11 Июля, 2019

Персональная безопасность в цифровую эпоху

Владимир Безмалый

Безмалый В.Ф.

Kaspersky Certified Trainer

Certified Consultant UN

Windows Insider MVP

Сегодня нам всем нужно осознать, что мы живем в цифровом мире, а значит вокруг нас появились множество новых цифровых угроз. Причем если ранее я в первую очередь думал, что жизни в цифровом мире нужно учить специалистов ИТ и ИБ, то сегодня я понимаю, что был не прав. Более того, все чаще и чаще я задаю себе знаменитый вопрос Эрнста Хемингуэя «По ком звонит колокол? Он звонит по тебе…». Да-да. Сегодня нет человека которого бы так или иначе не задевала проблема информационной безопасности. Ведь сегодня практически все мы сталкиваемся с применением тех или иных информационных технологий и приборов.

Что я понимаю под использованием информационных технологий?

  • Персональные компьютеры
  • Планшеты
  • Смартфоны
  • Банковские карты
  • Различные умные приборы:
    • Автомобили
    • Светофоры
    • Цифровые видеокамеры
    • Фотоаппараты
    • Кухонные приборы
    • Замки
    • Умные дома
    • Т.д.

Согласитесь, все это в той или иной мере использует каждый из нас. В одной статье невозможно рассказать обо всех угрозах. Но попробуем остановиться хотя бы на некоторых угрозах для одного типа устройств.

Персональные компьютеры

Основными угрозами для ваших персональных ПК всегда считались злоумышленники и вредоносное ПО. Так ли это? Думаю нет. Как давно вы сталкивались с отключением электроэнергии или ее некачественной подачей? У вас установлен источник бесперебойного питания? Ах, у вас ноутбук? А вы укрепили его на столе? Ваш домашний любимец или ваш маленький ребенок не столкнут его со стола? Вы скажете что это не ИТ-угрозы. Конечно нет. Но! Если ваш ноутбук упадет со стола и разобьется, вам будет легче что это не ИТ-угроза? Неужели? Не верю!

В связи с этим вопрос. Как давно вы выполняли резервное копирование? Ах, никогда? А вам ваши данные не нужны? Ну что ж, в таком случае не стоит обижаться, если в один прекрасный момент времени вы останетесь без ваших любимых фотографий с вашего отдыха или фотографий ваших детей (внуков). Согласитесь, заманчивая перспектива?

А если ваш компьютер будет зашифрован?

К 2021 году эксперты по безопасности прогнозируют, что глобальный ущерб от атак вымогателей достигнет 20 миллиардов долларов. Это увеличение в 57 раз за шесть лет подтверждает, что вымогатели являются наиболее быстро растущим типом атак, ориентированных как на потребителей, так и на предприятия.

Как вы можете защитить себя от вымогателей?

Для многих людей их знания о вымогателях начались 12 мая 2017 года, когда зловред WannaCry разлетелся по всему миру, заразив четверть миллиона машин в более чем 150 странах. Это была самая крупная атака вымогателей, которая затронула различные компании, включая FedEx, испанскую Telefonica, Национальную службу здравоохранения Великобритании, немецкую железнодорожную компанию Deutsche Bahn и LATAM Airlines.

С тех пор появилось бесчисленное множество новых видов вымогателей, и киберпреступники постоянно разрабатывают новые способы доставки.

Хорошей новостью является то, что еще не поздно настроить надежную защиту от вымогателей.

Что такое вымогатель?

Мы знаем, что угроза вымогателей является одной из самых быстрорастущих угроз кибербезопасности в мире, но что скрывается за этим термином?

Ransomware — это тип вредоносного ПО, которое после заражения устройства блокирует доступ к устройству полностью или к некоторой или даже всей информации, хранящейся на устройстве. Чтобы разблокировать устройство или данные, пользователь должен заплатить выкуп, обычно в широко используемой электронной валюте. Термин «вымогатель» охватывает в основном два типа вредоносных программ:

  • блокировщики Windows (они блокируют операционную систему или браузер с помощью всплывающего окна)
  • шифровальщик-вымогатель.
  • термин также включает в себя некоторые из троянов-загрузчиков, а именно те, которые, загружают шифровальщик при заражении компьютера.

В настоящее время шифровальщик считается синонимом термина вымогатель.

Увы, но на сегодня ФБР и подобные организации, согласны с тем, что угрозы вымогателей, к сожалению, будут по-прежнему распространяться, особенно это актуально для крупных и малых предприятий.

Естественно, всегда лучше остановить атаку вымогателей как можно раньше. В идеале, он должен быть остановлен, прежде чем вымогатель сможет зашифровать любые файлы. Поэтому важно понимать угрозу и использовать решения для защиты данных, которые позволят быстро реагировать на атаку с использованием вымогателей, не нарушая рабочий процесс рабочих станций, а также пользователей в сети. Это применимо не только к корпоративным пользователям, но и к обычным пользовательским ПК.

К счастью, существует решение для защиты от вымогателей, которое помогает корпоративным и потребительским пользователям эффективно бороться с вымогателями. На мой взгляд в данном случае хороший выбор это Acronis Ransomware Protection. Единственный недостаток данного решения – всего 5Gb места в облаке. Но зато бесплатно. И стоит учесть, что Ransomware атакует пользователей каждые 10 секунд. Не будьте жертвами. Данный инструмент обеспечит вам защиту от программ-вымогателей, а главное – полностью совместим с ведущими антивирусными решениями.

Данный продукт опирается на технологию Acronis Active Protection. Рассмотрим ее немного подробнее.

Технология Acronis Active Protection

Ransomware является особенно неприятным типом вредоносных программ. Вредоносное ПО — это «враждебное программное обеспечение», которое незаконно атакует вашу систему. Когда вымогатель заражает вашу систему, он блокирует доступ к вашим данным, пока платеж не будет доставлен преступникам, которые вымогают выкуп у вас или вашего бизнеса.

Как работает Acronis Active Protection

Acronis Active Protection — это технология защиты от вымогателей. Данная технология полностью совместима с наиболее распространенными решениями по защите от вредоносных программ и предназначена для защиты данные в ваших системах, включая документы, файлы мультимедиа, программы и многое другое, даже файлы резервного копирования Acronis.

Acronis Active Protection постоянно наблюдает за изменениями файлов данных в системе. Один набор поведений может быть типичным и ожидаемым. Другой набор поведений может сигнализировать о подозрительном процессе, предпринимающем враждебные действия против файлов. Подход Acronis анализирует эти действия и сравнивает их со схемами вредоносного поведения. Этот подход может быть исключительно эффективен при выявлении атак вымогателей, даже тех из них, о которых пока не сообщается.

Эвристический подход к обнаружению вымогателей

В основе Acronis Active Protection лежит эвристический подход. Эвристика может обнаружить несколько или даже несколько сотен образцов файлов, которые принадлежат одному так называемому семейству (обычно похожему по поведению или шаблонам действий). Поведенческая эвристика представляет собой цепочку действий (точнее, событий файловой системы), выполняемых программой, которая затем сравнивается с цепочкой событий в базе данных образцов вредоносного поведения.

Поведенческие эвристики сопровождаются белыми и черными списками различных программ. Зачем нужна проверка белого списка? Поскольку эвристика способна обнаруживать новые угрозы вымогателей, но в то же время они работают на основе результатов опыта/поведения то должны контролироваться на предмет ложных срабатываний. Вот почему продукты Acronis Active Protection проверяют любые подозрительные процессы с помощью белого и черного списков. В то же время, когда пользователь блокирует потенциальную атаку вымогателей, он попадает в черный список, и это не позволяет данной вредоносной программе запускаться при следующей перезагрузке. Это очень важно, потому что пользователям не нужно повторять процесс блокировки определенного типа вымогателей снова и снова.

Для злоумышленников очевидным способом скомпрометировать резервную копию будет атака на программу Acronis True Image. Вот почему Acronis Active Protection использует самозащиту программы агента Acronis. Никакой процесс в системе, кроме программного обеспечения Acronis, не может изменять файлы резервных копий. Кроме этого существует надежный механизм самозащиты, который исключит любую типичную атаку с использованием вымогателей и не позволит преступникам нарушать работу программного обеспечения резервного копирования или изменять содержимое файлов резервного копирования.

Более того, Acronis Active Protection также отслеживает основную загрузочную запись жесткого диска пользователя на базе Windows и не допускает никаких изменений.

Блокирует ли Acronis Active Protection любую атаку вымогателей?

Да, это так. Рассмотрим три основных вектора вымогателей.

1. Остановка атаки вымогателей на любой файл

Типичный случай противодействия атаке вымогателей может быть решен с помощью ранее созданных резервных файлов для восстановления скомпрометированных данных. Восстановление нескольких зашифрованных файлов выполняется автоматически (после подтверждения пользователя) и до последней версии — потому что технология работает в режиме реального времени. Представьте себе ситуацию, когда резервное копирование планируется сделать в полночь, но в 11 часов вечера вымогатель попадает на машину. Если вы просто восстановите файлы из оперативной резервной копии , 11 часов работы будут потеряны. Однако при постоянном мониторинге процессов и активности, никакие данные не теряются при инициировании атаки вымогателей.

2. Ransomware атакует локальный файл резервной копии

В этом случае Acronis Active Protection активно отслеживает любые локальные диски и предотвращает изменение файлов резервных копий с помощью вредоносных программ-вымогателей.

3. Облачные резервные копии модифицированы Ransomware

Файлы облачных резервных копий, хранящиеся в облачном хранилище Acronis, защищены от прямого изменения злонамеренным кодом благодаря использованию сквозного надежного шифрования и ограничению доступа к действиям по модификации файлов только для подписанного и авторизованного программного обеспечения агента Acronis.

Как бороться с атаками вымогателей

Давайте посмотрим на таблицу ниже, описывающую методы и методы, используемые Ransomware для компрометации данных.

Атака вымогателей Описание Ответ Acronis Active Protection
Перезапись на месте Атака вымогателей открывает и изменяет файлы данных на месте Драйвер предоставляет сервису уведомления о доступе к файлам с эвристическими данными, выполняет копирование при записи о подозрительных действиях. Служба обнаруживает, приостанавливает атаку, и драйвер откатывает файл из своего собственного кэша.
Через переименование Атака вымогателей создает новый файл, копирует исходное содержимое, изменяет новый файл, удаляет исходный файл. Тот же шаблон, что и выше.
Через новый файл Атака вымогателей создает новый файл, копирует исходное содержимое, изменяет новый файл, удаляет исходный файл. Тот же шаблон, что и выше.
Перезапись основной загрузочной записи Ransomware открывает PhysicalDrive, перезаписывает MBR, система перезагружается, HDD / MFT шифруется при перезагрузке (chkdsk замаскирован). Драйвер следит за операциями WRITE / SCSI в MBR через RAW FS, уведомляет службу, служба проверяет процесс и принимает решение.
Перезапись на месте / или переименование / или новый файл с внедрением в известные процессы Ransomware внедряется в известный процесс и выполняет вредоносные действия. Драйвер предоставляет сервису уведомления о попытках внедрения, и служба дает указание драйверу начать наблюдение за процессом без выполнения копирования при записи. Если обнаружены подозрительные шаблоны, пользователю может быть предложено восстановить файлы из облака.

Литература

  1. https://www.acronis.com/en-eu/personal/free-data-protection/
  2. https://www.acronis.com/en-us/articles/ransomware/
  3. https://www.acronis.com/en-us/blog/posts/cryptojacking-petty-cyber-crime-hiding-deadly-threat