Защита от вирусов шифровальщиков (шифраторов, крипто-вирусов)

Вирус шифровальщик — это компьютерный вирус, относящийся к вирусам вымогателям, который стал распространяться лавинообразно с 2016 году. В том году Лаборатория касперского объявила его главной угрозой.
Другие его названия: крипто-вирус, вирус-вымогатель, Virus-Encoder, Trojan-Encoder. Вирусы шифровальщики атакуют компании самого разного уровня и масштаба — от криптографов пострадали от таких гигантов как Gigabyte и Ferra Candy до салонов красоты и автомастерских.

По подсчетам аналитиков из IDC в мире каждая третья компания так или иначе столкнулась с компьютерным вирусом вымогателем, а общей ущерб причененный мировой экономике исчесляется миллиардами долларов США.

Так как криптовирусы относятся к вредоносным программам, для них действуют те же варианты классификации, что и для других компьютерных вирусов. Часто их разделяют по способу распространения: через массовые почтовые рассылки или фишинговые письма, загрузку зараженных файлов с сайтов или файлообменных сервисов, проникновение вируса с использованием уязвимости в программном коде операционной системы или с помощью брутфорс атаки.

У всех вирусов шифровальщиков общий принцип работы:
1. Он шифрует информацию на зараженном компьютере, используя передовые методы криптографии (AES, RC4, DES, 3DES, RC5, RC6). Это пример того как средства защиты информации были обращены во вред.
2. Затем удаляет себя, чтобы по коду компьютерного вируса невозможно было воссоздать ключ шифрования информации.
3. Удаляются резервные копии и ценная информация;
4. Заражаются компьютеры в локальной сети;
5. Реже рассылаются письма с вирусом от Вашего имени, адресатам из Вашей адресной книги;
6. Злоумышленник оставляет сообщение о необходимости сделать платеж, чтобы вернуть данные. Обычно вымогатель требует оплату в биткоинах, чтобы его невозможно было выследить.

Письма приходят, якобы, от уполномоченных органов (арбитражный суд, налоговая инспекция, пенсионный фонд, ФСС и т.п.). Письма содержат во вложении файл или ссылку на файл похожий на доверенный документ — предписание от регулятора, уведомление о предстоящей проверке или постановление суда. Согласитесь, проигнорировать такой документ сложно.На самом деле вложение содержит компьютерный вирус шифровальщик.

При попытке открыть файл происходит заражение, в результате которого:
1. Полностью или частично шифруется информация на жестких дисках Вашего компьютера и сетевых дисках. Вместо привычных расширений файлов вы видите: vault, cbr, crypt, crypted, xtbl или другие;

Обращайте внимание на:
1. Адрес отправителя (ВСЕ уполномоченные гос. организации используют только собственные почтовые службы для рассылок и никогда не используют публичные почтовые сервисы вроде mail.ru или yandex.ru);
2. Тип файла прикрепленного к письму: зачастую это файлы с двойным расширением (например решение.doc.exe);
3. Ссылка в письме — она может быть очень похожа на адрес сайта органа власти, но вести на сайт злоумышленника, содержащего компьютерный вирус (например сайт http://arbitr.ru/ — сайт арбитражного суда РФ. А так может выглядеть ссылка на сайт злоумышленника, выдающего себя за арбитражный суд http://arbitr.sudi.ru/).
Зачастую письма выглядят убедительно, текст письма побуждает немедленно открыть файл или пройти по ссылке

1. Постараться выяснить достоверность приведенных в нем сведений, не переходя по ссылке и не открывая файл (к примеру, позвонить в учреждение, от имени которого направлено письмо);
2. Обратиться к нашим специалистам, чтобы убедиться, что письмо не опасно.
Телефон технической поддержки «Реал Тайм Сервис» (383) 255-15-05 (доб. 0) или оставить заявку и мы с вами свяжемся.

Часто, когда сервер «смотри в интернет» портами для удаленного управления, заражение шифровальщиком происходит вследствие хакерской атаки по типу Brute Force — атака методом перебора сочетаний логина\пароля по словарю. (По статистике ФБР: 70% — 80% вирусов шифровальщиков проникают в системы через RDP (протокол удаленного рабочего стола). С массовым переходом на “удаленку”, эта проблема стала особенно критичной.
Если не настроена соответствующая защита сервера, каждый сервер подвергается подобной атаке непрерывно, и вопрос взлома — это лишь вопрос времени.
Чтобы проверить насколько защищен ваш сервер, закажите бесплатный аудит в Real Time Service.
После того как хакеры получили доступ — они в автоматическом режиме запускают вирус шифровальщик, а дальше он шифрует информацию и работает как мы указали выше.

Частом способом проникновения вируса шифровальщика являются уязвимости операционной системы или других приложений. Такой путь к примеру использовал печально известный шифровальщик 2017 года — WannaCry нанесший ущерб более $ 1 млрд. Этот пример нам показывает насколько дорого обходится отсутствие регулярных обновлений и использование устаревших протоколов для кибербезопасности.

Заразив компьютер, вирус шифровальщик активно распространяется заражая сетевые флешки и диски. Таким образом, вся компьютерная сеть предприятия может быть заражена в течении одной ночи, и с помощью флешек вирус распространиться дальше.

Антивирусы пропускают вирусы шифровальщики. Это связано с тем, что каждый день появляются новые криптовирусы и их модификации, которые не распознаются антивирусным ПО, и к моменту, когда они попадают в антивирусные базы, сотни тысяч компьютеров оказываются зараженными. Однако наши специалисты разработали ряд мер, позволяющих если не предотвратить заражение шифровальщиком, то сделать так, чтобы оно не нанесло сколько-нибудь серьезного вреда.

Мы всегда готовы защитить вашу информацию от утраты, вследствие заражения компьютерным вирусом шифровальщиком. У нас много успешных кейсов по обеспечению информационной безопасности на предприятиях наших заказчиков.

Файлы, зашифрованные современными шифраторами, не поддаются расшифровке, поскольку вирусы используют устойчивый алгоритм шифрования. Даже антивирусные лаборатории не могут помочь в расшифровке файлов в большинстве случаев. Конечно, не будет лишним обратиться в Лабораторию Касперского или Dr.Web за помощью, однако гарантированного результата не стоит ждать.

Иногда, с разной степенью успеха, удается расшифровывать определенные виды файлов (например базы 1С). В некоторых случаях получается восстановить информацию из теневых копий с использованием штатных функций защиты системы Windows. Процесс восстановления информации (data recovery) всегда занимает продолжительное время.
Однако единственным по настоящему действенным методом защиты от вируса шифровальщика являются предупредительные меры. Поэтому очень важно обеспечить сохранность данных заранее.

Для защиты от вируса шифратора, рекомендуем регулярно выполнять автоматическое резервное копирование по принципу 3-2-1 критически важных данных. Копии файлов должны хранится на внешнем носителе, с защищенным доступом, например, на сетевом хранилище NAS. На ваш выбор, мы можем предложить различные варианты реализации сетевого хранилища данных с защищенным доступом под ваши задачи. Стоимость сетевого хранилища сопоставима с той суммой, которую требуют злоумышленники за расшифровку одного заражения, однако с его помощью вы можете защитить всю сеть на многие годы.

Если на рабочей станции установлена операционная система версии Windows 7 и выше, то необходимо включить и настроить функцию теневых копий на каждом локальном диске. В случае заражения крипто-вирусом вероятность расшифровать файлы повысится, если у Вас будут правильно настроенные теневые копии.

Чтобы получить гарантированную защиту от вирусов шифровальщиков обратитесь к нашим специалистам по телефону (383) 255-15-05 (доб. 0) или оставьте заявку