• 23 Мая 2017

Вирусы-шифровальщики: как защитить свою информацию?

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru


5.jpg

Этот год выдался крайне неспокойным для сферы IT. Сначала была обнаружена первая документированная опаснейшая уязвимость в процессоре Intel, связанная с возможностью получения удаленного доступа даже к выключенному компьютеру, если он подсоединен к электрической сети или работает на аккумуляторе. Затем, в защитных механизмах Windows была обнаружена одна из самых опасных уязвимостей, также позволяющая получить удаленный доступ к компьютеру даже после простого получения письма, без каких-либо действий со стороны пользователя. В аудио драйвере компании HP вообще была обнаружена программа, запоминающая нажатие клавиш (кейлогер).
Апофеозом всего стала эпидемия вируса Wannacry. Хочется плакать - так так многие ресурсы перевели название вируса. Нa caмoм дeлe пoлнoe нaзвaниe шифpoвaльщикa  – «ransomware wanacrуpt0r 2.0», тo ecть, «crу» — этo coкpaщeниe oт «crуptor». Впрочем, именно такую реакцию он вызвал у тысяч пользователей по всему миру. Конечно, заплачешь, когда все файлы на компьютере зашифрованы, восстановить их невозможно, а злоумышленники требуют заплатить 500$ за снятие блокировки. Еще и на счетчик ставят: не заплатишь сразу, через несколько часов сумма будет уже больше в 2 раза.
Чем же он уникален, почему вокруг него поднялось столько шума?

История появления

2.jpg

В прошлом году хакерская группа Shadow Brokers похитила архив кибероружия технической разведки АНБ США и пыталась продать его за 2 млн. $. Сделка не состоялась и в марте 2017 года архив был выложен в свободный доступ. Киберпреступники получили прекрасный арсенал, который можно использовать в своих целях. История с Wannacry показала, что они такой шанс не упустят. Кстати, этот шифровальшик хоть и стал самым известным, но первым не был. Его обогнал вирус Adylkuzz. Он использовал те же уязвимости, заражал компьютеры и занимался майнингом криптовалют. Злоумышленники зарабатывали деньги используя чужие вычислительные мощности. В их интересах было не привлекать внимание, поэтому, Adylkuzz попадая на компьютер “закрывал за собой дверь”, т.е. устранял уязвимость, через которую распространялся, и вирус Wannacry просто не мог проникнуть на инфицированный компьютер. Такая вот конкуренция среди создателей вирусов.
Сколько таких вирусов сейчас тихо делают свое дело на компьютерах по всему миру сложно даже представить... 


Механизм распространения

Ранее все шифровальщики, попадая на компьютер (как правило это происходило после открытия вложения электронной почты или перехода по ссылке), заражали только те файлы, к которым у пользователя был доступ. При грамотной настройке прав доступа, ущерб при заражении сводился к минимуму. Wannacry умеет распространяться используя уязвимости в протоколе SMB1. To есть, для зapaжeния нe нужнo дaжe oткpывaть фaйл c виpуcoм, дocтaтoчнo пpocтo подключиться к сети, где есть хотя бы один инфицированный компьютер. Кроме того, этот шифровальщик получает права администратора, что позволяет ему заражать любые файлы и грамотная настройка ограничений доступа пользователей уже не спасает.
Многие компании, пытаясь сэкономить на системах резервного копирования, не приобретали для хранения архивов специализированные сетевые накопители, а использовали такую схему: в сети есть компьютеры PC1 и PC2, содержащие важные данные. Архивные копии файлов с PC1 сохраняются на PC2, копии файлов с PC2 сохраняются на PC1. Такое перекрестное резервное копирование прекрасно защищало от шифровальщика. Wannacry показал неэффективность этой схемы. Вирус попадает на оба компьютера и шифрует и данные и резервные копии.
Почему антивирусное программное обеспечение никак не отреагировало на угрозу? Механизм защиты в антивирусах работает в двух направлениях: сигнатурный анализ файлов (смотрит по базе данных) и анализ поведения программы (антивирус блокирует программу, поведение которой похоже на поведение вируса). В случае с Wannacry, первое не сработало, так как вирус был новый и еще не попал в базы данных, а второе не сработало, так как вирус при заражении не проявлял характерное для таких программ поведение. 


Есть ли защита от Wannacry?

блабла.jpg

Безусловно есть. Начнем с того, что Wannacry использовал уязвимость, которая была закрыта компанией “Microsoft” сразу после обнародования злополучного архива, то есть в марте 2017 года. Осознав масштабы уязвимости вендор пошел на беспрецедентные меры – выпустил патч для Windows XP, которая официально была снята с поддержки еще в 2014 году. Следовательно, компьютеры, на которых операционные системы обновлялись своевременно, заражению этим вирусом не подвержены.

Российские пользователи сильно пострадали, что даже породило в интернете немало теорий заговора. Не думаю, что здесь нужно искать чьи-то происки. Просто у нас в стране IT инфраструктурой компании, зачастую, занимаются люди, которых сложно назвать профессионалами: сотрудники, параллельно со своими основными обязанностями выполняющие роль системных администраторов, “знакомые мальчики”, которые изучали администрирование Windows по статьям в Интернете “настройка Windows XP для чайников”.  В результате - вовремя не установлен нужный патч, бездумно открыты порты в Интернет. Кроме того, почти в каждой компании можно найти компьютеры, использующие старевшие и уже не поддерживаемые Microsoft версии Windows. Я уже не говорю о том, что в большинстве компаний регламент информационной безопасности либо отсутствует, либо полностью игнорируется.

Как обезопасить себя от Wannacry?

1.      Установите патч от компании Microsoft на все компьютеры с операционной системой Windows. Для Windows XP скачать его придется вручную по ссылке: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/, для актуальных версий просто включите автоматическое обновление системы

2.      Установите антивирус на все компьютеры, проверьте актуальность антивирусных баз. На текущий момент все антивирусы от крупных производителей научились детектировать и успешно противодействовать Wannacry

3.      Внедрите полноценную систему резервного копирования. Тут лучше проконсультироваться со специалистами. Это, пожалуй, самое сложное и дорогостоящее внедрение, зато его плюсы очевидны: данная мера поможет не только в борьбе с Wanacry, но и с другими шифровальщиками, а так же обезопасит Ваши данные от выхода из строя оборудования, случайного или преднамеренного удаления.

В целом, можно сказать, что, несмотря на масштабность, Wannacry не является чем-то новым: вирусы всегда несли вред пользователю, злоумышленники для разработки вредоносных программ всегда использовали и будут использовать уязвимости.

Эта эпидемия в очередной раз подтверждает, что защита информации – это не конкретное программное или аппаратное решение, а комплекс: наличие и соблюдение регламента безопасности, работающий антивирус, правильно настроенная система резервного копирования, а также грамотные IT специалисты.

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Возврат к списку