На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", находящихся на территории Российской Федерации)

Не становитесь заложником кибервымогателей

Специалист по информационной безопасности Антон Разумов объясняет, почему в последнее время растет популярность программ-кибервымогателей, а также рассказывает, как компании могут защитить свои данные для того, чтобы они не стали заложниками мошенников. Ведь новое поколение вредоносного ПО может зашифровать важные бизнес-файлы и заблокировать доступ к ним, пока вы не заплатите вымогателям выкуп.

 

Фраза «кошелек или жизнь» стала визитной карточкой разбойников 18 века. И хотя преступники в масках, ездящие на лошадях и пугающие пассажиров в повозках, стали прошлым, сам принцип требования выкупа за ценности по-прежнему широко применяется. Сегодня интернет-мошенники используют специальное вредоносное ПО Ransomware, чтобы выставить требование: «кошелек или ваши файлы», шантажируя пользователей и представителей бизнеса за счет блокировки компьютеров или данных, и, как в стародавние времена, требуя выкуп за их освобождение.

Как и большая часть зловредных программ, такая может появиться из зараженного вложения в письмо, как результат нажатия на фальшивое всплывающее окно или просто из-за посещения взломанного сайта. При этом существует два способа шантажа: блокировка рабочего стола пользователя и шифрование файлов. Блокирующие варианты или «lock-screen ransomware» не позволяют работать с компьютером, постоянно показывая на экране требования вымогателя, и так, пока данная программа не будет удалена. Хотя такое положение вещей неприятно для пользователя, данный вариант вредоносного ПО вполне можно победить, ведь оно заражает только один компьютер и относительно просто удаляется.

Шифрующее ПО или «File encryption ransomware», в свою очередь, представляет собой реальную угрозу для бизнеса, ведь оно безвозвратно блокирует файлы и данные пользователей, причем не только на отдельных компьютерах, но в целых корпоративных сетях. Такой тип атак, как использование механизмов шифрования для блокировки файлов до оплаты выкупа, показал рост в 200% в третьем квартале 2013 года по сравнению с первым полугодием. Что более важно, данные атаки стали фокусироваться на малых и средних компаниях, используя в качестве своей основы CryptoLocker – один из самых разрушительных и вредоносных вариантов кода за всю историю кибервымогательства. 

C момента его обнаружения в конце лета 2013 CryptoLocker атаковал боле миллиона компьютеров. После активации на компьютере пользователя CryptoLocker сразу же производит поиск всех папок и файлов, к которым у зараженного компьютера имеется доступ, включая сетевые ресурсы и системы резервного копирования на серверах компании. После завершения этого процесса, он начинает блокировать найденные файлы при помощи криптосктойкого алгоритма 2048-битного шифрования. Эти файлы останутся недоступными, пока компания не заплатит организовавшему атаку вымогателю за предоставление ключа дешифрования. Впрочем, это только в том случае, если злоумышленники действительно предоставят ключ после оплаты.  Без преувеличения можно сказать, что сегодня потеря интеллектуальной собственности и конфиденциальных данных может привести к катастрофическим последствиям.

Защита от программ-кибервымогателей

Что можно сделать, чтобы защитить себя от новых и агрессивных разновидностей кибервымогателей? Первым делом необходимо реализовать базовые требования в сфере информационной безопасности, которые помогают защитить компьютеры от любых типов вредоносного ПО:

  • Следите за обновлением баз антивирусов;
  • Убедитесь в том, что на компьютерах установлены последние обновления для операционной системы и программного обеспечения;
  • Установите двухсторонний файрвол на каждом пользовательском компьютере;
  • Расскажите пользователям о методах социальной инженерии, особенно о неизвестных вложениях в электронных письмах.

 

Однако данные меры не всегда могут обеспечить полную защиту от атак. Уж слишком просто происходит заражение – пользователю достаточно по невнимательности открыть вложение в письме. Несложная модификация кода, позволяющая обойти защиту антивирусов, также легко дается злоумышленникам, и это делает бизнес уязвимым перед лицом новых угроз.

 

Улучшенная защита в «песочнице»

Чтобы защититься от новых эксплойтов, которые могут быть пропущены традиционными антивирусными решениями, можно применить новую технику защиты, которая позволяет детектировать вредоносные файлы еще до того, как они попадут в сеть, исключая возможность случайного заражения.

Не оказывая никакого влияния на работу бизнеса, новая технология, получившая название «эмуляция угроз», открывает подозрительные файлы, приходящие во вложениях электронной почты, и исследует их поведение в виртуальной среде – так называемой «песочнице». Она позволяет изучить поведение файлов в реальном времени, отслеживая такие особенности, как необычные изменения параметров реестра, нетипичные действия или сетевые соединения. Если по итогам проверки файл признается подозрительным или вредоносным, доступ к нему запрещается, а сам объект помещается в карантин. Таким образом, еще до попадания объекта в сеть исключается сама возможность заражения, а значит – сводятся к нулю возможные угрозы.

Сегодня представителям бизнеса следует соблюдать подобного рода дополнительные предосторожности, чтобы не стать жертвой киберпреступников, которым нужна лишь небольшая лазейка в системе безопасности, чтобы проникнуть в сеть и взять «в заложники» важные ресурсы компании. Потенциальная возможность захвата всех файлов и данных одновременно делает кибервымогательство опасной угрозой, к которой следует серьезно относиться в любой организации.

Автор – руководитель группы консультантов по безопасности Check Point SoftwareTechnologies Антон Разумов.

Картина дня

наверх