Что такое программы-вымогатели и как от них защититься

Что такое программы-вымогатели и как от них защититься

Владимир Безмалый

https://ib-bank.ru/bisjournal/news/15262

Программы-вымогатели – это тип вредоносных программ, которые злоумышленники используют для заражения компьютеров и шифрования компьютерных файлов до уплаты выкупа. После первоначального заражения программа-вымогатель попытается распространиться на подключенные системы, включая общие накопители и другие доступные компьютеры.

Если требования злоумышленника о выкупе не выполняются (т. е. если жертва не платит выкуп), файлы или зашифрованные данные обычно остаются зашифрованными и недоступными для жертвы. Даже после уплаты выкупа за разблокировку зашифрованных файлов злоумышленники иногда требуют дополнительных платежей, удаляют данные жертвы, отказываются расшифровать данные или отказываются предоставить рабочий ключ дешифрования для восстановления доступа жертвы. Исследователи безопасности не поддерживают оплату требований программ-вымогателей.
Как работает программа-вымогатель?

Программа-вымогатель идентифицирует диски в зараженной системе и начинает шифровать файлы на каждом диске. Вымогатели обычно добавляет расширение к зашифрованным файлам, такие как .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault, или .petya, чтобы показать , что файлы были зашифрованы — расширение файла используют уникальное для.

После завершения шифрования файлов программа-вымогатель создает и отображает файл или файлы, содержащие инструкции о том, как жертва может заплатить выкуп. Если жертва платит выкуп, злоумышленник может предоставить криптографический ключ, который жертва может использовать для разблокировки файлов, делая их доступными.

Как доставляется программа-вымогатель?

Программы-вымогатели обычно доставляются через фишинговые электронные письма или через «автоматические загрузки». Фишинговые электронные письма часто выглядят так, как если бы они были отправлены законной организацией или кем-то, кто известен жертве, и побуждают пользователя щелкнуть вредоносную ссылку или открыть вредоносное вложение. «Попутная загрузка» — это программа, которая автоматически загружается из Интернета без согласия пользователя или часто без его ведома. Возможно, вредоносный код запустится после загрузки без вмешательства пользователя. После запуска вредоносного кода компьютер заражается программой-вымогателем.

Что я могу сделать, чтобы защитить свои данные и сети?

Сделайте резервную копию вашего компьютера. Регулярно выполняйте резервное копирование вашей системы и других важных файлов и регулярно проверяйте свои резервные копии. Если ваш компьютер заражен программой-вымогателем, вы можете восстановить свою систему до ее предыдущего состояния с помощью резервных копий.

Храните резервные копии отдельно. Лучше всего хранить резервные копии на отдельном устройстве, к которому нельзя получить доступ по сети, например на внешнем жестком диске. После завершения резервного копирования обязательно отключите внешний жесткий диск или отключите устройство от сети или компьютера.

Обучите свою организацию. Организации должны гарантировать, что они проводят обучение своего персонала по вопросам кибербезопасности. В идеале организации должны проводить регулярные обязательные тренинги по повышению осведомленности о кибербезопасности, чтобы их персонал был проинформирован о текущих угрозах кибербезопасности и методах злоумышленников. Чтобы повысить осведомленность сотрудников, организации могут тестировать свой персонал с помощью оценок фишинга, имитирующих реальные фишинговые электронные письма.

Что я могу сделать, чтобы предотвратить заражение программами-вымогателями?

Обновите и исправьте свой компьютер. Убедитесь, что ваши приложения и операционные системы (ОС) обновлены последними исправлениями. Уязвимые приложения и ОС являются целью большинства атак программ-вымогателей.

Будьте осторожны со ссылками и при вводе адресов веб-сайтов. Будьте осторожны, нажимая прямо на ссылки в электронных письмах, даже если отправителем оказывается кто-то из ваших знакомых.

Попытайтесь самостоятельно проверить адреса веб-сайтов (например, обратитесь в службу поддержки вашей организации, поищите в Интернете веб-сайт организации-отправителя или тему, упомянутую в электронном письме). Обратите внимание на адреса веб-сайтов, на которые вы нажимаете, а также на те, которые вы вводите сами. Адреса вредоносных веб-сайтов часто выглядят почти идентичными законным сайтам, часто с небольшими вариациями в написании или с другим доменом (например, .com вместо .net).

Осторожно открывайте вложения электронной почты. С осторожностью открывайте вложения электронной почты даже от отправителей, которых вы думаете, что знаете, особенно если вложения представляют собой сжатые файлы или файлы ZIP.

Держите вашу личную информацию в безопасности. Прежде чем предоставлять информацию, проверьте безопасность веб-сайта и убедитесь, что отправляемая вами информация зашифрована.

Проверьте отправителей электронной почты. Если вы не уверены, является ли электронное письмо законным, попробуйте проверить его легитимность, связавшись напрямую с отправителем. Не переходите по ссылкам в письме. Если возможно, используйте предыдущий (законный) адрес электронной почты, чтобы убедиться, что имеющаяся у вас контактная информация об отправителе является подлинной, прежде чем связываться с ним.

Проинформируйте себя. Будьте в курсе последних угроз кибербезопасности и новейших методов вымогательства. Вы можете найти информацию об известных фишинговых атаках на веб-сайте Anti-Phishing Working Group ( https://www.antiphishing.org/ ) .

Используйте и поддерживайте профилактические программы. Установите антивирусное программное обеспечение, брандмауэры и фильтры электронной почты и постоянно обновляйте их, чтобы уменьшить вредоносный сетевой трафик.

Как мне реагировать на заражение программой-вымогателем?

Изолируйте зараженную систему. Удалите зараженную систему из всех сетей и отключите на компьютере беспроводную связь, Bluetooth и любые другие потенциальные сетевые возможности. Убедитесь, что все общие и сетевые диски отключены, будь то проводные или беспроводные.  

Выключите другие компьютеры и устройства. Выключите и отделите (т. е. удалите из сети) зараженный компьютер(ы). Отключите и отделите любые другие компьютеры или устройства, которые совместно с зараженными компьютерами используют сеть, которая не была полностью зашифрована программой-вымогателем. Если возможно, соберите и обезопасьте все зараженные и потенциально зараженные компьютеры и устройства в централизованном хранилище, четко пометив все компьютеры, которые были зашифрованы. Отключение и разделение зараженных компьютеров и компьютеров, которые не были полностью зашифрованы, может позволить специалистам восстановить частично зашифрованные файлы.

Защитите свои резервные копии. Убедитесь, что ваши данные резервного копирования находятся в автономном режиме и в безопасности. Если возможно, просканируйте данные резервной копии с помощью антивирусной программы, чтобы убедиться, что они не содержат вредоносных программ.

10 марта, 2021

Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

Владимир Безмалый

О безопасности и не только