Вирус вам был предоставлен доступ
Компьютерные вирусы уже атакуют не только компьютеры и ноутбуки, но и сотовые телефоны. Под угрозой - все аппараты, у которых есть доступ в Интернет.
Вирус "поселяется" в телефоне и отправляет sms на короткие номера. Одно такое сообщение стоит владельцу мобильного аппарата в среднем от 200 до 700 рублей. При грамотной рассылке один вирус приносит мошенникам около 2-3 миллионов рублей. Всего же таких вирусов в нашей стране - тысячи.
Кто залез в телефон? Слон!
В "Российскую газету" обратился читатель, который заметил, что со счета его сотового телефона каждый месяц списывают "лишние" 500-600 рублей. Как оказалось, умный "агрегат" без ведома хозяина выходил в Интернет и отправлял sms на короткие номера сотового оператора. Точнее, это делал вирус, который читатель "РГ", сам того не зная, скачал из Интернета.
Вредоносная программа попадает в сотовые телефоны под видом какого-нибудь полезного приложения. Например, аудио- или видеоплеера. Обычно жертва "кибермошенников" узнает о неприятном сюрпризе, когда его просят пополнить счет. Оперативники управления "К" МВД России, которые занимаются поиском высокотехнологичных мошенников, советуют скачивать программное обеспечение для сотовых телефонов только с официальных сайтов. И еще - установить на телефон "мобильный антивирус".
А если вредный вирус все-таки залез в ваш сотовый телефон, следует как можно быстрее вынуть sim-карту и отнести аппарат в ближайший сервисный центр. Там его "перепрошьют" - очистят от вирусов, удалят старое программное обеспечение и установят новое.
Червь из коробки
Гораздо сложнее противостоять так называемым вирусам-вымогателям, которые блокируют работу операционной системы. Пользователь включает компьютер и видит окошко, обычно стилизованное под Windows. Текст в окошке зависит от фантазии "вирусописателя". Например: "При последней проверке обнаружено, что вы использовали нелицензионную версию Windows. Дальнейшая работа на компьютере невозможна. Чтобы получить ключ с лицензией, отправьте sms с текстом таким-то на короткий номер такой-то. Если вы откажетесь от установки лицензионного ключа, все данные на вашем компьютере будут удалены". "При этом кода пользователь не получает, даже если он все-таки отправил sms, - рассказали корреспонденту "РГ" сотрудники управления "К". - С его счета просто списывают деньги".
Еще одна "новинка" от вирусописателей - навязчивые рекламные баннеры. Сидит, допустим, человек на работе за компьютером и вдруг появляется заставка на весь рабочий стол с таким примерно текстом: "Вам был предоставлен пробный бесплатный доступ к просмотру эротического видео на один час. Чтобы скрыть уведомление и разблокировать сеть, отправьте sms на такой-то номер". Разумеется, пользователь готов отправить что угодно и куда угодно, лишь бы убрать такой "компромат" с рабочего стола.
Пополнять телефонные счета мошенников нельзя ни в коем случае. Есть другой способ разблокировать компьютер или избавиться от навязчивого рекламного баннера, причем совершенно бесплатный. Антивирусные компании разработали специальные сервисы, где можно подобрать код разблокировки операционной системы. Для этого достаточно зайти к ним на сайт с другого компьютера и ввести в специальные поля короткий номер и текст сообщения, которое вам предлагают отправить мошенники. Если же вы имеете дело с длинным номером, стоит вызвать службу поддержки и переустановить систему.
Выследить "компьютерных злодеев" очень сложно. Взломщики находятся в конце длинной цепочки, которая арендует короткие номера у сотовых операторов. В конечном итоге получается около ста тысяч конечных арендаторов. При этом договоры заключаются офертой - по телефону или через Интернет, без идентификации личности арендатора.
Проблема еще и в том, что вернуть деньги удавалось единичным пользователям. Для этого можно обратиться к сотовому оператору и узнать, за каким из 92 контент-провайдеров закреплен короткий номер. А потом написать контент-провайдеру жалобу на конечного арендатора. Возможно, конкретный контент-провайдер решит, что лучше избежать скандала и вернуть деньги. Но сейчас по закону он этого делать не обязан. Председатель правления Международной конфедерации обществ потребителей Дмитрий Янин считает, что законодательство не на стороне потребителя и предъявить оператору претензии невозможно. Для изменения ситуации необходимы поправки в закон о связи, только тогда, рискуя выплачивать деньги пострадавшим, компании начнут проверять своих партнеров".
Как снизить риск "заражения" вирусом-вымогателем (советы от специалистов управления "К"):
не кликать по ссылкам-"заманухам". Например, "как похудеть на 10 килограммов за три дня" или "узнай, как читать чужие sms";
скачивать программное обеспечение только с официальных сайтов компаний;
следить за написанием названия сайта, на который вы хотите попасть.
В минувшую пятницу прокуратура Москвы возбудила уголовное дело по фактам мошенничества путем распространения в сети Интернет вредоносных программ, блокирующих нормальную работу компьютеров.
Установлено, что некоторые фирмы, оказывающие услуги в области связи и доступа в Интернет, создавали вредоносные программы Winlock, которые размещали на управляемых ими интернет-ресурсах.
После посещения зараженного ресурса пользователями, мошенники получали доступ к информации, содержащейся на их персональных компьютерах, которые блокировались.
С целью завладения денежными средствами пользователей злоумышленники использовали короткие sms-номера, в том числе номер 1350, предлагая за денежное вознаграждение сообщить код разблокировки компьютера.
Только за апрель 2010 года в результате указанной незаконной деятельности был извлечен доход в размере более 790 тысяч рублей. По результатам проверки Главное следственное управление при ГУВД по г. Москве возбудило уголовное дело по ч. 3 ст. 159 (мошенничество) и ч. 1 ст. 273 (создание, использование и распространение вредоносных программ для ЭВМ) УК РФ.
Где можно получить код, если вирус заблокировал вашу операционную систему или рабочий стол:
В нашей стране ситуация с COVID-19 остается спокойной. При этом власти не собираются ослаблять противоэпидемические меры - они одинаковы и для COVID-19, и для гриппа, заболеваемость которым также выросла в ряде регионов. По-прежнему идут тотальные проверки в аэропортах: под наблюдение врачей в минувшие выходные отправили одного из пассажиров, прилетевшего в Москву рейсом "Аэрофлота" из Пекина.
Как будет развиваться ситуация с COVID-19 дальше, зависит не только от эпидемиологов. Проявляя осторожность, стараясь не заболеть, любой человек тем самым действует и в интересах окружающих. Одна из главных мер - всеми силами избегать возможных контактов с зараженными. В субботу были обнародованы рекомендации минздрава отложить до лучших времен поездки в Италию, Южную Корею и Иран, где наибольшее количество заболевших за пределами Китая. Глава Роспотребнадзора, Главный государственный санитарный врач России Анна Попова заявила, что сейчас вообще не время для зарубежных вояжей. "Чтобы считать себя защищенными, нужно максимально сократить предполагавшиеся поездки за рубежи родной страны", - сказала Попова.
Рекомендации - это, конечно, не тотальный запрет: в ту же Италию, как и в остальные европейские страны, самолеты продолжают летать. Не закрывают границы Франция и другие европейские страны. При этом люди, у которых на руках билеты, сами должны решить, лететь или нет, а для этого оценить возможные риски: что будет, если посреди маршрута они окажутся в зоне вновь введенного карантина или попадут под отмену авиасообщения. Не говоря уже о том, как они смогут получить медицинскую помощь, если вдруг заболеют.
Роспотребнадзор вчера также обнародовал рекомендации по укреплению иммунитета - это, конечно, тоже важная профилактическая мера, хотя думать о поддержке иммунной системы нужно не только в разгар эпидемий. Стрессы, курение, алкоголь бьют по иммунитету, что может облегчить инфицирование. Укрепляют его качественное питание (без недоедания и избытка пищи), физические нагрузки, хороший сон.
Ответили в Роспотребнадзоре и на запросы туристов, вернувшихся из эпидемически неблагополучных стран, например из Италии. Людей волнует, нужно ли им проходить карантин (как это происходит с приехавшими из Китая), и как сдать тест на COVID-19. Рекомендации такие: если человек чувствует себя здоровым, у него нет признаков ОРВИ (насморка, кашля, недомогания), бежать к врачам и требовать тестирования на коронавирус не надо (да его никто вам и не сделает). И изолировать себя тоже не нужно. В карантин отправляют только по решению медиков. При этом стоит повнимательнее последить за своим здоровьем. Действовать надо, если в течение 14 дней после возвращения появятся симптомы простуды. В этом случае нужно обратиться в поликлинику или вызвать врача на дом, а во время приема сообщить о поездке или о контактах с людьми, прибывшими из неблагополучных стран. Решение о проведении анализа на коронавирус принимает врач - это зависит от клинических проявлений заболевания. Для тестирования берется мазок из носоглотки. При тяжелом течении заболевания пациента могут госпитализировать, в инфекционном отделении должны взять мазок и сделать тест повторно. Биоматериал отправляют для анализа в одну из лабораторий Роспотребнадзора. Если результаты отрицательные, пациента переводят из инфекционного отделения в общее, если он нуждается в лечении. Также по решению главы Роспотребнадзора сейчас обязательно тестируют на COVID-19 всех больных с диагнозом "пневмония".
В Санкт-Петербургскую больницу имени Боткина госпитализированы восемь россиян, вернувшихся из Италии. Они отправлены на карантин по подозрению на коронавирус, сообщает местный комитет по здравоохранению. В этом же отделении находится приехавший в город гражданин Ирана: его тоже проверяют на коронавирус. На днях в Санкт-Петербурге начал работать Центр диагностики коронавируса. Это существенно сокращает пребывание пациентов на карантине. Для исключения опасного диагноза необходимо, чтобы отрицательный результат анализов был получен ими дважды в течение 14 дней - инкубационного периода болезни. В городе обследовали на коронавирус уже 137 человек, ни у кого болезнь не подтвердилась.
Экономике в этом году должны помочь ускорение роста реальных зарплат (не в последнюю очередь благодаря резкому замедлению инфляции), хорошие потребительские настроения и расширение инвестиционного спроса, в том числе под влиянием щедрых расходов государства в рамках национальных проектов. В результате прирост ВВП за год превысит прошлогодний показатель составив 1,5-2%, рассчитывает ЦБ.
Фактически основным риском для этого прогноза там называют распространение коронавируса. Оперативная макроэкономическая статистика (в первую очередь ускоренное сниженное грузооборота - минус 4,4%) в целом за январь уже указывает на замедление роста производственной активности. Но пока оно связано в основном с аномально теплой зимой, хотя фиксируются и первые прямые потери от эпидемии - так, замедление спроса на уголь со стороны Китая в январе стало наряду с теплой погодой одной из причин сокращения выпуска сырья. Громадное значение Китая для рынка нефти уже привело к тому, что цены на нем упали на 20% с начала января.
Быстрый рост числа заболевших в Европе, о котором сообщается в последние дни, - плохая новость для российской экономики. Она очень чувствительна к снижению экономической активности в Китае, Европе и Корее - на них приходится более 70% российского экспорта. Именно этим объясняется быстрое исчезновение российской премии на финансовом рынке, указывают аналитики банка "Открытие". С начала февраля темпы ослабления рубля в два раза превышают темпы обесценения валют развивающихся рынков, долговой рынок реагирует быстрее, индекс РТС после рекордного роста на 45% в 2019 году уже сократился на 18%. Инвесторы ищут убежище в наиболее надежных активах - казначейских облигациях США, доходность которых пока не сильно затронута вирусом, и золоте.
В феврале рынки акций развивающихся стран дружно обвалились. В аутсайдерах в этом году сырьевые рынки - ЮАР (-20,6%), Бразилия (-20%), Чили (-19,2%), Россия (-17,2%), отмечает директор аналитического департамента "Локо-Инвеста" Кирилл Тремасов. В январе финансовые рынки начали восстанавливаться лишь после того, как увидели признаки замедления эпидемии в Китае. Сейчас, чтобы они начали приходить в себя, требуется то же самое, но за пределами Китая.
Подобные коронавирусу потрясения хотя и быстро перерастают в значительный глобальный риск, но, как правило, оказывают временное воздействие на экономическую активность, и она быстро восстанавливается после окончания кризиса, указывает главный экономист АССА Майкл Тейлор. Так было, например, с начавшейся также в Китае вспышкой атипичной пневмонии в 2003 году.
Однако с тех пор значение Китая в мировой экономике удвоилось (его доля в мировом ВВП выросла до 19%, в экспорте - до 13%), и сейчас Китай играет жизненно важную роль во многих глобальных цепочках поставок. Таким образом, потенциал воздействия коронавируса на мировую экономику гораздо выше, чем 15 или 20 лет назад, заключает Тейлор.
Фундаментальные параметры для рубля без учета паники, по словам начальника аналитического управления банка "Зенит" Владимира Евстифеева, выглядят так: при цене барреля 45-50 долларов курс доллара должен составлять 68-75 рублей, при 40-45 долларах за баррель - 75-85 рублей. Если ситуацию с вирусом не удастся взять под контроль, курс может выйти на эти рубежи уже в марте. Не стоит также забывать, что доля нерезидентов в ОФЗ превысила 3 трлн рублей, выход за месяц даже 10-15% из них окажет сильное давление на рубль.
По мнению Евстифеева, рынки могут довольно быстро восстановиться после всех нынешних распродаж.
Основной сценарий на этот год - возвращение курса к 65 рублям за доллар, считает главный экономист Альфа-Банка Наталия Орлова. Если он и окажется под угрозой, то скорее из-за геополитики, чем в связи с эффектом от эпидемии коронавируса, считает эксперт.
Картина географического распространения вируса остается прежней. Эпицентр - город Тэгу и окружающая его провинция Северная Кенсан. Из 3150 зараженных на этот регион приходится 2724 инфицированных, или более 86 процентов всех заболевших. Эксперты предупреждают, что Южную Корею в ближайшие дни ждут новые антирекорды по числу заболевших.
Власти получили более-менее полные списки прихожан церкви "Синчхончжи", которая стала эпицентром распространения COVID-19 в Тэгу, и среди них начались массовые проверки. По мнению специалистов, общее число инфицированных в Южной Корее превысит десять тысяч. Если еще пару дней назад это казалось нагнетанием паники, то сегодняшние цифры заболевших уже не позволяют отмахиваться от подобных прогнозов. 71 страна ввела разного рода ограничения, вплоть до полного запрета на въезд всех иностранцев из Южной Кореи.
Сегодня южнокорейским самолетам, которые следовали в Хошимин и Ханой, власти Вьетнама отказались выдавать разрешение на посадку. Кроме того, Вьетнам отменил для корейцев безвизовый въезд.
"Продолжают распространяться слухи, которые не имеют ничего общего с действительностью. Прошу вас без паники делать покупки, так как в стране имеются необходимые запасы", - подчеркнул глава японского правительства в ходе пресс-конференции, передает агентство Kyodo.
В минувшую пятницу в Японии с полок магазинов мгновенно исчезла вся туалетная бумага. Вспышку массового психоза спровоцировали пользователи интернета. В соцсетях прошел слух о том, что туалетную бумагу и медицинские маски производят из одинакового сырья. В этой связи, утверждали авторы постов, в самое ближайшее время Япония столкнется с острой нехваткой туалетной бумаги. Маски здесь уже достать довольно трудно.
В результате в большинстве магазинов уже на следующий день можно было наблюдать одну и ту же картину с опустевшими прилавками, где еще несколько дней назад аккуратными рядами стояли никому не нужные упаковки туалетной бумаги самых разных сортов.
"Больше одной упаковки туалетной бумаги в одни руки не продаем", - написано в объявлении, которое продавцы одного из местных магазинов разместили рядом с теперь уже абсолютно пустой полкой. Сейчас приобретение даже одной пачки будет большой удачей.
Повышенный спрос наблюдается также на обычное кусковое мыло и всевозможные дезинфицирующие средства, в том числе антибактериальные жидкости и гели для рук.
В Японии продолжает распространяться коронавирус COVID-19. Количество зараженных опасной инфекцией достигло 945 человек. Заболевшие выявлены на территории 23 префектур страны. При этом больше всего случаев зарегистрировано в северном губернаторстве Хоккайдо, где накануне власти ввели чрезвычайное положение. Там коронавирусом заболели 70 человек.
С тех пор ситуация кардинально изменилась - каждый день власти страны сообщают новые данные о числе инфицированных и умерших в результате заражения. Так за 28 февраля количество зараженных COVID-19 увеличилось на более чем 200 человек. В Иране выявлено 593 случая заражения, при этом жертвами стали 43 человека. По показателю соотношения количества заболевших и умерших ИРИ занимает второе место в мире, уступая лидерство лишь Китаю.
Проблема коронавируса и способы борьбы с ней - тема номер один в Тегеране. Ежедневно по радио и телевидению идут передачи с участием медицинских работников, которые доходчиво объясняют населению меры профилактики. На улицах Тегерана установлены билборды с предупреждениями о необходимости соблюдать правила личной гигиены. Жители облачились в защитные маски, некоторые перед выходом на улицу надевают медицинские резиновые перчатки. На защитные маски в аптеках Тегерана острый дефицит. Корреспонденту "РГ" пришлось потратить полдня, чтобы найти дезинфицирующую жидкость для рук, спрос на которую также велик.
В большинстве провинций Ирана объявлены каникулы в школах и детских садах, студенты вузов также получили возможность отдохнуть. Государственные учреждения сократили рабочий график и работают лишь до обеда. В Иране приостановлено проведение всех культурных, спортивных и массовых мероприятий. Министерство культуры и исламской ориентации, которое курирует работу иностранных корреспондентов, официально уведомило журналистов о временном прекращении проведения пресс-конференций иранских чиновников, включая представителей правительства и МИД ИРИ.
Несмотря на сложную обстановку, панических настроений у жителей Тегерана нет - на дорогах как всегда автомобильные пробки, работают лавки и торговые центры. Однако из-за опасений, что в городе может быть объявлен карантин, многие тегеранцы бросились в магазины и стали скупать подсолнечное масло, мясо, рис, макароны, соль, сахар, питьевую воду и другие товары первой необходимости.
Посольство РФ в Тегеране также предприняло необходимые меры предосторожности. Как рассказал корреспонденту "РГ" пресс-атташе российской дипмиссии Андрей Ганенко, сотрудники консульского отдела теперь работают в защитных масках и резиновых перчатках. Персоналу диппредставительства и членам семей рекомендовано не посещать в Тегеране места массового скопления людей и не пользоваться общественным транспортом. По словам дипломата, среди персонала посольства случаев заражения коронавирусом нет, от российских граждан РФ, проживающих в Иране, соответствующих обращений в посольство не поступало.
Большинство иранцев понимают естественные причины распространения коронавируса по миру, но есть и такие, особенно среди старшего поколения, которые усматривают в эпидемии COVID-19 и "теорию заговора". Идею косвенной причастности американцев к распространению коронавируса в ИРИ поддерживают и некоторые местные политики.
Как бы там ни было, коронавирус вносит вынужденные коррективы в жизнь иранцев. Особенно негативно распространение заболевания скажется на проведении новогодних каникул, которые начинаются в Исламской Республике с 20 марта с наступлением праздника Ноуруз. Популярные у местных жителей зарубежные туристические направления уже недоступны. Азербайджан, Турция, Армения и Грузия ранее объявили о закрытии границ и приостановке авиасообщения с Ираном из-за коронавируса. Россия, также любимое место отдыха иранцев на новогодних праздниках, ввела ограничения на выдачу гражданам ИРИ въездных виз. Но иранцы не привыкли унывать и смотрят на будущее оптимистично, несмотря на напасти, периодически обрушивающиеся на их страну. "Мы пережили ирано-иракскую войну, международные санкции и давление. Даст Аллах, и коронавирус преодолеем", - сказал корреспонденту "РГ" Масуд, местный торговец. Как показывает история современного исламского Ирана, продавец скорее всего, не ошибся в своих прогнозах.
Программы-вымогатели представляют проблему для предприятий, образовательных учреждений и системы здравоохранения. Исследователи кибербезопасности продемонстрировали, что это семейство вредоносного ПО способно без труда вывести из строя базовую инфраструктуру, необходимую для функционирования городов.
Содержание
Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его
Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.
Как защитить бизнес от ransomware
Вымогательское ПО (ramsomware) продолжает нести одну из самых больших угроз в Интернете, пишет в 2019 году портал ZDNet [2] . Необдуманный переход по ссылке может привести к последовательности событий, которые грозят тем, что все данные пользователя будут зашифрованы, и он будет поставлен перед выбором — заплатить вымогателям в обмен на ключ расшифровки большие деньги (злоумышленники обычно требуют их в виде биткоинов или другой криптовалюты, чтобы запутать следы транзакций) или же отказаться от оплаты выкупа. За счет того, что многие жертвы предпочитают откупиться, криминальные группировки, занимающиеся распространением ransomware, обладают немалыми средствами и продолжают совершенствовать вредоносное ПО и тактику атак.
Так, если неприхотливые мошенники довольствуются рассылкой вредоносного ПО вслепую, то банды, которые поставили свой промысел на поток, ищут уязвимости в корпоративных сетях и атакуют только тогда, когда можно нанести максимальный урон, шифруя за один раз как можно больше устройств. Распространением вредоносного ПО занимаются не только преступные группировки, но и группировки, которые поддерживаются отдельными странами. Они делают это, чтобы посеять хаос и принести прибыль своим покровителям. Постоянно растущее число атак на бизнес можно сравнить со своего рода гонкой вооружений: с одной стороны, киберкриминал постоянно пополняет арсенал модификаций ransomware и ищет новые способы компрометации систем, тогда как предприятия вынуждены наращивать потенциал для защиты корпоративной инфраструктуры, чтобы ликвидировать любые лазейки для проникновения.
Фактически, преступные группировки всегда действуют на упреждение, поэтому гарантированного средства полностью защитить себя или свой бизнес от вымогателей или любого другого вредоносного ПО не существует. Тем не менее, можно предпринять ряд шагов, чтобы смягчить последствия атак или свести к минимуму шансы атакующих.
1. Устанавливайте программные патчи, чтобы держать софт в актуальном состоянии. Патчинг — это утомительная и трудоемкая процедура, которая требуется для закрытия брешей безопасности в ПО. Многие пользователи игнорируют ее, но это неправильно, потому что незакрытые уязвимости открывают хакерам пространство для маневра. Хакеры будут использовать любые уязвимости в ПО для проникновения в сети, если предприятия не успеют протестировать и развернуть патчи.
Классический пример того, во что вылилось промедление с установкой патчей безопасности, — WannaCry. Летом 2017 г. эта вымогательская программа прошлась настоящим цунами по ИТ-сетям. В общей сложности, за короткое время от червя пострадало 300 тыс. компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира. Распространение WannaCry блокировало работу множества организаций: больниц, аэропортов, банков, заводов и др. В частности, в ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. Несмотря на то, что патч для Windows Server Message Block, препятствующий угрозам типа WannaCry был выпущен за несколько месяцев до его появления, огромное количество организаций проигнорировали его, что повлекло заражение инфраструктуры.
RDP позволяет удаленно управлять ПК и является еще одной востребованной вымогателями опцией. Среди основных действий, которые значительно снижают площадь поражения, можно отнести установку надежных паролей, а также изменение порта RDP, что ограничит круг подключаемых к нему устройств только теми, которые установит организация.
3. Обучите персонал распознавать подозрительные письма. Электронная почта — один из классических способов проникновения ransomware в организацию. Это связано с тем, что рассылка бандами вымогателей вредоносных программ на тысячи адресов э-почты — это дешевый и простой способ распространения ПО. Несмотря на кажущуюся примитивность этой тактики, она по-прежнему удручающе эффективна. Для обеспечения защиты предприятия от программ-вымогателей и фишинга, которые распространяются по каналам э-почты, предприятию нужно провести тренинг с целью обучить персонал распознавать подозрительные э-письма.
Основное правило: ни в коем случае не стоит открывать э-письма, полученные от неизвестных отправителей, и тем более не нужно нажимать на ссылки в таких письмах. Стоит остерегаться вложений, которые просят включить макросы, поскольку это стандартный путь к заражению вредоносным ПО. В качестве дополнительного уровня безопасности стоит применять двухфакторную аутентификацию.
4. Усложните структуру перемещения по своей сети. Группировки вымогателей все чаще ищут максимально возможную финансовую выгоду. Очевидно, что заблокировав один или несколько компьютеров, они ее не получат. Чтобы нанести максимальный урон, они проникают в сеть и ищут пути распространения вымогателя на как можно большее количество компьютеров. Чтобы предотвратить распространение ransomware или хотя бы усложнить хакерам жизнь, нужно провести сегментирование сетей, а также ограничить и дополнительно защитить учетные записи администраторов, которые обладают доступом ко всей инфраструктуре. Как известно, по большей части фишинговые атаки нацелены на разработчиков, что связано с тем, что они обладают широким доступом к различным системам.
5. Контролируйте подключенные к вашей сети устройства. Компьютеры и серверы находятся там, где хранятся данные, но это не единственные устройства, о которых нужно беспокоиться администраторам. Офисный Wi-Fi, IoT-устройства и удаленный сценарий работы — в настоящее время существует большое разнообразие устройств, подключающихся к сети компании и лишенных встроенных функций безопасности, которые требуются корпоративному устройству. Чем их больше, тем больше риск того, что в каком-то из них, например, в плохо защищенном принтере или другом сетевом устройстве, будет бэкдор, через который преступники проникнут в корпоративные системы. Кроме того, администраторам нужно задуматься, кто еще имеет доступ к их системам, и если это ваши поставщики, то знают ли они о потенциальном риске, которым угрожает ransomware и другие вредоносные программы?
6. Создайте эффективную стратегию резервного копирования. Наличие надежных и актуальных резервных копий всей критически важной для бизнеса информации является жизненно важной защитой, особенно от программ-вымогателей. В результате стечения неблагоприятных обстоятельств, когда хакерам удастся скомпрометировать несколько устройств, наличие своевременно сделанных резервных копий означает, что их можно восстановить и снова оперативно начать работу. Учитывая значимость стратегии бэкапов, предприятию нужно знать, где хранятся критически важные для бизнеса данные. Возможно, финансовый директор хранит данные в электронной таблице на рабочем столе, и эти данные не зеркалируются в облако.
Нужно помнить одну очень важную деталь: если делать резервные копии не критически важных данных или делать их тогда, когда это заблагорассудится, а не по расписанию, стратегия резервного копирования будет мало полезной.
7. Прежде, чем платить выкуп, подумайте. Смоделируем ситуацию. Вымогатели пробились сквозь защиту организации, и все компьютеры зашифрованы. Восстановление данных из резервных копий займет несколько дней, но эти задержки могут оказаться критическими для бизнеса. Может быть лучше заплатить им несколько тысяч долларов? Как поступить? Для многих вывод будет очевидным: если работоспособность бизнеса будет восстановлена в кратчайшие сроки, то следует заплатить. Однако есть причины, которые говорят о том, что это решение может оказаться фатальным. Во-первых, нет никакой гарантии, что после оплаты преступники передадут ключ шифрования, потому что это преступники и у них отсутствуют привычные моральные принципы. Более того, совершив платеж организация продемонстрирует готовность платить и это может вызывать новые атаки с их стороны или со стороны привлеченных группировок, которые искали платежеспособных клиентов. Во-вторых, выплата выкупа либо из собственных средств, либо посредством страхового покрытия означает, что криминальный курс приносит группировкам доход. Как следствие, оно могут тратить добытые преступным путем средства на совершенствование кампаний, атакуя большее число предприятий. Даже если одному или нескольким предприятиям повезло, и им разблокировали компьютеры, платить выкуп — значит стимулировать новую волну вымогательства.
8. Разработайте план реагирования на ransomware и проверьте его. Каждое предприятие должно иметь план восстановления работоспособности после непредвиденного вмешательства в рабочие процессы — будь то поломка техники или стихийные бедствия. Ответы на вымогательские действия должны быть его стандартной статьей. Они не должны быть только техническими (очистка ПК и восстановление данных из резервных копий), но и рассматриваться в более широком бизнес-контексте. К примеру, как объяснить ситуацию покупателям, поставщикам и прессе; следует ли уведомлять об ransomware-атаке полицию, страховую компанию и регулирующие органы. Помимо разработки плана нужно будет убедиться в его работоспособности, так как некоторые допущения могут быть ошибочными.
9. Сканирование и фильтрация э-почты. Самый простой способ обезопасить своих сотрудников от перехода по вредоносной ссылке в э-письме — сделать так, чтобы оно никогда не попало в их почтовый ящик. Чтобы добиться этого, нужно применять средства сканирования контента и фильтрации э-почты. Установленные фильтры значительно сократят количество фишинговых и вымогательских программ.
10. Досконально изучите схему работы своей сети. ИБ-рынок предлагает целый ряд связанных инструментов безопасности начиная от систем предотвращения и обнаружения вторжений и заканчивая системами управления информацией и событиями безопасности (security information and event management, SIEM), которые дают полное представление о трафике сети, каналам его поступления и т. д. SIEM получает информацию о событиях из различных источников, таких как межсетевые экраны, IPS, антивирусы, ОС и т. д. Система фильтрует полученные данные, приводя их к единому, пригодному для анализа формату. Это позволяет собирать и централизованно хранить журналы событий в различных системах.
Далее SIEM коррелирует события: ищет взаимосвязи и закономерности, что позволяет с высокой вероятностью определять потенциальные угрозы, сбои в работе ИТ-инфраструктуры, попытки несанкционированного доступа, атаки. Эти продукты дают актуальное представление о состоянии сети и в том числе позволяют определить аномалии в трафике, которые могут указывать на взлом хакерами, правда, без указания на то, был ли он осуществлен при помощи ransomware или других видов зловредного ПО. В любом случае, если предприятие не видит, что происходит в ее сети, оно не сможет остановить атаку.
11. Убедитесь, что ваша антивирусная программа обновлена. Обновление антивирусных сигнатур кажется обыденностью, однако некоторые организации, как правило, небольшие, не уделяют этому процессу должного внимания. Многие современные антивирусные пакеты предлагают функции обнаружения программ-вымогателей или надстройки, которые обнаруживают подозрительное поведение, общее для всех вымогателей: шифрование файлов. Антивирусные сигнатуры понимают, что внешние программы предпринимают попытки модифицировать пользовательские файлы и зашифровать их, и пытаются остановить шифрование. Некоторые пакеты безопасности даже делают копии файлов, которым угрожает программа-вымогатель.
Защита от целевых атак шифровальщиков
Для защиты от целевых атак с использованием программ-вымогателей эксперты "Лаборатории Касперского" и "Инфосистемы Джет" рекомендуют предпринять следующие действия:
No More Ransom
Читайте также:
