Сейчас заявки на расшифровку обрабатываются от двух суток до полугода, и за это время многие из них просто теряют актуальность. Остается искать дополнительные средства защиты, не уповая на антивирусный сканер.
Долгое время универсальной защитой от любых вирусных атак были резервные копии. В случае заражения новой малварью можно было просто восстановить всё из бэкапа, перезаписав зашифрованные файлы их оригинальными версиями и отменив любые нежелательные изменения. Однако современные трояны-шифровальщики научились определять и портить резервные копии тоже. Если настроено их автоматическое создание, то хранилище бэкапов подключено и доступно на запись. Продвинутый троян сканирует все локальные, внешние и сетевые диски, определяет каталог с резервными копиями и шифрует их или удаляет с затиранием свободного места.
Делать же бэкапы вручную слишком утомительно и ненадежно. Ежедневно такую операцию выполнять сложно, а за более длительный срок накопится много актуальных данных, восстановить которые будет неоткуда. Как же быть?
Сегодня большинство разработчиков предлагает, помимо классических антивирусов, комплексные решения для обеспечения безопасности. Теперь, кроме файрвола, IDS и других хорошо знакомых компонентов, они содержат новый - защищенное хранилище резервных копий. В отличие от обычного каталога с бэкапами доступ к нему есть только у самого антивируса и контролируется его драйвером. Внешнее управление каталогом полностью отключено - даже администратор не может открыть или удалить его через файловый менеджер. Посмотрим, насколько хорош такой подход.
Методика тестирования
Для наших экспериментов мы сделали клоны виртуальной машины с чистой Windows 10 и последними наборами исправлений. В каждой из них был установлен свой антивирус. Сразу после обновления баз мы проверяли реакцию антивируса на тестовую подборку и нашу программу-имитатор. В тестовую подборку вошли 15 образцов. Из них 14 представляли собой различные модификации известных троянов-шифровальщиков, а пятнадцатый был трояном-даунлоадером, загружавшим очередного шифровальщика с удаленного сайта.
Все образцы имели расширение.tst независимо от реального формата файла. Специально написанная для этих тестов программа с незамысловатым названием EncryptFiles имитировала типичное поведение трояна-шифровальщика. При запуске с дефолтными параметрами она сразу шифровала содержимое файлов из каталога «Мои документы» безо всяких вопросов. Для наглядности мы сохранили в программе echo-сообщения и поместили в каталог с документами текущего пользователя пару текстовых файлов в кодировке OEM-866, чтобы сразу отображать их содержимое прямо в консоли. В одном файле были цитаты из произведений Стругацких (простой неформатированный текст), а в другом - параметры объективов в виде таблицы (форматированный текст).
После установки и обновления каждого антивируса образцы ransomware копировались в каталог «Загрузки» из сетевой папки, подключенной в режиме «Только чтение». Затем скопированные файлы дополнительно проверялись антивирусом (принудительная проверка по запросу) в настройках по умолчанию. Оставшимся после проверки образцам присваивалось их реальное расширение, после чего они запускались. Если заражения системы не происходило, далее следовала проверка реакции антивируса на программу-имитатор. В случае успешного шифрования файлов мы пытались восстановить их исходные версии средствами антивируса и протоколировали результат.
Kaspersky Total Security
В одну из тестовых виртуалок мы установили Kaspersky Total Security, в котором была обещана «защита от программ-шифровальщиков, предотвращающая порчу файлов вредоносными программами». KTS распознал почти все угрозы уже при попытке скопировать образцы ransomware из сетевой папки.
В каталог «Загрузки» попал только один файл из пятнадцати - nd75150946.tst - это как раз Trojan.Downloader, причем давно известный. При его дополнительной проверке по запросу KTS вновь счел файл безопасным. Сорок пять антивирусных сканеров на VirusTotal с ним не согласились.
Мы открыли этот образец Hex-редактором, чтобы определить его истинное расширение. Знакомый заголовок 50 4B 03 04 и имя другого файла внутри - очевидно, перед нами ZIP-архив. Внутри архива находился подозрительный файл: его иконка соответствовала документу PDF , а расширение при этом было.scr - экранная заставка, то есть это исполняемый код.
При попытке запустить файл с расширением.scr из архива KTS заблокировал его автоматически распакованную копию во временном каталоге пользователя. По результатам облачного анализа через сеть KSN он определил данный файл как неизвестный вредоносный объект и предложил удалить его с перезагрузкой. В данном случае это была избыточная предосторожность, так как троян не получил управления и мог быть удален любым способом, как обычный файл.
Примечательно, что Kaspersky Total Security не учится на своих ошибках. При повторной проверке архива тот снова был признан чистым, хотя распакованный из него файл только что вызвал срабатывание по результатам анализа в KSN.
В начале следующего этапа тестирования мы проверили исходное состояние каталога «Мои документы» и вывели содержимое пары текстовых файлов из него в консоль.
После чего мы открыли модуль «Резервное копирование и восстановление» и забэкапили эти документы в папку Backup прямо на системном разделе. В реальной ситуации стоит выбирать другое расположение (например, внешний диск), но для нашего теста оно роли не играет. Доступ к этой папке в любом случае контролируется средствами KTS, и через стандартный драйвер файловой системы трояны не могут с ней взаимодействовать.
Штатными средствами даже администратор может только посмотреть свойства этой папки. При попытке войти в нее автоматически запускается менеджер бэкапов KTS и просит ввести пароль, если он был задан ранее.
Сам менеджер резервных копий сделан у Касперского очень наглядным. Можно выбрать стандартные каталоги, указать свои или исключить отдельные файлы. Количество файлов каждого типа сразу отображается в окне слева, а их размер - в свойствах справа.
Помимо записи бэкапов на локальные и съемные диски, KTS поддерживает их отправку в Dropbox. Использование облачного хранилища особенно удобно в том случае, если малварь препятствует запуску компьютера и подключению внешних носителей.
Нашу программу-имитатор KTS проигнорировал. Она спокойно зашифровала файлы, превратив их содержимое в абракадабру. Отказ в доступе к подкаталогам «Мои видеозаписи», «Мои рисунки» и «Моя музыка» - недоработка в самой программе, никак не влияющая на ее способность шифровать файлы в %USERPROFILE%Documents .
Если в нашей программе функция дешифровки выполняется просто при запуске с ключом /decrypt , то у троянов она не всегда запускается даже после выполнения требований о выкупе. Единственным достаточно быстрым вариантом восстановления зашифрованных файлов в таком случае остается их перезапись из ранее созданной резервной копии. Буквально в несколько кликов мы выборочно восстановили один из зашифрованных файлов в его исходном расположении. Точно так же можно восстановить один или несколько каталогов целиком.
Dr.Web Security Space
Как и KTS, Dr.Web SS определил 14 из 15 образцов уже при попытке скопировать их в каталог «Загрузки».
Однако в отличие от KTS он все же обнаружил Trojan.Downloader в оставшемся образце после изменения его расширения на ZIP и запуска принудительной проверки.
Большинство настроек Dr.Web SS по умолчанию заблокированы. Чтобы его активировать, надо сначала нажать на пиктограмму замка и ввести пароль, если он был задан.
Резервные копии создаются в Dr.Web SS при помощи инструмента «Защита от потери данных». Настройки доступны минимальные. Можно выбрать для бэкапа стандартные пользовательские каталоги или указать свои, задать одно из выбранных ограничений на объем копий, указать расположение резервных копий и настроить расписание бэкапа. Загрузка в облачные хранилища у Dr.Web SS не поддерживается, поэтому приходится ограничиваться локальными дисками.
Защита каталога с бэкапами у Dr.Web SS более агрессивная, чем у KTS. Администратор даже не может просмотреть его свойства через проводник.
Мы сделали резервные копии документов и приступили ко второй части теста.
Программу-имитатор Dr.Web SS не распознал и никак не воспрепятствовал ее работе. Через долю секунды все файлы были зашифрованы.
Запустив снова «защиту от потери данных», мы восстановили исходные файлы. Однако сохранились они совсем не там, где ожидали.
При указании целевой папки «Мои документы» в ней автоматически создается подкаталог с текущей датой и временем в качестве имени. Уже в него распаковываются из бэкапа сохраненные файлы, причем с восстановлением всех относительных путей. Получается крайне неудобный длинный путь, который запросто может превысить распространенное ограничение в 255 символов.
Norton Security Premium
Помня о Norton Ghost, ставшем эталоном бэкапа еще в девяностых, легко было спрогнозировать появление подобной функциональности в антивирусе от Symantec. Удивительно, что прошло два десятка лет, прежде чем это очевидное решение стало востребованным. Не было бы счастья, да несчастье помогло.
При попытке скопировать каталог с образцами ransomware NSP определил и поместил в карантин 12 из 15 угроз.
Все три оставшихся файла распознаются как вредоносные при анализе на VirusTotal, в том числе два из них - антивирусом от Symantec. Просто настройки по умолчанию сделаны так, что NSP не проверяет при копировании некоторые файлы. Выполняем принудительное сканирование… и NSP обнаруживает еще два трояна в том же каталоге.
Как и предыдущие антивирусы, NSP оставляет троян-даунлоадер в переименованном архиве ZIP. При попытке запустить файл.scr из архива NSP блокирует запуск распакованной копии трояна из временного каталога текущего пользователя. При этом сам архив никак не обрабатывается.
Архив считается чистым даже при его повторном сканировании сразу после того, как был обнаружен распакованный из него троян. Особенно забавно выглядит надпись: «Если, по вашему мнению, еще остались угрозы, нажмите здесь». При клике по ней происходит обновление баз (или не происходит, если они и так свежие).
Удивительно, что некоторые из старых образцов ransomware до сих пор детектируются NSP только эвристическим анализатором и средствами облачной проверки. Похоже, вирусологам Symantec лень поддерживать базы в актуальном состоянии. Их антивирус просто блокирует все подозрительное и ждет реакции пользователя.
Второй этап тестирования проходил традиционно. Мы создали резервные копии файлов из каталога «Мои документы», а затем попытались их зашифровать.
Менеджер резервных копий в NSP сначала порадовал своей логичностью. Он использует классический принцип «Что? Где? Когда?», знакомый еще с досовских времен. Однако в современной версии его омрачает излишняя абстрактность. Вместо прямого перечисления объектов с полными путями и файлов по расширениям используется их виртуальное расположение и условная группировка по типам. Остается догадываться, какие файлы NSP сочтет относящимися к финансовой информации, а какие просто поместит в раздел «Другие».
Дополнительные настройки возможны (например, по ссылке «Добавить или исключить файлы и папки»), однако сделать их весьма непросто. Ради пары файлов (каждый менее килобайта) все равно приходится бэкапить полдерева каталогов и всякий мусор вроде desktop.ini , а мастер резервного копирования предлагает увековечить это на CD-R. Похоже, XXI век наступил не для всех.
С другой стороны, пользователям NSP предоставляется под бэкапы 25 Гбайт в облаке. Чтобы загружать резервные копии туда, достаточно выбрать в качестве целевого расположения «Безопасное сетевое хранилище».
Создав локальный бэкап, мы запустили программу, имитирующую действия трояна-шифровальщика. NSP никак не воспрепятствовал ей и позволил зашифровать файлы.
Их восстановление из резервной копии прошло быстрее и удобнее, чем в Dr.Web SS. Достаточно было подтвердить перезапись, и файлы в исходном виде сразу оказались на прежних местах.
K7 Ultimate Security
Ранее этот продукт от индийской компании K7 Computing назывался Antivirus Plus. С названиями у этого разработчика и сейчас есть небольшая путаница. Например, дистрибутив K7 Total Security не имеет средств резервного копирования. Именно поэтому мы тестировали версию Ultimate - единственную способную делать бэкап.
В отличие от известных в России антивирусов эта разработка была в наших тестах темной лошадкой. Фраза «индийский код» считается ругательством у программистов, и многого мы от него не ждали. Как показали тесты - зря.
K7 Ultimate Security - первый антивирус, который сразу обнаружил все 15 угроз из нашей подборки. Он даже не позволил завершить копирование семплов в каталог «Загрузки» и поудалял бы их прямо в сетевой папке, если бы она не была подключена в режиме «Только чтение».
Оформление у программы камуфляжно-стальное. Видимо, разработчики увлекаются игрой в танки или просто пытаются таким образом вызывать ассоциации с чем-то надежным. Параметры резервного копирования в K7 задаются примерно так же, как и в NSP. Однако в целом интерфейс K7 менее перегружен, и в нем проще добраться до тонких настроек.
На запуск программы-имитатора и шифрование файлов K7 никак не отреагировал. Как всегда, пришлось восстанавливать оригиналы из бэкапа.
Удобно, что при восстановлении можно выбрать отдельные файлы и записать их на прежнее место. Ответив утвердительно на запрос о перезаписи существующего файла, мы восстановили lenses.txt в пару кликов на прежнем месте.
В рамках этого теста про работу K7 больше добавить нечего. Success он и есть success.
Выводы
Несмотря на хорошие результаты тестирования, общие выводы получились неутешительными. Даже полные версии популярных платных антивирусов пропускают некоторые варианты ransomware в настройках по умолчанию. Выборочное сканирование по запросу также не дает гарантии безопасности проверенных файлов. С помощью примитивных трюков (вроде смены расширения) обнаружения избегают и давно известные модификации троянов. Новая же малварь почти всегда проверяется на отсутствие детекта перед выпуском в дикую среду.
Не стоит уповать на поведенческий анализатор, облачную проверку, репутационные характеристики файлов и прочие средства несигнатурного анализа. Какой-то толк от этих методов есть, но весьма небольшой. Даже нашу примитивную программу-имитатор с нулевой репутацией и без цифровой подписи не заблокировал ни один антивирус. Как и многие трояны-шифровальщики, она содержит массу недоработок, однако это не мешает ей беспрепятственно шифровать файлы сразу при запуске.
Автоматическое резервное копирование пользовательских файлов - не следствие прогресса, а вынужденная мера. Она может быть достаточно эффективной только с постоянной защитой хранилища бэкапов средствами самого антивируса. Впрочем, действенной она будет ровно до тех пор, пока антивирус не выгрузят из памяти или не деинсталлируют вовсе. Поэтому всегда стоит делать дополнительные копии на какой-то редко подключаемый носитель или загружать их в облако. Конечно, если ты достаточно доверяешь облачному провайдеру.
Прочитали: 8546 Комментариев: 112 Рейтинг: 292
О троянцах-шифровальщиках мы написали уже немало (им посвящены выпуски рубрики « »). Необходимая мера для сохранности данных от энкодеров – установка антивируса. Необходимая, но недостаточная. 100% защиту от шифровальщиков обещают лишь лже-антивирусы (о которых мы рассказали в выпуске « »).
Не будем затрагивать в этом выпуске очевидные меры защиты – установку обновлений, использование сложных паролей и необходимость работы под ограниченными правами. Поговорим сегодня о том, как сохранить данные от угрозы шифрования, задействуя, помимо антивируса, еще и возможности операционной системы Windows.
- в меню Пуск - Поиск ввести Восстановление и щелкнуть Восстановление системы ;
- в меню Пуск - Поиск или в окне Выполнить (WIN+R) ввести rstrui и нажать клавишу Ввод ;
- в элементе Панели управления Архивация и восстановление щелкнуть Восстановить системные параметры или компьютер , а затем нажать кнопку Запуск восстановления системы ;
- открыть Панель управления - Система - Защита системы и нажать на кнопку Восстановление системы ;
Делайте «бэкапы»
Существует множество вариантов резервного копирования. Но не рекомендуется просто копировать файлы на другой диск или по сети – энкодеры имеют функционал шифрования сетевых папок. Можно, естественно, хранить данные в сети, используя сервисы Google Drive, Dropbox, Flickr, но нужно помнить, что такой метод не гарантирует, что зашифрованные троянцем файлы не сотрут их старые версии. Поэтому выбранная система резервирования данных должна поддерживать возможность хранения версий файлов – как это реализовано, например, в функции «Защита от потери данных» в составе Dr.Web Security Space.
Для настройки параметров Защиты от потери данных кликните по значку в системном меню, затем в открывшемся меню нажмите на и выберите пункт Инструменты . В открывшемся окне перейдите в раздел Защита от потери данных и включите автоматическое создание копий данных, нажав на переключатель.
Для добавления файлов и папок нажмите на значок и укажите необходимые объекты защиты.
Периодичность создания копий и место их хранения можно указать, выбрав пункт Копировать файлы...
Включите функцию «Защита системы» в Windows
По умолчанию эта функция, как правило, отключена.
При активированной защите системы Windows создает копии важных системных файлов и настроек – например, перед установкой каких-либо драйверов, а так же через определенные промежутки времени.
Внимание! Создать точку восстановления можно также вручную.
Чтобы включить Защиту системы , нажимаем правой кнопкой мыши на иконку Мой компьютер и выбираем Свойства . Далее нажимаем Дополнительные параметры системы и переходим на вкладку Защита системы .
В ту же вкладку можно попасть, нажав Пуск → Панель управления → Система → Защита системы .
Продвинутые пользователи делают это в командной строке или в окне Выполнить (WIN+R), введя rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,4
Если в списке логических дисков напротив хотя бы одного локального диска написано Включено (On ), это означает, что функционал Защита системы уже активирован и точки восстановления создаются.
Если Защита системы не включена, то выбираем один из локальных дисков и нажимаем кнопку Настроить (Configure ). При этом вы можете выбрать раздел с максимальным объемом свободного места.
В открывшемся окне выбираем пункт Восстановить параметры системы и предыдущие версии файлов и с помощью ползунка Максимальное использование устанавливаем максимальный объем дискового пространства, которое система будет использовать под создание точек восстановления.
Внимание! При создании новых точек восстановления старые будут удаляться.
Дважды нажимаем Ок .
Начиная с Windows 7, для каждой точки восстановления имеется возможность просмотреть список программ и драйверов, которые затронет «откат». Очевидно, что после восстановления системы такие программы могут работать неправильно. Таким образом, можно заранее узнать, каким программам после восстановления может потребоваться переустановка.
Чтобы создать точку восстановления вручную, нужно, чтобы функционал Защита системы был включен.
Зайдите снова на вкладку Защита системы и нажмите на кнопку Создать (Create ). В открывшемся окне введите название для точки восстановления и нажмите Создать . Дождитесь сообщения, что операция успешно завершена, и нажмите Закрыть .
Чтобы восстановить файлы из резервных копий, необходимо выполнить один из следующих вариантов:
Кроме того, восстановление системы можно запустить из среды Windows RE
В любом случае вы попадаете в окно Восстановление системы и далее должны выбрать контрольную точку. При этом вы можете выбрать любую точку восстановления, а не только последнюю.
Если ваша ОС поддерживает возможность создания резервного образа системы, то его тоже можно выбрать в качестве точки восстановления. Чтобы увидеть эту точку, отметьте флажок Показать другие точки восстановления .
Также в этом окне можно узнать, каких программ коснутся изменения при восстановлении файлов из «бэкапа». Для этого нажмите Поиск затрагиваемых программ .
Для запуска восстановления нажимаем Готово .
Внимание! Вы можете отменить последнее восстановление системы, если вы случайно выбрали не ту точку или восстановление не принесло желаемых результатов. Это возможно благодаря тому, что перед восстановлением Windows 7 также создает контрольную точку. Чтобы отменить восстановление, выберите действие Отменить восстановление системы .
Возможности, предоставляемые операционной системой для защиты данных, наличием точек восстановления не исчерпываются. Скажем, зайдя в свойства столь любимого злоумышленниками файла hosts, можно увидеть следующее:
Возможность восстановления предыдущих версий файлов впервые появилась в Windows Vista. Однако, поскольку возможности, имевшиеся в предыдущих версиях ОС, не были удалены, в итоге версии файлов сохраняются не только с помощью службы теневого копирования тома, но и при использовании архивации Windows. В свойствах файла на вкладке Предыдущие версии указывается расположение: Точка восстановления или Архивация .
О возможности сохранения версий файлов свойствами ОС Windows расскажем в следующих выпусках нашего проекта.
Вирусы шифровальщики — давно известный тип угрозы. Они появились примерно в одно время с смс-банерами, и плотно засели с последними, в топ-рейтинге вирусов-вымогателей.
Модель монетизации вируса-вымогателя проста: он блокирует часть информации или компьютер пользователя целиком, а за возвращение доступа к данным требует отправить смс, электронные деньги или пополнить баланс мобильного номера через терминал.
В случае с вирусом шифрующим файлы, всё очевидно — для расшифровки файлов нужно заплатить определенную сумму. Причем, за последние несколько лет эти вирусы изменили подход к своим жертвам. Если раньше они распространялись по классическим схемам через варезы, порно сайты, подмену выдачи и массовые спам-рассылки, при этом заражая компьютеры рядовых пользователей, то сейчас рассылка писем идет адресно, вручную, с почтовых ящиков на «нормальных» доменах — mail.ru, gmail и т.д. А заражать пытаются юридических лиц, где под шифры попадают базы данных и договора.
Т.е. атаки из количества переросли в качество. На одной из фирм автору довелось столкнуться с шифровальщиком.hardended который пришел в почте с резюме. Заражение произошло сразу же после открытия файла кадровиками, фирма как раз подыскивала персонал и никаких подозрений файл не вызвал. Это был docx с вложенным в него AdobeReader.exe:)
Самое интересное, что никакие эвристические и проактивные сенсоры антивируса Касперского не сработали. Еще день или 2 после заражения, вирус не определялся dr.web-ом и nod32
Так как быть с такими угрозами? Неужели антивирус бесполезен?
Время антивирусов, работающих только по сигнатурам, уходит .
G Data TotalProtection 2015 — лучшая защита от шифровальщиков
со встроенным модулем резервного копирования. Нажимайте и покупайте .
Для всех пострадавших от действий шифровальщика — промокод со скидкой на покупку G DATA — GDTP2015 . Просто введите этот промокод при оформлении заказа.
Вирусы вымогатели в очередной раз доказали несостоятельность антивирусных программ. Смс-баннеры, в свое время беспрепятсвенно «сливались» пользователям в папку temp и просто запускались на весь рабочий стол и перехватывали нажатие всех служебных комбинаций с клавиатуры.
Антивирусник в это время замечательно работал:) Касперский, как и в штатном режиме, выводил свою надпись «Protected by Kaspersky LAB».
Баннер — не хитроумный зловред как руткиты, а простая программа, которая изменяет 2 ключа в реестре и перехватывает ввод с клавиатуры.
Вирусы, которые шифруют файлы, вышли на новый уровень мошенничества. Это снова обычная программа, которая не внедряется в код операционной системы, не подменяет системных файлов, не считывает области оперативной памяти других программ.
Она просто запускается на короткое время, генерирует открытый и закрытый ключи, шифрует файлы и отправляет закрытый ключ злоумышленнику. На компьютере жертвы остается кучка зашифрованных данных и файл с контактами хакеров для дальнейшей оплаты.
Резонно задуматься: «А зачем тогда нужен антивирус, если он способен находить только известные ему вредоносные программы?
Действительно, антивирусная программа необходима — она защитит от всех известных угроз. Однако многие новые виды вредоносного кода ей не по зубам. Чтобы защититься от вирусов шифровальщиков, нужно принимать меры, одного антивируса здесь недостаточно. И скажу сразу: «Если у вас уже зашифрованы файлы, вы попали. Легко их вернуть не получится».
:
Не забывайте про антивирус
Резервное копирование важных информационных систем и данных каждому сервису — свой выделенный сервер.
Резервное копирование важных данных .
:
Что делать с самим вирусом ?
Самостоятельные действия с зашифрованными файлами
Опыт общения с техподдержкой антивируса, чего ждать ?
Обращение в полицию
Позаботиться о мерах предосторожности в дальнейшем (см предыдущий раздел).
Если ничего не помогло, может стоить заплатить ?
Если вы еще не стали жертвой вируса-шифровальщика:
*Наличие антивирусного ПО на компьютере с последними обновлениями.
Скажем прямо: «Антивирусы хреново справляются с новыми видами шифровальщиков, зато отлично борются с известными угрозами». Так что наличие антивируса на рабочей станции необходимо. Если жертвы уже есть, вы хотя бы избежите эпидемии. Какой антивирус выбрать — решать вам.
По опыту — Касперский «ест» больше памяти и процессорного времени, а для ноутбучных жестких дисков с оборотами 5200 — это катастрофа (нередко с задержками чтения сектора в 500 мс..) Нод32- быстрый, но мало что ловит. Можете купить антивирус GDATA — оптимальный вариант.
*Резервное копирование важных информационных систем и данных. Каждому сервису — свой сервер.
По сему, очень важно, вынести все сервисы (1С, налогоплательщик, специфические АРМы) и любой софт от которого зависит жизнь компании, на отдельный сервер, еще лучше — терминальный. А еще лучше каждый сервис разместить на свой сервер (физический или виртуальный — решайте сами).
Не храните базу 1с в общем доступе, в сети. Так делают многие, но это неправильно.
Если работа с 1с организована по сети с общим доступом на чтение/запись для всех сотрудников — выносите 1с на терминальный сервер, пусть пользователи работают с ним через RDP.
Если пользователей мало, а денег на серверную ОС не хватает — в качестве терминального сервера можно использовать обычный Windows XP (при условии снятия ограничений на количество одновременных подключений, т.е. нужно патчить). Хотя, с таким же успехом вы можете установить нелицензионую версию windows server. Благо, Microsoft позволяет пользоваться, а купить и активировать потом:)
Работа пользователей с 1с через RDP, с одной стороны, уменьшит нагрузку на сеть и ускорит работу 1с, с другой, предотвратит заражение баз данных.
Хранить файлы БД в сети с общим доступом — небезопасно, а если других перспектив нет — позаботьтесь о резервном копировании (см. след раздел.)
*Резервное копирование важных данных.
Если у вас еще не делаются бэкапы (резервное копирование) — вы балбес, уж простите. Ну или передавайте привет вашему системному администратору. Бэкапы спасают не только от вирусов, но и от нерадивых сотрудников, хакеров, «посыпавшихся» жестких дисков в конце концов.
Как и что бэкапить — можно прочитать в отдельной статье про . В антивирусе GDATA, например, есть модуль резервного копирования в двух версиях — total protection и endpoint security для организаций (купить GDATA total protection можно ).
Если вы обнаружили зашифрованные файлы у себя на компьютере:
*Что делать с самим вирусом?
Выключайте ваш компьютер и обращайтесь к специалистам компьютерных служб + в поддержку вашего антивируса. Если вам повезет, то тело вируса еще не удалилось и его можно использовать для расшифровки файлов. Если не повезло (как это часто бывает) — вирус после шифрования данных отправляет закрытый ключ злоумышленникам и удаляется все свои следы. Делается это для того, чтобы не было возможности определить каким образом и по какому алгоритму зашифрованы.
Если у вас осталось письмо с зараженным файлом — не удаляйте. Отправьте в антивирусную лабораторию популярных продуктов. И не открывайте его повторно.
*Самостоятельные действия с зашифрованными файлами
Что можно делать:
Обратиться в поддержку антивируса, получить инструкции и, возможно, дешифровщик для вашего вируса.
Написать заявление в полицию.
Поискать в интернете опыт других пользователей, которые уже столкнулись с этой бедой.
Принимать меры по расшифровке файлов, предварительно скопировав их в отдельную папку.
Если у вас Windows 7 Или 8 — можно восстановить предыдущие версии файлов (правой кнопкой на папке с файлами). Опять же, не забудьте их предварительно скопировать
Чего делать нельзя:
Переустанавливать Windows
Удалять зашифрованные файлы, переименовывать их и менять расширение. Имя файла очень важно при расшифровке в будущем
*Опыт общения с техподдержкой антивируса, чего ждать?
Когда один из наших клиентов поймал крипто-вирус.hardended, которого в антивирусных базах еще не было, были отправлены запросы в dr.web и Kaspersky.
В dr.web техподдержка нам понравилась, обратная связь появилась сразу и даже давали советы. Причем после нескольких дней сказали честно, что сделать ничего не смогут и сбросили подробную инструкцию о том как послать запрос через компетентные органы.
В Касперском, наоборот, сначала ответил бот, потом бот отрапортовал, что мою проблему решит установка антивируса с последними базами (напомню, проблема — это сотни зашифрованных файлов). Через неделю статус моего запроса изменился на «отправлено в антивирусную лабораторию», а когда автор еще через пару дней скромно поинтересовался о судьбе запроса, представители Касперского ответили, что ответ из лаборатории еще не получим, мол, ждем.
Еще через некоторое время пришло сообщение о том, что мой запрос закрыт с предложением оценить качество сервиса (это все при том же ожидании ответа от лаборатории).. «Да пошли вы!» — подумал автор.
NOD32, кстати, начал ловить данный вирус на 3й день после его появления.
Принцип такой — вы сами по себе с вашими зашифрованными файлами. Лаборатории крупных антивирусных брендов помогут вам, только в случае наличия у вас ключа на соответствующий антивирусный продукт и если в крипто-вирусе есть уязвимость. Если же злоумышленники зашифровали файл сразу несколькими алгоритмами и не один раз, вам, скорее всего придется платить.
Выбор антивируса за вами, не стоит им пренебрегать.
*Обращение в полицию
Если вы стали жертвой крипто-вируса, и вам нанесен какой-либо ущерб, даже в виде зашифрованной личной информации — можно обратиться в полицию. Инструкция по заявлению и т.д. есть .
*Если ничего не помогло, может стоить заплатить?
Учитывая относительное бездействие антивирусов по отношению к шифровальщикам, иногда легче заплатить злоумышленникам. За hardended файлы, например, авторы вируса просят в районе 10 тыс. руб.
За прочие угрозы (gpcode и т.д.) ценник может колебаться от 2 тыс руб. Чаще всего такая сумма оказывается ниже тех убытков, которые может нанести отсутствие данных и ниже той суммы, которую у вас могут запросить умельцы за расшифровку файлов вручную.
Резюмируя — лучшая защита от вирусов-шифровальщиков, это резервное копирование важных данных с серверов и рабочих станций пользователей.
Как поступать — решать вам. Удачи.
Пользователи прочитавшие эту запись обычно читают:
Вконтакте
Делаем бэкап прошивки на андроиде
Как настроить файл подкачки?
Установка режима совместимости в Windows
Резервное копирование и восстановление драйверов Windows
Как на «Билайне» перейти на другой тариф: все способы