Программа-вымогатель (ransomware) – это вредоносное программное обеспечение, которое киберпреступники используют для получения контроля над вашим компьютером или компьютерными файлами ради выкупа, требуя от вас произвести оплату, чтобы вернуть себе контроль над ними. К сожалению, программы-вымогатели становится среди авторов вредоносных программ все более и более популярным способом вымогать деньги как у компаний, так и у потребителей. Существует множество программ-вымогателей, которые могут проникнуть в персональный компьютер, но, как всегда, эти методы сводятся либо к тактике социальной инженерии, либо к использованию уязвимостей программного обеспечения для незаметной установки на компьютер жертвы.
Почему Cryptolocker заслуживает особого внимания?
Одной из таких программ-вымогателей, которая не сходит с заголовков новостей в последнее время, является Cryptolocker (обнаружена компанией ESET в виде Win32/Filecoder): зайдите в базу знаний ESET для получения обновленной информации об обнаружении Cryptolocker и других программ-вымогателей). Преступники, использующие Cryptolocker, отправили ее по электронной почте огромному числу людей, преимущественно в США и Великобритании. Подобно всем закоренелым преступникам, это вредоносное программное обеспечение действует в связке со множеством других опасных «деятелей» – троянскими программами-бэкдорами, загрузчиками, спамерами, похитителями паролей, рекламными кликерами и т.п. Но Cryptolocker может появляться и автономно (часто по электронной почте), либо с помощью бэкдора или загрузчика в виде дополнительного компонента.
Вы можете задаться вопросом, почему такой большой шум из-за этого одного конкретного семейства программ-вымогателей – если коротко, то потому, что авторы Cryptolocker оказались одновременно и очень изворотливыми и очень настойчивыми. Ими предпринимаются согласованные действия по выдаче новых вариантов, они стараются не отставать от изменений в технологиях защиты и с течением времени атакуют все новые и новые группы пользователей.
С начала сентября авторы вредоносных программ отправили несколько волн нежелательных электронных писем, нацеленных на разные группы. Большинство из атакуемых групп находятся в США и Великобритании, но нет никаких географических ограничений относительно того, кого это может коснуться, и уже пострадало много людей из других стран. Первоначально электронные письма предназначались для пользователей домашних компьютеров, а затем для малых и средних предприятий, теперь же они отправляются и на крупные предприятия.
Вредоносная программа также распространяется через порты протокола удаленного рабочего стола (RDP), которые были оставлены открытыми для Интернета, а также по электронной почте. Программа Cryptolocker также может поражать пользовательские файлы, находящиеся на «отображаемых» дисках», то есть последним присвоена определенная буква (например, D:, E:, F:). Это может быть внешний жесткий диск, в том числе USB-накопители, или это может быть папка в сети или в облаке. Если у вас есть, скажем, отображаемая локально папка Dropbox, программа может зашифровать файлы, находящиеся и в ней.
На данный момент пострадали десятки тысяч компьютеров, хотя, считается, что преступники отправили миллионы электронных писем. Хочется верить, что остальные получатели просто удалили вредоносные электронные письма, не открыв их, и не оставили их в системе неоткрытыми, ожидающими момента, когда они могут нанести еще больше вреда.
У людей, чьи компьютеры были поражены, множество файлов оказались зашифрованными. Это, прежде всего, файлы популярных форматов данных, файлы, которые вы открываете с помощью тех или иных программ (например, Microsoft Office, Adobe, iTunes, других музыкальных плееров или программ для просмотра фотографий). Авторы вредоносных программ используют два типа шифрования: сами файлы защищены 256-битным AES-шифрованием. Ключи, сгенерированные этим первым процессом шифрования, затем защищаются 2048-битным RSA-шифрованием, и автор вредоносной программы хранит секретный ключ, который позволяет расшифровывать как ключи на компьютере пользователя, так и файлы, которые они защищают. Ключ дешифрования невозможно получить методом решения «в лоб» или извлечь из памяти пораженного компьютера. По идее, секретный ключ есть только у преступников.
Что вы можете с этим поделать?
С одной стороны, программа-вымогатель может быть очень страшной – зашифрованные файлы могут в большинстве случаев считаться не подлежащими восстановлению. Но если вы правильно подготовили свою систему, это фактически не более, чем неприятность. Вот несколько советов, которые помогут вам надежно защититься от программы-вымогателя:
1. Резервное копирование данных
Самый главный способ, который спасет вас от программы-вымогателя – это наличие регулярно обновляемой резервной копии. Если вы подверглись атаке программы-вымогателя, вы можете потерять тот документ, который вы начали сегодня рано утром, но если вы можете восстановить свою систему до предыдущего снимка файловой системы или очистить компьютер и восстановить другие потерянные документы из резервной копии, вы можете быть спокойны. Помните: Cryptolockerшифрует файлы и на дисках, которые отображаются. К ним относятся любые внешние накопители, такие как USB-накопители, а также любые сетевые или облачные хранилища файлов, которым вы присвоили букву диска. Итак, что вам нужно – это режим регулярного резервного копирования на внешний диск или сервис резервного копирования, которому не присвоена буква диска или который подключается только тогда, когда выполняется резервное копирование.
Следующие три совета относятся к решениям, связанным с непосредственным действием Cryptolocker– эти советы могут утратить свою актуальность в будущем, но они могут помочь вам повысить общую безопасность простыми приемами, позволяющими защититься от множества широко распространенных вредоносных методов.
2. Показ скрытых расширений файлов
Один из способов, каким Cryptolocker часто попадает в систему, – это файл, имеющий расширение как: «.PDF.EXE». Расчет делается на то, что в настройках Windowsпо умолчанию известные расширения файлов скрыты. Если включить возможность просмотра полного расширения файла, то обнаружить подозрительные файлы будет проще.
3. Фильтрование EXE-файлов в электронной почте
Если ваш сканер шлюза электронной почты имеет возможность фильтровать файлы по расширению, вы можете отказаться от приема писем, отправленных с файлами, имеющими расширение «.EXE», или отклонять письма с файлами, имеющими два расширения, причем последнее из них – исполняемое («файлы *. * .EXE», на языке фильтрования). Если вам в вашей ситуации действительно нужно обмениваться исполняемыми файлами, и при этом вы хотите отклонять письма с файлами, имеющими расширение «.EXE», вы можете делать это с помощью ZIP-файлов (безусловно, защищенных паролем) или через облачные сервисы.
4. Отключение файлов, запускаемых из папок AppData/LocalAppData
Вы можете создавать правила в Windows или с помощью программного обеспечения для предотвращения вторжений, чтобы запретить конкретное и известное действие, предпринимаемое программой Cryptolocker, которое состоит в том, что ее исполняемый файл должен запускаться из папок AppData или LocalAppData. Если (по той или иной причине) у вас есть надежное программное обеспечение, которое, как вам известно, настроено на запуск не из обычной области Program Files, а из области AppData, то вам придется исключить его из этого правила.
5. Использование Набора инструментов по защите от Cryptolocker
Набор инструментов по защите от Cryptolocker (CryptolockerPreventionKit) – это инструмент, созданный ресурсом Third Tier, который автоматизирует процесс создания «групповой политики» (Group Policy) для отключения файлов, запускаемых из папок AppData и LocalAppData, а также отключает запуск исполняемых файлов из папки Temp различных распаковываемых утилит. Этот инструмент обновляется по мере обнаружения новых методов для Cryptolocker, поэтому рекомендуется заходить на этот ресурс периодически, чтобы быть уверенным, что у вас имеется последняя версия. Если вам нужно создать исключения из этих правил, ресурс предоставляет настоящий документ, который объясняет этот процесс.
6. Отключение RDP
Вредоносная программа Cryptolocker/Filecoder часто обращается к целевым компьютерам, используя протокол удаленного рабочего стола (Remote Desktop Protocol, RDP), утилиту Windows, которая позволяет другим пользователям удаленно обращаться к вашему рабочему столу. Если вам не нужно пользоваться RDP, вы можете отключить RDP для защиты вашего компьютера от Filecoder и других эксплойтов RDP. Инструкции, как это сделать, можно найти в соответствующей статье базы знаний Майкрософт ниже:
7. Патч или обновление программного обеспечения
Следующие два совета – это рекомендации, касающиеся вредоносных программ, более общего порядка, которые в равной степени относятся и к программе Cryptolocker, и к любой угрозе, связанной с вредоносными программами. Авторы вредоносных программ часто ориентируются на людей, у которых установлено устаревшее программное обеспечение с известными уязвимостями, которыми они могут воспользоваться для незаметного доступа к вашей системе. Поэтому возможный ущерб от программ-вымогателей можно существенно уменьшить, если завести за правило частое обновление своего программного обеспечения. Некоторые поставщики регулярно выпускают обновления для систем безопасности (Microsoft и Adobe используют для этого второй вторник месяца), но в случае чрезвычайной ситуации часто имеют место «дополнительные» или внеплановые обновления. Если сумеете, включите автоматические обновления или перейдите непосредственно на веб-сайт поставщика программного обеспечения, поскольку авторы вредоносных программ любят маскировать свои творения под уведомления об обновлении программного обеспечения.
8. Использование авторитетного пакета безопасности
Всегда полезно иметь как программное обеспечение для защиты от вредоносных программ, так и программный брандмауэр, которые помогут вам определить угрозы или подозрительные действия. Чтобы избежать обнаружения, авторы вредоносных программ, часто рассылают новые варианты, именно поэтому так важно иметь оба уровня защиты. Сегодня для совершения своих преступлений большинство вредоносных программ полагаются на удаленные инструкции. Если вы столкнетесь с новейшим вариантом программы-вымогателя, которая сумела обойти программное обеспечение для защиты от вредоносных программ, ее все равно можно остановить брандмауэром, когда та попытается подключиться к командному серверу для получения инструкций по шифрованию ваших файлов.
Если вы оказались в ситуации, когда вы уже запустили файл программы-вымогателя, не выполнив ни одной из предыдущих мер предосторожности, у вас остается не так много вариантов. Но, возможно, еще не все потеряно. Есть несколько способов, какими вы можетеуменьшить ущерб, в частности, если речь идет об обсуждаемой программе-вымогателе Cryptolocker:
9. Отключение Wi-Fi или немедленное отключение от сети
Если вы запустите файл, который, как вы подозреваете, может быть программой-вымогателем, но вы еще не увидели экран, характерный для программы-вымогателя, то если вы будете действовать оченьбыстро, у вас может получиться прервать связь с командным сервером до того, как тот закончит шифрование ваших файлов. Если вы отключитесь от сети немедленно (я подчеркиваю: это необходимо сделать сразу!), вы сможете уменьшить ущерб. Чтобы зашифровать все ваши файлы, программе требуется некоторое время, поэтому вы можете суметь остановить ее, прежде чем ей удастся испортить их все до единого. Безусловно, этот метод не является надежным, и вам может не повезти, или вы не сможете двигаться быстрее вредоносной программы, но отключиться от сети – это, вероятно, все-таки лучше, чем просто сидеть сложа руки.
10. Использование функции «Восстановление системы» для возвращения в известное чистое состояние
Если на вашем компьютере с Windows включена функция «Восстановление системы» (System Restore), то вы можете вернуть свою систему в известное чистое состояние. Но, опять же, вам нужно перехитрить вредоносную программу. Новые версии Cryptolocker могут иметь возможность удалять «теневые» файлы из функции «Восстановление системы», а это значит, что этих файлов не будет при попытке заменить файлы, поврежденные вредоносной программой. Cryptolocker будет начинать процесс удаления всякий раз, как будет запускаться исполняемый файл, поэтому вам придется двигаться очень быстро, поскольку исполняемые файлы могут запускаться как часть автоматизированного процесса. Иными словами, исполняемые файлы могут запускаться без вашего ведома, как составные части обычной работы вашей системы Windows.
11. Перевод часов BIOS назад
В программе Cryptolocker имеется таймер оплаты, который обычно установлен на 72 часа, после чего стоимость ключа расшифровки значительно увеличивается. (Цена может варьироваться, так как стоимость биткойна очень изменчива. На момент записи начальная цена – 0,5 биткойна, или 1500 долларов, а затем поднимается до 4 биткойнов). Вы можете немного «выиграть время», переведя часы BIOS назад – до того момента, когда откроется 72-часовое окно. Я даю этот совет неохотно, поскольку все, чем он может помочь – это не дать вам заплатить более высокую цену, мы же настоятельно рекомендуем вам не платить выкуп вообще. Заплатив преступникам, вы можете вернуть свои данные, но было немало случаев, когда ключ дешифрования так никогда и не приходил или когда с его помощью не удавалось должным образом расшифровать файлы. Кроме того, это только поощряет преступную деятельность! Вымогательство чего-либоне является допустимой коммерческой деятельностью, плюс авторы вредоносных программ не несут никаких обязательств поступать так, как они обещали: они могут взять с вас деньги и ничего не дать взамен, поскольку для преступников не будет никаких негативных последствий, если они не сдержат своего слова.
Дополнительная информация
Если вы являетесь клиентом компании ESET и заботитесь о защите от программ-вымогателей или думаете, что вы были атакованы программой-вымогателем, позвоните по номеру технической поддержки в вашей стране/вашем регионе. Сотрудники технической поддержки имеют самую свежую информацию о том, как предотвращать и устранять атаки программ-вымогателей.
Наконец, следует отметить, что недавняя серия атак программ-вымогателей стала причиной такого количества торопливых репортажей главным образом потому, что она означает отход от предшествующих тенденций в развитии вредоносных программ, связанных с финансовым мошенничеством (которые, как правило, имели скрытный характер и, следовательно, не повреждали данные). Программы-вымогатели, безусловно, могут внушать страх, но существует множество внешне безобидных проблем, которые могут вызвать не меньшие разрушения. Именно поэтому лучшей практикой по защите от потери данных всегда было и всегда будет регулярное резервное копирование. Таким способом, независимо от того, что произойдет, вы сможете быстро перезапустить свою цифровую жизнь. Остается надеяться, если что-то хорошее и может выйти из такого нашествия программ-вымогателей, то это понимание важности регулярного и частого резервного копирования для защиты наших ценных данных.
Источник: Welivesecurity
