КАКВО ПРЕДСТАВЛЯВА ЗАПЛАХАТА?

Ransomware представлява зловреден код, който може да заключи устройство или да криптира съхраняваната в него информация, а собственикът на програмата да поиска откуп за възстановяването на достъпа до данните.

Подобни зловредни кодове могат да имат и вграден таймер с краен срок за осъществяване на плащане и ако той не бъде спазен, цената на откупа скача или информацията на устройството напълно се унищожава.
Сред най-разпространените и познати ransomware вируси за компютри са Reveton, CryptoLocker, CryptoWall и TeslaCrypt. При мобилните платформи това са Simplocker и LockerPin.

Нашият опит показва, че ransomware се превръща в популярна форма вируси за кибер-престъпниците, а инцидентите с този тип зловредни кодове растат неимоверно бързо при крайните персонални или бизнес потребители. В момента най-интересни цели за кибер-престъпниците са платформите Windows и Android, но подобни вируси вече съществуват и за Mac OS X и Linux.

За да помогнем да намалите рисковете от инфекция с ransomware създадохме тази статия, откъдето може да научите повече за най-честите начини на атака, да получите основни съвети за защита, както и да научите какво може да предприемете в случай на зараза.

В ОСНОВАТА Е ЗАЩИТАТА

Залога за бизнеса е висок. За крайните потребители - също. Загубата на достъп до информационни ресурси на една компания може да доведе до финансови загуби и/или накърнена репутация. Вече почти няма корпорация или организация, която да не е докладвала за атаки с криптовируси. Атакуващите вече използват криптиране, което е силно колкото алгоритмите използвани от банките за защита на плащанията на клиентите си. Това прави възстановяването на файловете сложно, а в някои случаи дори невъзможно. Какво трябва да правим, за да се защитим от подобни атаки?

A. Използвайте най-новите версии на антивирусен софтуер
Инсталирайте най-новата налична версия на антивирусния си софтуер, тъй като много инфекции се случват заради остарели решения за защита;

Б. Поддържайте актуална база данни с вирусни дефиниции
Новите версии на ransomware се появяват все по-често, затова е важно базите данни с дефиниции на вируси на компютрите, лаптопите, смартфоните и таблетите на компанията да бъдат актуализирани редовно. В комбинация с другите мерки за защита, това е задължително условие за превенция от зараза с ransomware;

12 ПОЛЕЗНИ СЪВЕТА

Спазвайте долните съвети и ще защитите себе си и компанията си от атаки с криптовируси

1. Първи и най-важен съвет е: Никога, никога, никога не отваряйте прикачени файлове или не следвайте препратки към интернет адреси, отправени към вас от имейли или други програми за комуникация, за които изпитвате дори и най-малко съмнение, че не са предназначени за вас! Имайте предвид, че някои криптовируси могат да ползват контакт листа на заразени ваши познати или контрагенти и вие да получите от тях маскирани като картинки, архиви или документи файлове. Може също така да получите мейл от непознато име, но с вашия фирмен домейн. За късмет подобни съобщения обикновено са на английски и ако стандартно водите кореспонденцията си на български, то това трябва да предизвика у вас много силно съмнение. Ако получите неочаквано съобщение с прикачен файл и той предизвика у вас несигурност, свържете се с изпращача за да потвърди автентичността на съобщението;

2. Регулярно правете резервни копия на информацията
Най-добрата тактика срещу ransomware преди да е достигнал до устройствата на компанията ви е поддържането на регулярно ъпдейтвани резервни копия на информацията. И помнете, че криптовирусите могат и най-вероятно ще криптират информацията дори и на мрежови устройства, които са добавени като drive на засегнатите компютри, както и на мрежови и cloud сториджи, дори на USB памети и дискове.
Поддържайте редовно ъпдейтвани резервни копия на данните си – по възможност на офлайн устройство, създадено специално за тази цел;

3. Ъпдейтвайте всеки софтуер, не само антивирусния
Авторите на зловредни кодове често разчитат на факта, че потребителите работят с остарели версии на различни софтуерни продукти. Те се възползват от добре известни уязвимости, чрез които могат да осъществят незабележим достъп до системата. Компанията ви може намали значително опасността от зараза с ransomware, ако ъпдейтва редовно софтуера, инсталиран на различни устройства.
Някои производители на софтуер публикуват ъпдейти редовно, но често се срещат и такива, които са извън всякакви графици. Обикновено те са най-критичните. Не пречете на автоматичните ъпдейти или следете уеб сайта на производителя;

4. Обърнете внимание на обучението на служителите си
Отделете време за обучение на служителите ви или най-малко ги запознайте със съдържанието на тази статия. Все пак рискът от изгубване на информацията ви е най-вече за вас;

5. Показвайте разширенията на всички файлове
Ransomware обикновено идва под формата на приложен файл с разширение като “.PDF.EXE”. И разчита на факта, че Windows по подразбиране не показва разширенията на познатите типове файлове;

6. Филтрирайте executable прикачени файлове в мейли
Ако вашият Gateway Mail Scanner позволява филтрирането на файлове по разширението им,  добра идея е да блокирате всички мейли, съдържащи “.EXE” файлове, както и мейли, съдържащи две или повече разширения, завършващи с .EXE (например, филтър “*.*.EXE”). Препоръчваме филтрирането и на файлове със следните разширения: *.BAT, *.CMD, *.SCR and *.JS;

7. Забранете стартирането на файлове от директориите AppData/LocalAppData
Забележима характеристика на голяма част от ransomware вирусите е фактът, че се стартират от директориите AppData или Local AppData. Windows позволява създаването на правила, които забраняват подобно поведение. Такива правила могат да бъдат създадени и със софтуер за защита от проникване. Ако използвате софтуер, който по някаква причина се стартира от AppData вместо от стандартната директория Program Files, може той да бъде изключен от това правило, за да работи нормално;

8. Внимавайте за споделените директории
Не забравяйте, че веднъж попаднал в една система, ransomware може да се опита да криптира файловете и в споделените директории, до които компютърът има достъп. Затова, всеки един служител трябва внимателно да преценява каква информация съхранява на споделени дискове. Тази информация може да се окаже криптирана, дори и служителят да не е заразен пряко с криптовирус;

9. Ако не ви е нужен, забранете RDP
Ransomware често използва Remote Desktop Protocol (RDP) за достъп до заразените машини. Това е Windows инструмент, който позволява отдалечен достъп до компютър. Кибер-престъпниците също ползват този метод за достъп, за да спират действието на различни видове софтуер за защита. Добра практика е забраняването на RDP, освен ако не е абсолютно необходим. Инструкции как да стане това може да намерите в Microsoft Knowledge Base;

10. Използвайте доказано решение за сигурност
Авторите на зловредни кодове често създават нови и нови варианти на вирусите, с което се опитват да избегнат засичането им. Затова е важно да имате няколко нива на защита. Дори и след като бъде инсталиран в системата, вирусът разчита на дистанционни инструкции, за да извърши зловредната си дейност. Ако попаднете на много, много нов вариант на ransomware, който успее да преодолее защитния ви софтуер, той може все пак да бъде уловен при опит да се свърже с командния си сървър, за да получи инструкции как да криптира файловете;
 
11. Използвайте System Restore
В някои случаи, ако използвате System Restore на заразен Windows компютър, има възможност да върнете системата в състоянието ѝ отпреди инфекцията и дори да възстановите част от засегнатите файлове от техни shadow копия. За да стане това обаче, трябва да действате бързо. Причината е, че по-новите варианти ransomware могат да изтриват тези shadow копия от System Restore. Този тип зловредни кодове ще започнат с изтриването веднага щом бъдат стартирани, а вие може дори да не разберете, че нещо се случва, тъй като .EXE файловете могат да бъдат стартирани без знанието на оператора, като част от работата на Windows;

12. Използвайте стандартен, а не администраторски акаунт
Използването на акаунт с права на администратор на системата винаги крие риск за сигурността. С такъв акаунт зловредният код може да стартира с права за инсталирането си и лесно да зарази системата.
Направете така, че потребителите да имат ограничени права за акаунтите си при изпълняването на ежедневните си задачи. Нека използват администраторски акаунт само при крайна необходимост. Не изключвайте User Accоunt Control;

A АКО КОМПЮТЪРА ВИ Е ЗАРАЗЕН?

1. Изключете устройството от мрежата!
Ако вашия компютър или компютъра на ваш служител стартира подозрителен файл и не може да отворите някои или всички съхранявани на него файлове, веднага изключете устройството от интернет, корпоративната мрежа и от електрическата мрежа. Това може да спре комуникацията на зловредния код с командния му сървър, преди криптирането на данните на устройството и свързаните с него дискове и мрежови устройства да е приключило.
Въпреки че не е напълно сигурна, тази техника ще даде поне някакъв шанс да спасите част от ценните файлове, преди те да са напълно криптирани. Препоръчваме хардуерно изключване, тъй като зловредният код може да е програмиран да следи за софтуерно изключване на компютъра и да нанесе още повече щети;

2. Свържете се с нас
Ако криптовирусът вече е стартирал или изпълнил задачата си, свържете се с нас чрез някой удобен за вас начин от секцията “Контакти” в страницата ни с адрес www.pchelpbg.com