Как защититься от вирусов-вымогателей и вирусов-разрушителей

Проблема безопасности 

Для защиты компьютерного оборудования от программ-уничтожителей (в частности вредоносного ПО Diskcoder.C) специалисты советуют:

1. Все то, что может быть причастно к фазе инициации атаки вирусом (как правило это: сервер/ПК, «M.E.Doc», контроллер домена), необходимо отключить, сделать копии жестких дисков, переустановить. Перед этим подключаться к Интернету и локальной сети нельзя.
2. Изменить свои пароли к административным учетным записям на компьютерах и файерволах (при формировании пароля используйте как минимум 10 символов – 2 большие буквы, 2 маленькие буквы, 2 цифры, 2 символа. Не следует использовать обычные слова из словаря).
3. Изменить пароли к электронной почте и электронные цифровые подписи в связи с тем, что эти данные могли быть скомпрометированы.
4. Воспользуйтесь рекомендациями по восстановлению доступа к пораженной вирусом операционной системе, которые приведены на сайте Департамента киберполиции Национальной полиции Украины.

Атака — каждые 10 секунд

Сегодня вирусы-разрушители и программы-вымогатели являются проблемой международного масштаба, которая требует безотлагательного разрешения. По результатам первого квартала 2017 года, 6 из 10 вредоносных ПО составляли именно вирусы-вымогатели. По данным специалистов «Лаборатории Касперского», каждые 40 секунд коммерческие и государственные учреждения по всему миру подвергаются атакам вирусами-вымогателями, при этом индивидуальные атаки происходят каждые 10 секунд. Согласно прогнозам исследовательской компании Cybersecurity Ventures, ожидается, что в 2017 году глобальные потери в результате действий кибервымогателей будут превышать 5 млрд. долларов, по сравнению с суммой убытков в размере 325 млн. долларов в 2015 году.

Среди общих рекомендаций по защите данных на компьютере от вирусов-уничтожителей и вирусов-вымогателей:

1. Установить обновление ОС Windows MS17-010.
2. Отключить устаревшую версию сетевого протокола (Server Message Block) – SMB1.
3. Следует внимательно относиться ко всей электронной корреспонденции: не следует загружать и открывать приложения и переходить по ссылкам в письмах, которые отправлены с неизвестных адресов или выглядят подозрительно (например, автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; то, как автор обращается к адресату, является нетипичным и т.д.), а также в письмах с нестандартным текстом, побуждающим к переходу на подозрительные ссылки или к открытию подозрительных файлов (архивов, исполняемых файлов и т.д.). В случае получения письма с известного адреса, но такого, которое вызывает подозрение относительно своего содержания, – следует связаться с отправителем и подтвердить факт отправки письма.
4. Заблокировать возможность открытия JS файлов, полученных по электронной почте.
5. Всегда создавайте резервные копии файлов на отдельных носителях или в облачном хранилище. Выключайте связь с облачным хранилищем, как только загрузили туда данные.
6. Включите в настройках Windows на компьютере функцию «Показывать расширение файлов»: это поможет заметить потенциально вредные файлы (файлы с расширением «.exe», «.vbs» и «.scr» – потенциально опасны!). Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл под якобы видео, фото или документ (например, hot-chics.avi.exe или doc.scr).
7. Если на вашем компьютере запущен вредоносный процесс, немедленно отключите связь с сетью Интернет и локальной сетью. Это может приостановить процесс заражения вирусом.

8. Если ввредоносное программное обеспечение все же заблокировало компьютер, специалисты категорически не рекомендуют реагировать на сообщения с требованием уплаты выкупа для возвращения доступа к файлам.

9. «Платить выкуп злоумышленникам ни в коем случае нельзя. Во-первых, нет никаких гарантий, что доступ к компьютеру будет восстановлен, а файлы спасены. Во-вторых, осуществление какого-либо платежа – это вклад в «бюджет» мошенника и финансирование его дальнейшей киберпреступной деятельности», – отмечает Алексей Красюк, заместитель директора по операционным вопросам и информационной безопасности Украинской межбанковской Ассоциации членов платежных систем ЕМА.

   Также эксперты отмечают, что сегодня у каждого украинца есть возможность бесплатно воспользоваться инструментом для дешифрования зараженных вирусом файлов на компьютере или мобильном устройстве, если оно было атаковано вредоносным шифровальным программным обеспечением (вирусом-вымогателем). В апреле 2017 года, в рамках глобальной инициативы No More Ransom, целью которой является борьба с кибервымогательством, была запущена Интернет-страница на украинском языке, где доступны специальные ключи и приложения для возвращения доступа к «инфицированным» вирусом файлам.

Как все было

За первые трое суток кибератаки в Национальную полицию Украины обратилось более 2 тысяч юридических и физических лиц с сообщениями о блокировании работы компьютерной техники в результате распространения вируса. С официальными заявлениями, по состоянию на 30 июня, в полицию обратились 309 организаций частного сектора и 111 организаций государственного сектора страны. Хакерская атака осуществлялась с использованием злоумышленниками вредоносной программы-разрушителя под названием Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Особенность действия вируса заключается в поражении компьютеров и серверов под управлением ОС Microsoft Windows и предусматривает перезапись информации на жестких дисках.

В результате заражения компьютерного оборудования вирусом появлялось сообщение от кибермошенников с предложением выплаты «выкупа» за разблокировку пораженных данных (приобретение ключа дешифрования) в размере 300 долларов в цифровой валюте – биткоины. Однако эксперты отмечают, что вредоносное программное обеспечение (ПО) Diskcoder.C не является «шифровальщиком» и не относится к категории «ransomware» (программ-вымогателей). Таким образом, поврежденные данные невозможно «расшифровать» и восстановить. Есть только возможность восстановить другие файлы, которые не попали под действие Diskcoder.C. Ключевая цель программы-уничтожителя заключалась в выведении компьютерного оборудования из строя и блокировании работы компаний. Поэтому, Diskcoder.C является наглядным примером того, что платить выкуп преступникам ни в коем случае нельзя. Попадание к кибермошенникам «на крючок» может обернуться не только потерей файлов, но и потерей средств.

Экспертами установлено, что поражение информационных систем украинских компаний преимущественно происходило через обновление программного обеспечения «M.E.Doc предназначенного для отчетности и документооборота. По полученным киберполицией данным, которые подтверждены правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности, злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения.

Специалисты отмечают, что атака Diskcoder.C, начатая 27 июня, имела предшественников. Начало системных нападений на «украинские компьютеры» – это первые атаки, которые были осуществлены в марте-апреле 2017 года (когда происходило как заражение компьютеров вирусом-шифровальщиком с помощью писем, якобы, от Государственной налоговой службы, или от банка). Специалисты отмечают ряд схожих признаков, которые связывают весенние атаки, атаку Diskcoder.C, а также кибернападения на объекты критической инфраструктуры в Украине, совершенные за последние несколько лет.