Объяснение программы-вымогателя: как оно работает и как его удалить

Содержание
  1. Определение программы-вымогателя Программа-вымогатель — это разновидность вредоносного ПО, которое шифрует файлы жертвы. Затем злоумышленник требует от жертвы выкуп за восстановление доступа к данным после оплаты. Пользователям показаны инструкции о том, как внести плату за получение ключа дешифрования. Стоимость может варьироваться от нескольких сотен до тысяч долларов, выплачиваемых киберпреступникам в биткойнах. Как работает программа-вымогатель Существует ряд векторов, по которым вымогатели могут получить доступ компьютер. Одной из наиболее распространенных систем доставки является фишинговый спам — вложения, которые приходят жертве в электронном письме, маскируясь под файл, которому она должна доверять. После загрузки и открытия они могут захватить компьютер жертвы, особенно если у них есть встроенные инструменты социальной инженерии, которые обманом заставляют пользователей предоставлять административный доступ. Некоторые другие, более агрессивные формы программ-вымогателей, такие как NotPetya, используют бреши в системе безопасности для заражения компьютеров без необходимости обманывать пользователей. Есть несколько вещей, которые вредоносная программа может сделать после того, как захватит компьютер жертвы, но Безусловно, наиболее распространенным действием является шифрование некоторых или всех файлов пользователя. Если вам нужны технические подробности, то в Infosec Institute можно найти подробный анализ того, как несколько разновидностей программ-вымогателей шифруют файлы. Но самое важное, что нужно знать, — это то, что в конце процесса файлы не могут быть расшифрованы без математического ключа, известного только злоумышленнику. Пользователь получает сообщение, объясняющее, что его файлы теперь недоступны и будут расшифрованы только в том случае, если жертва отправит злоумышленнику не отслеживаемый платеж в биткойнах. В некоторых формах вредоносного ПО злоумышленник может претендовать на правоохранительный орган выключая компьютер жертвы из-за наличия порнографии или пиратское программное обеспечение на нем, и требуя уплаты «штрафа», возможно, чтобы жертвы, менее вероятно, чтобы сообщить о нападении властей. Но большинство атак не обращают внимания на это отговорку. Существует также вариант, называемый lekware или doxware, в котором злоумышленник угрожает опубликовать конфиденциальные данные на жестком диске жертвы, если не будет уплачен выкуп. Но поскольку поиск и извлечение такой информации — очень сложная задача для злоумышленников, шифровальщики-вымогатели являются наиболее распространенным типом. Кто является целью для вымогателей? Злоумышленники могут выбирать организации, на которые нацелены программы-вымогатели, несколькими способами. Иногда это вопрос возможностей: например, злоумышленники могут нацеливаться на университеты, потому что у них, как правило, меньшие группы безопасности и разрозненная база пользователей, которые много делятся файлами, что упрощает проникновение в их защиту. С другой стороны, некоторые организации являются заманчивыми мишенями, потому что они с большей вероятностью заплатят выкуп быстро. Например, государственным учреждениям или медицинским учреждениям часто требуется немедленный доступ к своим файлам.. Юридические фирмы и другие организации, располагающие конфиденциальными данными, могут быть готовы платить, чтобы скрыть новости о взломе — и эти организации могут быть исключительно чувствительны к атакам с использованием утечек. Но не думайте, что вы в безопасности, если не подходите под эти категории: как мы уже отмечали, некоторые программы-вымогатели автоматически и без разбора распространяются по Интернету. Как предотвратить программы-вымогатели Есть ряд защитных мер, которые вы можете предпринять, чтобы предотвратить заражение программами-вымогателями. Эти шаги, конечно же, являются хорошей практикой безопасности в целом, поэтому их выполнение улучшает вашу защиту от всевозможных атак: Следите за тем, чтобы ваша операционная система была исправлена ​​и обновлялась. -to-date, чтобы уменьшить количество уязвимостей, которые можно использовать. Не устанавливайте программное обеспечение и не предоставляйте ему права администратора, если вы точно не знаете, какие он есть и что он делает. Установите антивирусное программное обеспечение, которое обнаруживает вредоносные программы, такие как программы-вымогатели, по мере их поступления, и занесение программного обеспечения в белый список , которое в первую очередь предотвращает выполнение неавторизованных приложений. И разумеется, создавайте резервные копии файлов часто и автоматически! Это не остановит атаку вредоносного ПО, но может сделать ущерб, нанесенный одним, гораздо менее значительным. Удаление программ-вымогателей Если на вашем компьютере есть были заражены программой-вымогателем, вам необходимо восстановить контроль над своей машиной. У Стива Рагана из CSO есть отличное видео, демонстрирующее, как это сделать на машине с Windows 10: В видео есть все подробностей, но важными шагами являются следующие: Перезагрузите Windows 10 в безопасный режим Установите антивирусное ПО Просканируйте систему, чтобы найти программу-вымогатель. Восстановить компьютер в предыдущее состояние. Но вот важная вещь, о которой следует помнить: во время выполнения этих шагов можно удалить вредоносное ПО с вашего компьютера и восстановить его на вашем Control, он не расшифрует ваши файлы. Их преобразование в нечитабельность уже произошло, и, если вредоносная программа будет хоть сколько-нибудь сложной, никому будет математически невозможно расшифровать их без доступа к ключ, который держит злоумышленник. Фактически, удалив вредоносное ПО, вы исключили возможность восстановления файлов, заплатив злоумышленникам запрошенный выкуп. Факты и цифры о программах-вымогателях Программы-вымогатели — это большой бизнес. Программы-вымогатели приносят большие деньги, и с начала десятилетия рынок быстро рос. В 2017 году программа-вымогатель принесла убытки в размере 5 миллиардов долларов, как с точки зрения уплаченного выкупа, так и затрат, а также потери времени на восстановление после атак. Это в 15 раз больше, чем в 2015 году.. В первом квартале 2018 года только один вид программного обеспечения-вымогателя, SamSam, собрал выкуп в размере 1 миллиона долларов. Некоторые рынки особенно подвержены заражению программами-вымогателями и платежеспособности. выкуп. Многие громкие атаки программ-вымогателей имели место в больницах и других медицинских организациях, что представляло собой заманчивую цель: злоумышленники знают, что, когда жизни буквально на волоске, эти предприятия с большей вероятностью просто заплатят относительно небольшой выкуп, чтобы получить проблема уйди. По оценкам, 45 процентов атак программ-вымогателей нацелены на медицинские организации, и, наоборот, 85 процентов заражений вредоносными программами в медицинских организациях являются программами-вымогателями. Еще одна соблазнительная индустрия? Сектор финансовых услуг, который, как классно заметил Уилли Саттон, является источником денег. По оценкам, 90% финансовых учреждений подверглись атаке программ-вымогателей в 2017 году. Ваше антивирусное программное обеспечение не обязательно защитит вас. Программы-вымогатели постоянно создаются и изменяются разработчиками, поэтому их сигнатуры часто не обнаруживаются типичными антивирусными программами. Фактически, до 75% компаний, ставших жертвами программ-вымогателей, использовали на зараженных машинах новейшую защиту конечных точек. Программы-вымогатели не так распространены, как это было. Если вы хотите хороших новостей, то вот что: количество атак программ-вымогателей после резкого роста в середине 10-х годов пошло на спад, хотя первоначальные цифры были достаточно высокими, чтобы они остались. Но в первом квартале 2017 года атаки программ-вымогателей составили 60% полезной нагрузки вредоносных программ; сейчас он упал до 5 процентов. Число программ-вымогателей падает? Что стоит за этим большим падением? Во многом это экономическое решение, основанное на выбранной киберпреступником валюте: биткойне. Взыскание выкупа с жертвы всегда было неудачным решением; они могут не решить платить, или даже если захотят, они могут быть недостаточно знакомы с биткойнами, чтобы понять, как это сделать на самом деле. Как указывает Касперский, сокращение числа программ-вымогателей имеет сопровождался ростом так называемого майнинга вредоносных программ, которые заражают компьютер жертвы и используют свои вычислительные мощности для создания (или моего, на языке криптовалюты) биткойн без ведома владельца. Это удобный способ использования чужих ресурсов для получения биткойнов, который позволяет обойти большинство трудностей, связанных с получением выкупа, и он стал еще более привлекательным в качестве кибератаки по мере того, как в конце 2017 года цены на биткойны резко выросли. Однако это не означает, что угроза миновала. Существует два различных типа атакующих программ-вымогателей: «обычные» атаки, которые пытаются заразить компьютеры без разбора в чистом объеме и включают так называемые платформы «вымогателей как услуга», которые преступники могут арендовать; и целевые группы, ориентированные на особо уязвимые сегменты рынка и организации. Вы должны быть настороже, если вы относитесь к последней категории, независимо от того, прошел ли большой бум вымогателей. В связи с падением цены биткойнов в течение 2018 года анализ затрат и выгод ибо злоумышленники могут отступить. По словам Стива Гробмана, технического директора McAfee, в конечном итоге использование программ-вымогателей или вредоносных программ для криптодобычи — это бизнес-решение для злоумышленников. «Поскольку цены на криптовалюту падают, естественно видеть возврат [к программам-вымогателям]». Стоит ли платить выкуп? Если ваша система заражена вредоносных программ, и вы потеряли важные данные, которые нельзя восстановить из резервной копии, стоит ли платить выкуп? Говоря теоретически, большинство правоохранительных органов призывают вас не платить злоумышленникам-вымогателям. логика, согласно которой это только поощряет хакеров к созданию большего количества программ-вымогателей. Тем не менее, многие организации, которые оказались поражены вредоносным ПО, быстро перестают думать о «большем благе» и начинают проводить анализ затрат и выгод, взвешивая цену выкупа. по сравнению с ценностью зашифрованных данных. Согласно исследованию Trend Micro, в то время как 66 процентов компаний заявляют, что они никогда не будут платить выкуп из принципа, на практике 65 процентов действительно платят выкуп, когда их атакуют. Злоумышленники-вымогатели сохраняют цены на относительно низком уровне — обычно от 700 до 1300 долларов США. Nt компании обычно могут позволить себе платить в короткие сроки. Некоторые особо изощренные вредоносные программы обнаруживают страну, в которой работает зараженный компьютер, и корректируют размер выкупа в соответствии с экономикой этой страны, требуя большего от компаний из богатых стран и меньшего — от компаний из бедных регионов. часто предлагаются скидки за быстрые действия, чтобы побудить жертв быстро заплатить, прежде чем слишком много думать об этом. Как правило, цена устанавливается так, чтобы она была достаточно высокой, чтобы оправдать затраты преступника, но достаточно низкой, чтобы она часто была дешевле, чем то, что жертва должна была бы заплатить за восстановление своего компьютера или восстановление потерянных данных. Имея это в виду, некоторые компании начинают встраивать потенциальную необходимость выплаты выкупа в свои планы безопасности: например, некоторые крупные британские компании, которые в остальном не имеют отношения к криптовалюте, держат часть биткойнов в резерве специально для выплат выкупа. Здесь нужно запомнить несколько хитрых вещей, помня, что люди, с которыми вы имеете дело, конечно же, преступники. Во-первых, то, что выглядит как программа-вымогатель, могло вообще не зашифровать ваши данные; убедитесь, что вы не имеете дело с так называемыми «пугающими программами», прежде чем отправлять кому-либо деньги. Во-вторых, оплата злоумышленников не гарантирует, что вы вернете свои файлы. Иногда злоумышленники просто берут деньги и убегают, и, возможно, даже не встроили в вредоносную программу функции дешифрования.. Но любое такое вредоносное ПО быстро приобретет репутацию и не принесет дохода, поэтому в большинстве случаев — по оценке Гэри Сокрайдера, главного технолога по безопасности в Arbor Networks, от 65 до 70 процентов времени — мошенники проникают, и ваши данные восстанавливаются. . Видео по теме: Примеры программ-вымогателей Хотя программы-вымогатели технически существуют с 90-х годов, они стали популярны только в последние пять лет или около того, в основном из-за доступности не отслеживаемых платежей. такие методы, как биткойн. К числу наиболее серьезных нарушителей относятся: CryptoLocker, атака 2013 года, которая запустила эпоху современных программ-вымогателей и заразила до 500 000 машин на своем height. TeslaCrypt нацелился на игровые файлы и постоянно совершенствовался во время своего террора. SimpleLocker была первой широко распространенной атакой программ-вымогателей, которая была сосредоточена на мобильных устройствах. WannaCry автономно распространилась с компьютера на компьютер с помощью EternalBlue, эксплойта, разработанного АНБ, а затем украдено хакерами. NotPetya также использовал EternalBlue и, возможно, был частью направленной Россией кибератаки против Украины. Locky начал распространяться в 2016 году и был «похож по способу атаки на печально известное банковское программное обеспечение Dridex». Вариант, Osiris, распространялся через фишинговые кампании. Leatherlocker был впервые обнаружен в 2017 году в двух приложениях для Android: Booster & Очиститель и Размытие обоев HD. Вместо того, чтобы шифровать файлы, он блокирует главный экран для предотвращения доступа к данным. Wysiwye, также обнаруженный в 2017 году, сканирует Интернет на наличие открытого протокола удаленного рабочего стола ( RDP) серверов. Затем он пытается украсть учетные данные RDP для распространения по сети. Cerber оказался очень эффективным, когда он впервые появился в 2016 году, собрав злоумышленникам 200 000 долларов в июле того же года. . Он использовал уязвимость Microsoft для заражения сетей. BadRabbit распространился по медиакомпаниям в Восточной Европе и Азии в 2017 году. SamSam существует с 2015 года и ориентирован в первую очередь на медицинские организации. Ryuk впервые появился в 2018 году и используется в целевых атаки на уязвимые организации, такие как больницы. Он часто используется в сочетании с другими вредоносными программами, такими как TrickBot. Maze — относительно новая группа программ-вымогателей, известная тем, что раскрывает украденные данные общественности, если жертва этого не делает. заплатите за его расшифровку. RobbinHood — еще один вариант EternalBlue, который поставил город Балтимор, штат Мэриленд, на колени в 2019 году. GandCrab может быть самой прибыльной программой-вымогателем. Его разработчики, которые продали программу киберпреступникам, требуют выплат жертвам на сумму более 2 миллиардов долларов по состоянию на июль 2019 года. Sodinokibi нацелен на системы Microsoft Windows и шифрует все файлы кроме файлов конфигурации. Он связан с GandCrab. Thanos — новейшая программа-вымогатель в этом списке, обнаруженная в январе 2020 года. Она продается как программа-вымогатель как услуга. Это первая программа. использовать технику RIPlace, которая может обойти большинство методов защиты от программ-вымогателей. Этот список станет длиннее. Следуйте приведенным здесь советам, чтобы защитить себя. Видео по теме: Что делать при атаке программ-вымогателей Пошаговое руководство для ИТ-руководителей по лечению заражения программ-вымогателями «Почему я не могу открыть этот файл?» «Мой диск P полон файлов со смешными названиями». «Помогите!» Всегда все начинается одинаково. Кто-то вошел в систему и заметил странные имена файлов или отсутствующие файлы. Это явные признаки атаки программы-вымогателя, а это означает, что ваш день стал намного хуже. Хорошие новости: вы попали в нужное место. Это видео ниже дает вам двухминутный обзор. Эта статья пошагово проведет вас по пути к выздоровлению. ПЕРЕД НАЧАЛОМ: Этот совет предоставляется как есть, без гарантии или гарантии. Этот процесс хорошо зарекомендовал себя при десятках заражений программами-вымогателями. Однако ваш пробег может отличаться. Используйте на свой риск. Ситуация быстро меняется, и эта информация может уже быть устаревшей. Мы будем обновлять это по мере поступления новой информации. Если вам нужна помощь, просто спросите нас! Комментарии и предложения приветствуются. Шаг 1. Разберитесь в своей ситуации Вы были заражены вредоносным ПО. Вредоносная программа обошла ваш антивирус и другие средства защиты. Скорее всего, это результат каких-либо действий пользователя (например, нажатия на ссылку), но в наши дни это не всегда так. Вирус использует разрешения зараженного пользователя для доступа к файлам и их шифрования. Программы-вымогатели могут шифровать файлы операционной системы, общие сетевые ресурсы и даже облачные файловые системы. Существует небольшая вероятность того, что вы сможете расшифровать эти файлы с помощью бесплатного инструмента, доступного в Интернете у нескольких различных компаний по безопасности. Этот лучший сценарий по-прежнему приведет к часам простоя и эффективен только для определенных вариантов программ-вымогателей. В большинстве случаев вам придется восстанавливать файлы из резервной копии или платить выкуп. Восстановление больших наборов данных может занять от нескольких часов до нескольких дней. Если вы решите заплатить выкуп, рассчитывайте потратить от нескольких сотен до нескольких тысяч долларов.. Сейчас хорошее время, чтобы сообщить руководству и персоналу о проблеме. Критические системы будут отключены в течение длительного периода времени. Это будет долгий день для всех. Шаг 2: Заблокируйте На данный момент все, что мы знаем это то, что вы инфицированы. Источником может быть один или несколько пользователей. Инфекция может длиться несколько часов или дней. Нам нужно остановить кровотечение, прежде чем мы сможем лечить этого пациента. Вы должны немедленно отключить акции. Прежде чем заблокировать эти общие ресурсы, мы могли бы сэкономить много времени на более поздних этапах. Посмотрите на открытые файлы в зашифрованных общих папках. Это может помочь вам определить источник инфекции, которую мы называем нулевым пациентом. Если вы видите одного пользователя с сотнями открытых файлов, вероятно, они являются источником заражения. Какие общие ресурсы следует заблокировать? Все они — самый безопасный ответ, но ваша ситуация будет определять, какие из них следует ограничить. В это руководство входит слишком много факторов. Блокировка общих ресурсов остановит процесс шифрования, если он еще продолжается, и предотвратит шифрование других общих ресурсов, пока вы не удалите заражение из сети. Шаг 3: Завершение работы нулевого пациента Очень важно определить и отключить источник заражения. В более крупных организациях это может быть очень сложно. Вот несколько идей: Кто является владельцем новых файлов (инструкции по расшифровке)? Какие разрешения требовались для изменения зашифрованных файлов? У кого есть эти разрешения? Просматривайте открытые файлы в общих папках, чтобы найти зараженных пользователей. Если вы определите нулевого пациента и начнете действовать быстро можно ограничить заражение. В некоторых случаях заражение не будет замечено до тех пор, пока не будут зашифрованы все общие ресурсы. Выключите все потенциально зараженные машины и отключите их от сети на время. Пока машины не будут полностью очищены, они продолжают представлять угрозу сетевой безопасности и могут вызвать повторное заражение. Шаг 4: Определите заражение Следующий шаг состоит в том, чтобы определить вариант, чтобы вы могли спланировать лучший вариант восстановления для вашей ситуации. Инфекция уже победила ваш антивирус и другие средства защиты, так что они не помогут. Вот как мы это делаем. Просмотрите затронутые общие ресурсы, и вы быстро найдете текстовый файл. Он будет выглядеть как один из файлов, представленных ниже. Важное примечание. Большинство вариантов программ-вымогателей имеют таймер, который запускается при нажатии на ссылку в файле инструкций. У этого таймера было два разных результата. В некоторых случаях выкуп удваивается, когда время истекает. В других случаях файлы были зашифрованы навсегда. Не переходите по ссылкам, пока не прочтете это руководство и не составите план. Эти файлы являются ключом к борьбе с этой инфекцией. Обычно вы можете определить вариант, выполнив поиск в Интернете текста в этих файлах. Каждый вариант имеет важные характеристики, которые вы должны изучить . Для некоторых вариантов есть инструменты для дешифрования. Другие варианты могут даже не зашифровать файлы, но по-прежнему требуют выкупа. Определение варианта займет всего несколько минут. Действуйте быстро. Шаг 5 : Проверьте свои резервные копии Здесь вам нужно принять трудное решение — восстановить из резервной копии или заплатить выкуп. Прежде чем пытаться использовать, убедитесь, что у вас есть хорошие и актуальные резервные копии. их в качестве альтернативы уплате выкупа. Одним из худших результатов было бы начать восстановление и посмотреть, как оно завершится неудачей через много часов. Возможно, вы потеряли возможность платить выкуп, если таймер истек. Мы всегда выполняем тестовое восстановление. Убедитесь, что небольшое, но значительное количество зашифрованных файлов можно восстановить. ссильно. Рассчитать время восстановления: Каждый захочет знать, когда будет выполнено восстановление. Восстановление нескольких ГБ будет довольно быстрым, если резервная копия находится на месте. Для внешних резервных копий, наборов данных TB + или резервных копий на более медленных носителях восстановление может занять несколько дней. Здесь сложно дать конкретный совет, поэтому мы придерживаемся простого ответа: запустите восстановление и запустите его в течение 15–30 минут. Оцените полное время восстановления на основе этого эксперимента, затем спланируйте и сообщите о нем соответственно. Если тестовое восстановление сработало и ваше время восстановления приемлемое, у вас есть хороший вариант избежать уплаты выкупа. Если это не сработало, самая последняя резервная копия слишком старая или вы не хотите ждать завершения восстановления, тогда вы должны заплатить выкуп и рискнуть. Шаг 6: Выплата выкупа ФБР рекомендует жертвам программ-вымогателей не платить выкуп. «Выплата выкупа не только воодушевляет существующих киберпреступников, чтобы они нацелились на большее количество организаций, но и побуждает других преступников участвовать в подобной незаконной деятельности». Блог ФБР Если вы собираетесь заплатить выкуп, вот некоторая информация, которая вам понадобится. Выкуп выплачивается в биткойнах. Если они у вас еще нет, вам придется их покупать. В США у нас есть несколько способов купить биткойн. Процесс покупки биткойнов аналогичен открытию нового банковского счета, поскольку правительство США требует от этих фирм соблюдения правил «Знай своего клиента». Покупка биткойнов может занять время, и может быть ограничение на количество, которое вы можете купить за один раз. Хотя существует множество сайтов, где вы можете купить биткойны, два самых популярных в Соединенных Штатах: https://www.coinbase.com https://www.circle.com После покупки биткойнов вы можете использовать эти сайты для оплаты злоумышленников напрямую, переведя биткойны на их адрес. После того, как вы отправите биткойны, возврат средств невозможен.. Общение с злоумышленниками рискованно. Для некоторых вариантов требуется электронная почта для получения средства дешифрования. Нередко клиент платит выкуп, а затем снова подвергается нападению. В конце концов, вы только что доказали, что у плохих парней есть успешная бизнес-модель. Следует избегать общения, раскрывающего вашу личность. Всегда общайтесь с новой одноразовой учетной записью электронной почты, такой как учетная запись Gmail или Outlook.com. В опыте GCS большая часть общения требует ожидания в течение ночи. Похоже, что у злоумышленников разница во времени с нами в Техасе примерно на 12 часов. Нет никаких гарантий, что выкуп сработает. Эти парни — преступники. Доверяйте им на свой страх и риск. В GCS мы обычно запрашиваем доказательство расшифровки, отправляя злоумышленнику один из незашифрованных файлов (не конфиденциальные данные). Если они не могут расшифровать этот файл, уплата выкупа, вероятно, будет пустой тратой денег. Шаг 7: Расшифровка В зависимости от этических норм и обслуживания клиентов вашей злоумышленник, вы можете получить инструмент для расшифровки файлов после уплаты выкупа. Все верно — вы должны использовать программное обеспечение, предоставленное Злоумышленником, чтобы расшифровать файлы. Если это не заставляет вас нервничать, значит, вы не обращали на это внимания. GCS рекомендует одноразовую виртуальную машину, которая жестко заблокирована и защищена от дешифрования. После завершения расшифровки уничтожьте виртуальную машину. Это значительно замедлит процесс дешифрования, в отличие от запуска инструмента непосредственно на файловых серверах. Хотя решения для защиты от вирусов и вредоносных программ неэффективны для предотвращения заражения, многие из них эффективными являются идентификация средства дешифрования как вредоносного ПО. Это может усложнить процесс дешифрования и может потребовать дополнительного времени для работы. Заключительные мысли Есть много деталей, которые можно добавить в этот документ. К сожалению, GCS стали экспертами в области восстановления после заражения программами-вымогателями. Мы обязуемся обновлять этот документ по мере развития наших знаний и атак. GCS доступен для помощи в восстановлении для клиентов по соглашению. Наш совет по предотвращению повторения атак программ-вымогателей до боли прост: обучите сотрудников быть осторожными и убедитесь, что у вас есть хорошие резервные копии. Могут помочь дополнительные уровни безопасности — рассмотрите возможность добавления службы фильтрации DNS, такой как OpenDNS. Улучшите резервное копирование, включив в него такой компонент обеспечения непрерывности бизнеса, как Datto. Рассмотрите возможность тщательного аудита безопасности для выявления потенциальных проблем в вашей организации. Если у вас есть комментарии или вопросы, напишите нам по адресу ransomware@gcstechnologies.com. Удачи !
  2. Как работает программа-вымогатель
  3. Кто является целью для вымогателей?
  4. Как предотвратить программы-вымогатели
  5. Удаление программ-вымогателей
  6. Факты и цифры о программах-вымогателях
  7. Число программ-вымогателей падает?
  8. Стоит ли платить выкуп?
  9. Примеры программ-вымогателей
  10. Что делать при атаке программ-вымогателей
  11. Шаг 1. Разберитесь в своей ситуации
  12. Шаг 2: Заблокируйте
  13. Шаг 3: Завершение работы нулевого пациента
  14. Шаг 4: Определите заражение
  15. Шаг 5 : Проверьте свои резервные копии
  16. Шаг 6: Выплата выкупа
  17. Шаг 7: Расшифровка
  18. Заключительные мысли

Определение программы-вымогателя

Программа-вымогатель — это разновидность вредоносного ПО , которое шифрует файлы жертвы. Затем злоумышленник требует от жертвы выкуп за восстановление доступа к данным после оплаты.

Пользователям показаны инструкции о том, как внести плату за получение ключа дешифрования. Стоимость может варьироваться от нескольких сотен до тысяч долларов, выплачиваемых киберпреступникам в биткойнах.

Как работает программа-вымогатель

Существует ряд векторов, по которым вымогатели могут получить доступ компьютер. Одной из наиболее распространенных систем доставки является фишинговый спам — вложения, которые приходят жертве в электронном письме, маскируясь под файл, которому она должна доверять. После загрузки и открытия они могут захватить компьютер жертвы, особенно если у них есть встроенные инструменты социальной инженерии, которые обманом заставляют пользователей предоставлять административный доступ. Некоторые другие, более агрессивные формы программ-вымогателей, такие как NotPetya, используют бреши в системе безопасности для заражения компьютеров без необходимости обманывать пользователей.

Есть несколько вещей, которые вредоносная программа может сделать после того, как захватит компьютер жертвы, но Безусловно, наиболее распространенным действием является шифрование некоторых или всех файлов пользователя. Если вам нужны технические подробности, то в Infosec Institute можно найти подробный анализ того, как несколько разновидностей программ-вымогателей шифруют файлы. Но самое важное, что нужно знать, — это то, что в конце процесса файлы не могут быть расшифрованы без математического ключа, известного только злоумышленнику. Пользователь получает сообщение, объясняющее, что его файлы теперь недоступны и будут расшифрованы только в том случае, если жертва отправит злоумышленнику не отслеживаемый платеж в биткойнах.

В некоторых формах вредоносного ПО злоумышленник может претендовать на правоохранительный орган выключая компьютер жертвы из-за наличия порнографии или пиратское программное обеспечение на нем, и требуя уплаты «штрафа», возможно, чтобы жертвы, менее вероятно, чтобы сообщить о нападении властей. Но большинство атак не обращают внимания на это отговорку. Существует также вариант, называемый lekware или doxware , в котором злоумышленник угрожает опубликовать конфиденциальные данные на жестком диске жертвы, если не будет уплачен выкуп. Но поскольку поиск и извлечение такой информации — очень сложная задача для злоумышленников, шифровальщики-вымогатели являются наиболее распространенным типом.

Кто является целью для вымогателей?

Злоумышленники могут выбирать организации, на которые нацелены программы-вымогатели, несколькими способами. Иногда это вопрос возможностей: например, злоумышленники могут нацеливаться на университеты, потому что у них, как правило, меньшие группы безопасности и разрозненная база пользователей, которые много делятся файлами, что упрощает проникновение в их защиту.

С другой стороны, некоторые организации являются заманчивыми мишенями, потому что они с большей вероятностью заплатят выкуп быстро. Например, государственным учреждениям или медицинским учреждениям часто требуется немедленный доступ к своим файлам.. Юридические фирмы и другие организации, располагающие конфиденциальными данными, могут быть готовы платить, чтобы скрыть новости о взломе — и эти организации могут быть исключительно чувствительны к атакам с использованием утечек.

Но не думайте, что вы в безопасности, если не подходите под эти категории: как мы уже отмечали, некоторые программы-вымогатели автоматически и без разбора распространяются по Интернету.

Как предотвратить программы-вымогатели

Есть ряд защитных мер, которые вы можете предпринять, чтобы предотвратить заражение программами-вымогателями. Эти шаги, конечно же, являются хорошей практикой безопасности в целом, поэтому их выполнение улучшает вашу защиту от всевозможных атак:

  • Следите за тем, чтобы ваша операционная система была исправлена ​​и обновлялась. -to-date , чтобы уменьшить количество уязвимостей, которые можно использовать.
  • Не устанавливайте программное обеспечение и не предоставляйте ему права администратора , если вы точно не знаете, какие он есть и что он делает.
  • Установите антивирусное программное обеспечение , которое обнаруживает вредоносные программы, такие как программы-вымогатели, по мере их поступления, и занесение программного обеспечения в белый список , которое в первую очередь предотвращает выполнение неавторизованных приложений.
  • И разумеется, создавайте резервные копии файлов часто и автоматически! Это не остановит атаку вредоносного ПО, но может сделать ущерб, нанесенный одним, гораздо менее значительным.

Удаление программ-вымогателей

Если на вашем компьютере есть были заражены программой-вымогателем, вам необходимо восстановить контроль над своей машиной. У Стива Рагана из CSO есть отличное видео, демонстрирующее, как это сделать на машине с Windows 10:

В видео есть все подробностей, но важными шагами являются следующие:

  • Перезагрузите Windows 10 в безопасный режим
  • Установите антивирусное ПО
  • Просканируйте систему , чтобы найти программу-вымогатель.
  • Восстановить компьютер в предыдущее состояние.

Но вот важная вещь, о которой следует помнить: во время выполнения этих шагов можно удалить вредоносное ПО с вашего компьютера и восстановить его на вашем Control, он не расшифрует ваши файлы. Их преобразование в нечитабельность уже произошло, и, если вредоносная программа будет хоть сколько-нибудь сложной, никому будет математически невозможно расшифровать их без доступа к ключ, который держит злоумышленник. Фактически, удалив вредоносное ПО, вы исключили возможность восстановления файлов, заплатив злоумышленникам запрошенный выкуп.

Факты и цифры о программах-вымогателях

Программы-вымогатели — это большой бизнес. Программы-вымогатели приносят большие деньги, и с начала десятилетия рынок быстро рос. В 2017 году программа-вымогатель принесла убытки в размере 5 миллиардов долларов, как с точки зрения уплаченного выкупа, так и затрат, а также потери времени на восстановление после атак. Это в 15 раз больше, чем в 2015 году.. В первом квартале 2018 года только один вид программного обеспечения-вымогателя, SamSam, собрал выкуп в размере 1 миллиона долларов.

Некоторые рынки особенно подвержены заражению программами-вымогателями и платежеспособности. выкуп. Многие громкие атаки программ-вымогателей имели место в больницах и других медицинских организациях, что представляло собой заманчивую цель: злоумышленники знают, что, когда жизни буквально на волоске, эти предприятия с большей вероятностью просто заплатят относительно небольшой выкуп, чтобы получить проблема уйди. По оценкам, 45 процентов атак программ-вымогателей нацелены на медицинские организации, и, наоборот, 85 процентов заражений вредоносными программами в медицинских организациях являются программами-вымогателями. Еще одна соблазнительная индустрия? Сектор финансовых услуг, который, как классно заметил Уилли Саттон, является источником денег. По оценкам, 90% финансовых учреждений подверглись атаке программ-вымогателей в 2017 году.

Ваше антивирусное программное обеспечение не обязательно защитит вас. Программы-вымогатели постоянно создаются и изменяются разработчиками, поэтому их сигнатуры часто не обнаруживаются типичными антивирусными программами. Фактически, до 75% компаний, ставших жертвами программ-вымогателей, использовали на зараженных машинах новейшую защиту конечных точек.

Программы-вымогатели не так распространены, как это было. Если вы хотите хороших новостей, то вот что: количество атак программ-вымогателей после резкого роста в середине 10-х годов пошло на спад, хотя первоначальные цифры были достаточно высокими, чтобы они остались. Но в первом квартале 2017 года атаки программ-вымогателей составили 60% полезной нагрузки вредоносных программ; сейчас он упал до 5 процентов.

Число программ-вымогателей падает?

Что стоит за этим большим падением? Во многом это экономическое решение, основанное на выбранной киберпреступником валюте: биткойне. Взыскание выкупа с жертвы всегда было неудачным решением; они могут не решить платить, или даже если захотят, они могут быть недостаточно знакомы с биткойнами, чтобы понять, как это сделать на самом деле.

Как указывает Касперский, сокращение числа программ-вымогателей имеет сопровождался ростом так называемого майнинга вредоносных программ, которые заражают компьютер жертвы и используют свои вычислительные мощности для создания (или моего, на языке криптовалюты) биткойн без ведома владельца. Это удобный способ использования чужих ресурсов для получения биткойнов, который позволяет обойти большинство трудностей, связанных с получением выкупа, и он стал еще более привлекательным в качестве кибератаки по мере того, как в конце 2017 года цены на биткойны резко выросли.

Однако это не означает, что угроза миновала. Существует два различных типа атакующих программ-вымогателей: «обычные» атаки, которые пытаются заразить компьютеры без разбора в чистом объеме и включают так называемые платформы «вымогателей как услуга», которые преступники могут арендовать; и целевые группы, ориентированные на особо уязвимые сегменты рынка и организации. Вы должны быть настороже, если вы относитесь к последней категории, независимо от того, прошел ли большой бум вымогателей.

В связи с падением цены биткойнов в течение 2018 года анализ затрат и выгод ибо злоумышленники могут отступить. По словам Стива Гробмана, технического директора McAfee, в конечном итоге использование программ-вымогателей или вредоносных программ для криптодобычи — это бизнес-решение для злоумышленников. «Поскольку цены на криптовалюту падают, естественно видеть возврат [к программам-вымогателям]».

Стоит ли платить выкуп?

Если ваша система заражена вредоносных программ, и вы потеряли важные данные, которые нельзя восстановить из резервной копии, стоит ли платить выкуп?

Говоря теоретически, большинство правоохранительных органов призывают вас не платить злоумышленникам-вымогателям. логика, согласно которой это только поощряет хакеров к созданию большего количества программ-вымогателей. Тем не менее, многие организации, которые оказались поражены вредоносным ПО, быстро перестают думать о «большем благе» и начинают проводить анализ затрат и выгод, взвешивая цену выкупа. по сравнению с ценностью зашифрованных данных. Согласно исследованию Trend Micro, в то время как 66 процентов компаний заявляют , что они никогда не будут платить выкуп из принципа, на практике 65 процентов действительно платят выкуп, когда их атакуют.

Злоумышленники-вымогатели сохраняют цены на относительно низком уровне — обычно от 700 до 1300 долларов США. Nt компании обычно могут позволить себе платить в короткие сроки. Некоторые особо изощренные вредоносные программы обнаруживают страну, в которой работает зараженный компьютер, и корректируют размер выкупа в соответствии с экономикой этой страны, требуя большего от компаний из богатых стран и меньшего — от компаний из бедных регионов.

часто предлагаются скидки за быстрые действия, чтобы побудить жертв быстро заплатить, прежде чем слишком много думать об этом. Как правило, цена устанавливается так, чтобы она была достаточно высокой, чтобы оправдать затраты преступника, но достаточно низкой, чтобы она часто была дешевле, чем то, что жертва должна была бы заплатить за восстановление своего компьютера или восстановление потерянных данных. Имея это в виду, некоторые компании начинают встраивать потенциальную необходимость выплаты выкупа в свои планы безопасности: например, некоторые крупные британские компании, которые в остальном не имеют отношения к криптовалюте, держат часть биткойнов в резерве специально для выплат выкупа.

Здесь нужно запомнить несколько хитрых вещей, помня, что люди, с которыми вы имеете дело, конечно же, преступники. Во-первых, то, что выглядит как программа-вымогатель, могло вообще не зашифровать ваши данные; убедитесь, что вы не имеете дело с так называемыми «пугающими программами», прежде чем отправлять кому-либо деньги. Во-вторых, оплата злоумышленников не гарантирует, что вы вернете свои файлы. Иногда злоумышленники просто берут деньги и убегают, и, возможно, даже не встроили в вредоносную программу функции дешифрования.. Но любое такое вредоносное ПО быстро приобретет репутацию и не принесет дохода, поэтому в большинстве случаев — по оценке Гэри Сокрайдера, главного технолога по безопасности в Arbor Networks, от 65 до 70 процентов времени — мошенники проникают, и ваши данные восстанавливаются. .

Видео по теме:

Примеры программ-вымогателей

Хотя программы-вымогатели технически существуют с 90-х годов, они стали популярны только в последние пять лет или около того, в основном из-за доступности не отслеживаемых платежей. такие методы, как биткойн. К числу наиболее серьезных нарушителей относятся:

  • CryptoLocker , атака 2013 года, которая запустила эпоху современных программ-вымогателей и заразила до 500 000 машин на своем height.
  • TeslaCrypt нацелился на игровые файлы и постоянно совершенствовался во время своего террора.
  • SimpleLocker была первой широко распространенной атакой программ-вымогателей, которая была сосредоточена на мобильных устройствах.
  • WannaCry автономно распространилась с компьютера на компьютер с помощью EternalBlue, эксплойта, разработанного АНБ, а затем украдено хакерами.
  • NotPetya также использовал EternalBlue и, возможно, был частью направленной Россией кибератаки против Украины.
  • Locky начал распространяться в 2016 году и был «похож по способу атаки на печально известное банковское программное обеспечение Dridex». Вариант, Osiris , распространялся через фишинговые кампании.
  • Leatherlocker был впервые обнаружен в 2017 году в двух приложениях для Android: Booster & Очиститель и Размытие обоев HD. Вместо того, чтобы шифровать файлы, он блокирует главный экран для предотвращения доступа к данным.
  • Wysiwye , также обнаруженный в 2017 году, сканирует Интернет на наличие открытого протокола удаленного рабочего стола ( RDP) серверов. Затем он пытается украсть учетные данные RDP для распространения по сети.
  • Cerber оказался очень эффективным, когда он впервые появился в 2016 году, собрав злоумышленникам 200 000 долларов в июле того же года. . Он использовал уязвимость Microsoft для заражения сетей.
  • BadRabbit распространился по медиакомпаниям в Восточной Европе и Азии в 2017 году.
  • SamSam существует с 2015 года и ориентирован в первую очередь на медицинские организации.
  • Ryuk впервые появился в 2018 году и используется в целевых атаки на уязвимые организации, такие как больницы. Он часто используется в сочетании с другими вредоносными программами, такими как TrickBot.
  • Maze — относительно новая группа программ-вымогателей, известная тем, что раскрывает украденные данные общественности, если жертва этого не делает. заплатите за его расшифровку.
  • RobbinHood — еще один вариант EternalBlue, который поставил город Балтимор, штат Мэриленд, на колени в 2019 году.
  • GandCrab может быть самой прибыльной программой-вымогателем. Его разработчики, которые продали программу киберпреступникам, требуют выплат жертвам на сумму более 2 миллиардов долларов по состоянию на июль 2019 года.
  • Sodinokibi нацелен на системы Microsoft Windows и шифрует все файлы кроме файлов конфигурации. Он связан с GandCrab.
  • Thanos — новейшая программа-вымогатель в этом списке, обнаруженная в январе 2020 года. Она продается как программа-вымогатель как услуга. Это первая программа. использовать технику RIPlace, которая может обойти большинство методов защиты от программ-вымогателей.

Этот список станет длиннее. Следуйте приведенным здесь советам, чтобы защитить себя.

Видео по теме:



Что делать при атаке программ-вымогателей

Пошаговое руководство для ИТ-руководителей по лечению заражения программ-вымогателями

«Почему я не могу открыть этот файл?» «Мой диск P полон файлов со смешными названиями». «Помогите!» Всегда все начинается одинаково. Кто-то вошел в систему и заметил странные имена файлов или отсутствующие файлы. Это явные признаки атаки программы-вымогателя, а это означает, что ваш день стал намного хуже.

Хорошие новости: вы попали в нужное место. Это видео ниже дает вам двухминутный обзор. Эта статья пошагово проведет вас по пути к выздоровлению.

ПЕРЕД НАЧАЛОМ: Этот совет предоставляется как есть, без гарантии или гарантии. Этот процесс хорошо зарекомендовал себя при десятках заражений программами-вымогателями. Однако ваш пробег может отличаться. Используйте на свой риск. Ситуация быстро меняется, и эта информация может уже быть устаревшей. Мы будем обновлять это по мере поступления новой информации. Если вам нужна помощь, просто спросите нас! Комментарии и предложения приветствуются.

Шаг 1. Разберитесь в своей ситуации

Вы были заражены вредоносным ПО. Вредоносная программа обошла ваш антивирус и другие средства защиты. Скорее всего, это результат каких-либо действий пользователя (например, нажатия на ссылку), но в наши дни это не всегда так. Вирус использует разрешения зараженного пользователя для доступа к файлам и их шифрования. Программы-вымогатели могут шифровать файлы операционной системы, общие сетевые ресурсы и даже облачные файловые системы.

Существует небольшая вероятность того, что вы сможете расшифровать эти файлы с помощью бесплатного инструмента, доступного в Интернете у нескольких различных компаний по безопасности. Этот лучший сценарий по-прежнему приведет к часам простоя и эффективен только для определенных вариантов программ-вымогателей. В большинстве случаев вам придется восстанавливать файлы из резервной копии или платить выкуп. Восстановление больших наборов данных может занять от нескольких часов до нескольких дней. Если вы решите заплатить выкуп, рассчитывайте потратить от нескольких сотен до нескольких тысяч долларов..

Сейчас хорошее время, чтобы сообщить руководству и персоналу о проблеме. Критические системы будут отключены в течение длительного периода времени. Это будет долгий день для всех.

Шаг 2: Заблокируйте

На данный момент все, что мы знаем это то, что вы инфицированы. Источником может быть один или несколько пользователей. Инфекция может длиться несколько часов или дней. Нам нужно остановить кровотечение, прежде чем мы сможем лечить этого пациента. Вы должны немедленно отключить акции.

Прежде чем заблокировать эти общие ресурсы, мы могли бы сэкономить много времени на более поздних этапах. Посмотрите на открытые файлы в зашифрованных общих папках. Это может помочь вам определить источник инфекции, которую мы называем нулевым пациентом. Если вы видите одного пользователя с сотнями открытых файлов, вероятно, они являются источником заражения.

Какие общие ресурсы следует заблокировать? Все они — самый безопасный ответ, но ваша ситуация будет определять, какие из них следует ограничить. В это руководство входит слишком много факторов.

Блокировка общих ресурсов остановит процесс шифрования, если он еще продолжается, и предотвратит шифрование других общих ресурсов, пока вы не удалите заражение из сети.

Шаг 3: Завершение работы нулевого пациента

Очень важно определить и отключить источник заражения. В более крупных организациях это может быть очень сложно. Вот несколько идей:

  1. Кто является владельцем новых файлов (инструкции по расшифровке)?

  2. Какие разрешения требовались для изменения зашифрованных файлов? У кого есть эти разрешения?

  3. Просматривайте открытые файлы в общих папках, чтобы найти зараженных пользователей.

Если вы определите нулевого пациента и начнете действовать быстро можно ограничить заражение. В некоторых случаях заражение не будет замечено до тех пор, пока не будут зашифрованы все общие ресурсы.

Выключите все потенциально зараженные машины и отключите их от сети на время. Пока машины не будут полностью очищены, они продолжают представлять угрозу сетевой безопасности и могут вызвать повторное заражение.

Шаг 4: Определите заражение

Следующий шаг состоит в том, чтобы определить вариант, чтобы вы могли спланировать лучший вариант восстановления для вашей ситуации. Инфекция уже победила ваш антивирус и другие средства защиты, так что они не помогут. Вот как мы это делаем.

Просмотрите затронутые общие ресурсы, и вы быстро найдете текстовый файл. Он будет выглядеть как один из файлов, представленных ниже.

Важное примечание. Большинство вариантов программ-вымогателей имеют таймер, который запускается при нажатии на ссылку в файле инструкций. У этого таймера было два разных результата. В некоторых случаях выкуп удваивается, когда время истекает. В других случаях файлы были зашифрованы навсегда. Не переходите по ссылкам, пока не прочтете это руководство и не составите план.

Эти файлы являются ключом к борьбе с этой инфекцией. Обычно вы можете определить вариант, выполнив поиск в Интернете текста в этих файлах. Каждый вариант имеет важные характеристики, которые вы должны изучить . Для некоторых вариантов есть инструменты для дешифрования. Другие варианты могут даже не зашифровать файлы, но по-прежнему требуют выкупа. Определение варианта займет всего несколько минут. Действуйте быстро.

Шаг 5 : Проверьте свои резервные копии

Здесь вам нужно принять трудное решение — восстановить из резервной копии или заплатить выкуп. Прежде чем пытаться использовать, убедитесь, что у вас есть хорошие и актуальные резервные копии. их в качестве альтернативы уплате выкупа. Одним из худших результатов было бы начать восстановление и посмотреть, как оно завершится неудачей через много часов. Возможно, вы потеряли возможность платить выкуп, если таймер истек.

Мы всегда выполняем тестовое восстановление. Убедитесь, что небольшое, но значительное количество зашифрованных файлов можно восстановить. ссильно.

Рассчитать время восстановления: Каждый захочет знать, когда будет выполнено восстановление. Восстановление нескольких ГБ будет довольно быстрым, если резервная копия находится на месте. Для внешних резервных копий, наборов данных TB + или резервных копий на более медленных носителях восстановление может занять несколько дней. Здесь сложно дать конкретный совет, поэтому мы придерживаемся простого ответа: запустите восстановление и запустите его в течение 15–30 минут. Оцените полное время восстановления на основе этого эксперимента, затем спланируйте и сообщите о нем соответственно.

Если тестовое восстановление сработало и ваше время восстановления приемлемое, у вас есть хороший вариант избежать уплаты выкупа. Если это не сработало, самая последняя резервная копия слишком старая или вы не хотите ждать завершения восстановления, тогда вы должны заплатить выкуп и рискнуть.

Шаг 6: Выплата выкупа

ФБР рекомендует жертвам программ-вымогателей не платить выкуп. «Выплата выкупа не только воодушевляет существующих киберпреступников, чтобы они нацелились на большее количество организаций, но и побуждает других преступников участвовать в подобной незаконной деятельности». Блог ФБР

Если вы собираетесь заплатить выкуп, вот некоторая информация, которая вам понадобится.

Выкуп выплачивается в биткойнах. Если они у вас еще нет, вам придется их покупать. В США у нас есть несколько способов купить биткойн. Процесс покупки биткойнов аналогичен открытию нового банковского счета, поскольку правительство США требует от этих фирм соблюдения правил «Знай своего клиента». Покупка биткойнов может занять время, и может быть ограничение на количество, которое вы можете купить за один раз.

Хотя существует множество сайтов, где вы можете купить биткойны, два самых популярных в Соединенных Штатах:

  1. https://www.coinbase.com
  2. https://www.circle.com

После покупки биткойнов вы можете использовать эти сайты для оплаты злоумышленников напрямую, переведя биткойны на их адрес. После того, как вы отправите биткойны, возврат средств невозможен..

Общение с злоумышленниками рискованно. Для некоторых вариантов требуется электронная почта для получения средства дешифрования. Нередко клиент платит выкуп, а затем снова подвергается нападению. В конце концов, вы только что доказали, что у плохих парней есть успешная бизнес-модель. Следует избегать общения, раскрывающего вашу личность. Всегда общайтесь с новой одноразовой учетной записью электронной почты, такой как учетная запись Gmail или Outlook.com.

В опыте GCS большая часть общения требует ожидания в течение ночи. Похоже, что у злоумышленников разница во времени с нами в Техасе примерно на 12 часов.

Нет никаких гарантий, что выкуп сработает. Эти парни — преступники. Доверяйте им на свой страх и риск. В GCS мы обычно запрашиваем доказательство расшифровки, отправляя злоумышленнику один из незашифрованных файлов (не конфиденциальные данные). Если они не могут расшифровать этот файл, уплата выкупа, вероятно, будет пустой тратой денег.

Шаг 7: Расшифровка

В зависимости от этических норм и обслуживания клиентов вашей злоумышленник, вы можете получить инструмент для расшифровки файлов после уплаты выкупа. Все верно — вы должны использовать программное обеспечение, предоставленное Злоумышленником, чтобы расшифровать файлы. Если это не заставляет вас нервничать, значит, вы не обращали на это внимания.

GCS рекомендует одноразовую виртуальную машину, которая жестко заблокирована и защищена от дешифрования. После завершения расшифровки уничтожьте виртуальную машину. Это значительно замедлит процесс дешифрования, в отличие от запуска инструмента непосредственно на файловых серверах.

Хотя решения для защиты от вирусов и вредоносных программ неэффективны для предотвращения заражения, многие из них эффективными являются идентификация средства дешифрования как вредоносного ПО. Это может усложнить процесс дешифрования и может потребовать дополнительного времени для работы.

Заключительные мысли

Есть много деталей, которые можно добавить в этот документ. К сожалению, GCS стали экспертами в области восстановления после заражения программами-вымогателями. Мы обязуемся обновлять этот документ по мере развития наших знаний и атак. GCS доступен для помощи в восстановлении для клиентов по соглашению.

Наш совет по предотвращению повторения атак программ-вымогателей до боли прост: обучите сотрудников быть осторожными и убедитесь, что у вас есть хорошие резервные копии. Могут помочь дополнительные уровни безопасности — рассмотрите возможность добавления службы фильтрации DNS, такой как OpenDNS. Улучшите резервное копирование, включив в него такой компонент обеспечения непрерывности бизнеса, как Datto. Рассмотрите возможность тщательного аудита безопасности для выявления потенциальных проблем в вашей организации.

Если у вас есть комментарии или вопросы, напишите нам по адресу ransomware@gcstechnologies.com.

Удачи !

Оцените статью
logicle.ru
Добавить комментарий