В продолжение темы, статья от 28.06.2022г.
В наш цифровой век, технологический прогресс стал мерилом успеха, политического веса и силы, а моральные нормы и высокие понятия о вечных духовных ценностях, отдельными субъектами общества, отодвинут, как минимум, на второй план. В данной статье, мы и поговорим о субъектах общества, которых уже принято называть – киберпреступники. Говорить будем не о самих персоналиях, а о средствах, используемых ими в кибератаках на потенциальных жертв. Максимально понятно опишем суть данного явления и его ужасающий, разрушительный потенциал.
И начнем повествование с Ransomware или шифровальщики.
Шифровальщики (Ransomware – англ.) – тип вредоносных программ, шифрующих файлы и блокирующих доступ пользователей к компьютерным системам, предоставляя киберпреступникам контроль над любой персональной информацией, хранящейся на электронных носителях жертв.
Отличительной особенностью деятельности шифровальщиков является то, что они используются в качестве инструмента вымогательства, и существует множество способов использования вредоносных программ для получения доступа к устройствам жертв. Одним из наиболее распространенных способов – это доставка шифровальщиков фишинговыми почтовыми кампаниями (подставные сайты реально существующих компаний). Жертвам отправляются электронные письма, якобы, из известных им и надежных источников, которые на самом деле содержат вредоносные вложения, при запуске которых, компьютер заражается.
Установив удаленный контроль над компьютером, злоумышленники продолжают шифровать файлы жертвы, документы Word, PDF-файлы, изображения, базы данных и так далее.
В конце своего преступного деяния, злоумышленник отправляет жертве сообщение в объяснении, которого сообщает, что файлы взломаны и зашифрованы, и получить к ним доступ можно только в случае, если будет выплачен выкуп (в английском языке слово «выкуп» — «ransom» — вот откуда пошло название данного типа угроз — Ransomware).
Целями шифровальщиков становятся, как отдельные домашние пользователи, так и организации малого и среднего бизнеса, крупные корпорации. Выбор злоумышленников иногда сводится к тому, что они выбирают свои цели с малочисленными ИТ-отделами, такими как учебные заведения, из-за их более слабой защиты, но имеющих высокий уровня обмена информационными файлами.
Другой распространенной целью киберпреступников, являются организации, которые с большей вероятностью своевременно заплатят выкуп. Правительственные учреждения, банки, юридические фирмы и медицинские учреждения – все они попадают в эту категорию, поскольку им, скорее всего, потребуется немедленный доступ к конфиденциальным файлам клиентов, и они будут в большей степени готовы быстро заплатить выкуп, если это позволит скрыть новость о нарушении безопасности такой организации.
Существует множество разновидностей шифровальщиков, но большинство атак подпадают под две основные категории: крипто-шифровальщики (crypto ransomware) и локер-шифровальщики (locker ransomware).
Крипто-шифровальщики шифруют важные и конфиденциальные файлы на компьютере жертвы.
Локер-шифровальщики не шифруют файлы, они нарушают основные функции компьютера и полностью блокируют доступ жертвы к своему устройству.
Серьезность угрозы, создаваемой атакой шифровальщиков, будет зависеть от используемого варианта шифровальщика, а методы устранения будут отличаться в зависимости от типа вредоносного ПО.
Как реагировать на атаку шифровальщиков
Если информационные ресурсы подверглись атаке шифровальщиков, время имеет решающее значение, и важно действовать как можно быстрее. Предлагаем несколько шагов, которые необходимо предпринять для минимизации ущерба и иметь возможность оправиться от атаки.
Стоит иметь в виду, что в вирусах-шифровальщиках хоть и используются современные алгоритмы шифрования, но они не способны зашифровать мгновенно все файлы на компьютере. Шифрование идет последовательно, скорость зависит от размера шифруемых файлов. Поэтому, если вы обнаружили первые признаки воздействия шифровальщиков в процессе работы, а это когда привычные файлы и программы перестали корректно отзываться на отклик и открываться, то следует немедленно прекратить работу на компьютере и выключить его.
Далее, вывести (отключить) из общей сети зараженное устройство, что обеспечит безопасность всей сети, сетевых дисков и других устройств и предотвратит их заражение вредоносными файлами.
Изоляция (отключение) зараженного устройства не всегда гарантирует, что шифровальщики не попали на другие объекты компьютерной сети. Чтобы предотвратить распространение шифровальщика, проверьте все подключенные устройства и отключите все те, которые стали работать не корректно – «зависают» при открытии или открываются более длительное время, чем на данную операцию полагается.
При поступлении от злоумышленников требований о предоставление выкупа, сообщите в полицию: вымогательство – это преступление (ст. 163 УК РФ), о котором следует сообщать в правоохранительные органы.
И главное, проблема от шифровальщиков состоит в том, что зараженные файлы и сам компьютер, если воспользоваться антивирусом или специальной утилитой, вылечить – можно, вот только зашифрованные файлы это не вернет. Они останутся недоступными. В таких случаях, предлагаем воспользоваться услугами «Касперский». Зайти сайт noransom.kaspersky.com и попытаться найти дескриптор, который поможет расшифровать файлы. На платформе No More Ransom, размещено более 100 инструментов для дешифрования. Все дескрипторы бесплатны, но, к сожалению, далеко не от всех шифровальщиков имеется необходимое лекарство.
Как защитить себя от шифровальщиков
Как и в случае с любой угрозой информационной безопасности, методы профилактики почти всегда лучше, чем поиск лекарства, когда уже слишком поздно. Предлагаем некоторые рекомендациям по предотвращению угрозы, чтобы снизить вероятность нападения.
Надежный способ избежать блокировки доступа к конфиденциальным файлам – это периодически делать резервные копии ваших данных. Лучше всего их хранить в облаке или на внешнем жестком диске (желательно, чтобы он не был подключен к компьютеру или сети). В случае воздействия кибератаки, необходимо очистить свое устройство и извлечь файлы из резервной копии.
Фишинговые почтовые отправления, один из наиболее распространенных способов «доставки» программ-шифровальщиков на компьютер потенциальной жертвы, поэтому защита электронной почты имеет решающее значение. На уровне организации, защита почтовых ящиков сотрудников, позволит заранее распознавать подозрительные электронные письма, упредить и остановить атаку до того момента, как она причинит какой-либо ущерб.
Регулярно обновляйте программное обеспечения, что является одним из самых простых способов предотвращения любых кибератак. Каждое доступное обновление программного обеспечения устраняет вновь обнаруженные уязвимости в системе безопасности, затрудняя злоумышленникам использование ранее выявленных ими уязвимостей в устаревшем (не обновлённом) программном обеспечении.
Не переходите по подозрительным ссылкам: вложение в электронном письме или ссылка, найденная в Интернете. Не переходите по ссылкам в спам-сообщениях или на неизвестных веб-сайтах. Так как, нажатие на вредоносную ссылку инициирует автоматическую загрузку каких-либо процессов или файлов, способных немедленно заразить компьютер.
Не разглашайте персональную информацию: не отвечайте на электронные письма или текстовые сообщения от неизвестного источника, запрашивающие личную информацию.
Установите надежную антивирусную программу, она позволит обеспечить безопасность ваших данных и всех ваших устройств.
Также, рекомендуем ознакомиться с базой знаний «MITRE ATT&CK», которая разработана и поддерживается корпорацией MITRE на основе анализа реальных APT-атак. Представляет собой наглядную таблицу тактик, для каждой из которых указан список возможных техник и позволяет структурировать знания об APT и категорировать действия злоумышленников.