АВ-Трибуна. Новости, тесты и обзоры аудио, видео, цифровой техники и гаджетов.

esetstatvc0

Защита от шифраторов в корпоративной сети.

Заражение шифратором корпоративного компьютера остановит работу как минимум одного сотрудника. Хотя современные вымогатели редко ограничиваются одной рабочей станцией – они вполне способны блокировать доступ к данным всей организации.

По данным опроса специалистов по ИТ и информационной безопасности, проведенного компанией ISACA, каждая пятая компания когда-либо сталкивалась с заражением шифраторами. Картина безрадостная, особенно если сопоставить эту статистику с данными исследования антивирусной компании ESET – 84% опрошенных ИТ и ИБ-специалистов подтвердили, что заражение корпоративной сети шифратором нанесет их компании значительный ущерб. Только 16% респондентов не считают подобные инциденты особо опасными для своих организаций.

Кто виноват и что делать?

В большинстве случаев программы-вымогатели распространяются во вложениях к спам-письмам, через фишинговые ресурсы или уязвимости ПО. Приложение к письму с тематическим заголовком типа «Взыскание задолженности» или «Уведомление ФНС» вполне может скрывать троян-загрузчик, который, в свою очередь, установит в систему жертвы шифратор. Если сотрудники компании склонны открывать подобные «письма от налоговой», угроза более чем реальна.

После установки и запуска на машине жертвы малварь шифрует пользовательские файлы – все или почти все типы (за исключением системных). Некоторые модификации могут получить доступ к внешним дискам. Далее шифратор отправляет на удаленный командный сервер информацию о скомпрометированной системе и другие данные (например, число зашифрованных файлов). Когда вредоносные действия завершены и файлы пересохранены в нечитаемом формате, на рабочем столе появляется файл с инструкциями по восстановлению данных.

Сумма выкупа зависит только от задач атакующих и их связи с реальностью. Например, новейшая версия KillDisk требует 222 биткоина (больше 250 тыс. долларов), хотя ее операторы вряд ли рассчитывают на выплату. Crysis несколько гуманнее – его выкуп составляет 400-900 евро, оплата также производится в биткоинах.

Авторы шифраторов используют продвинутые алгоритмы шифрования, поэтому восстановить данные проблематично. Дешифровка файлов, обработанных некоторыми шифраторами, предполагает месяцы непрерывной работы. Есть и особо опасные экземпляры – после них файлы корректной расшифровке пока не подлежат.

Вектор заражения и жертвы

В статистике заражений преобладают шифраторы для популярных операционных систем; наиболее известные вымогатели для Microsoft Windows – Reveton, CryptoLocker, CryptoWall и TeslaCrypt, для Android – Simplocker и LockerPin.

Впрочем, этими платформами вирусописатели не ограничиваются. Не так давно функционал шифратора для Linux приобрела вредоносная программа KillDisk. Ранее она использовалась для необратимого уничтожения данных, в новом амплуа – шифрует файлы при помощи алгоритма Triple-DES. Сумма выкупа астрономическая, восстановление файлов даже при условии выплаты невозможно.

Известный вымогатель KeRanger для macOS шифровал пользовательские файлы и требовал за восстановление доступа от 400 долларов. Не получив выкупа, программа уничтожала зашифрованные данные через три дня после заражения.

Новый вымогатель для macOS – версия Filecoder, недавно обнаруженная вирусными аналитиками ESET, в принципе не предполагает восстановления зашифрованных файлов. В коде малвари не предусмотрена возможность отправки данных на управляющий сервер – это означает, что у атакующих нет ключа расшифровки. Подобрать его брутфорсом проблематично – он задан путем генерации случайного числа arc4random_uniform и состоит из 25 символов.

esetstatvc1

Платить или не платить?

31% участников опроса ESET сообщили, что в случае заражения корпоративной сети шифратором их компания будет вынуждена заплатить выкуп вымогателям. Альтернатива выплаты – полная потеря данных – их не устраивала.

Специалисты ESET при этом категорически не рекомендуют платить выкуп. Во-первых, факт получения денег ни к чему не обязывает злоумышленников. Даже если жертва получит ключ для расшифровки, далеко не факт, что он сработает. Во-вторых, успешная атака мотивирует операторов шифратора вернуться в скомпрометированную сеть повторно. Наконец, оплата выкупа – это фактически спонсорская поддержка продолжения вредоносной деятельности.

О профилактике

Принять меры предосторожности дешевле, чем расплачиваться за последствия заражения. Классические базовые меры предосторожности включают своевременную установку обновлений ПО, резервное копирование данных, выбор надежных решений для безопасности. Работа с персоналом предполагает обучение основам информационной безопасности, а ИТ-специалистам компании стоит убедиться, что у рядовых сотрудников с доступом к сетевым ресурсам нет прав администратора.

Далее небольшой список рекомендаций для ИТ или ИБ-специалистов:

• Настройте отображение расширений файлов

• Настройте фильтр ЕХЕ-файлов в почте

• Отключите возможность запуска файлов из папок AppData или LocalAppData

• Откажитесь от хранения важных документов в общих папках – их шифрование может спровоцировать любой зараженный компьютер с правом доступа на запись

• Отключите возможность удаленного управления рабочим столом (RDP)

• Включите функцию восстановления системы, чтобы откатить систему до «чистого» состояния в случае заражения

• Отключите систему от интернета, если считаете, что компьютер был заражен