Вирусная атака сегодня как защититься

На заре компьютерной эры, когда вычислительные машины были достоянием лишь секретных правительственных организаций, все было тихо и спокойно. Инженерам и в голову не приходило заниматься такими глупостями, как, например, создание вирусов, - и без этого хватало работы. Однако уже в конце 70-х компьютеры начинают активно проникать в жизнь все более широких слоев населения, и к середине 90-х они становятся обязательным атрибутом чуть ли не каждой современной компании, а компьютерная грамотность стала в ряд с умением читать и писать. К компьютерам получают доступ сотни миллионов людей со всего мира, а Всемирная паутина, именуемая Интернетом, связывает их невидимыми каналами связи. Наивно было бы полагать, что эта орава пользователей в своей работе с компьютерами преследует благие цели составления бухгалтерских отчетов, ведения складского хозяйства или просто испытывает желание "утонуть" в увлекательной компьютерной игре. Сегодня десятки тысяч хакеров самых разных возрастов и убеждений рыскают по всемирному киберпространству, взламывают компьютерные системы, крадут конфиденциальную информацию, опустошают банковские счета, уничтожают данные. Наиболее распространенным инструментом для достижения этих целей стали компьютерные вирусы.
Многочисленные вирусные атаки ставят под угрозу нормальное функционирование глобальной экономики в целом. По данным аналитического центра издательства Information Week, в 2000 году потери мирового хозяйства, вызванные вирусной и хакерской активностью, составили 1,6 трлн. долл. Другая американская исследовательская организация - Forrester Research - прогнозирует, что к 2005 году компании увеличат расходы на информационную безопасность в 3 раза, для того чтобы сохранить свою способность противостоять усиливающимся вирусным атакам на компьютерные системы. Прогноз, надо сказать, не из приятных для российской экономики, особенно если учитывать, что у многих отечественных предприятий не хватает средств даже на выплату зарплаты. Как сократить расходы и одновременно повысить эффективность защиты? Ответ на этот вопрос состоит в понимании проблемы и проведении четкой и продуманной корпоративной политики компьютерной безопасности.

Что такое вирус?

Благодаря многочисленным голливудским блокбастерам понятие "вирус" в глазах публики приобрело демонический оттенок и устойчиво ассоциируется чуть ли не со злым внеземным разумом, проникшим на Землю. Необоснованный страх тем более опасен, что лишает пользователей способности трезво рассуждать, когда на компьютере действительно появляется вирус: часто в панике они наносят компьютерам больший ущерб, чем мог бы сделать сам вирус. В действительности вирус - это самая обычная компьютерная программа, которая обладает свойством незаметно для пользователя создавать свои копии и внедрять их в другие программы или секторы дисков. Совсем даже не страшно, правда?
Другое заблуждение большинства пользователей состоит в распространении понятия "вирус" на все остальные типы вредоносных программ, такие как сетевые черви и троянские программы. "Черви" в отличие от вирусов не имеют способности "размножаться", но умеют автоматически рассылать себя по электронной почте, сетевым ресурсам и другим каналам передачи данных. "Троянцы" не умеют ни того, ни другого - они "вручную" засылаются жертве под видом какой-нибудь полезной утилиты и, будучи запущенными, производят на компьютере самые разные нежелательные действия. Важно отметить, что сегодня уже трудно найти вредоносную программу, которая была бы "чистым" вирусом, "червем" или "троянцем". Современные компьютерные жучки - это в подавляющем большинстве сложные многокомпонентные программы, которые сочетают характерные черты двух или даже всех трех типов.

Как защитить сеть?

Вряд ли стоит говорить, что компьютерная сеть предприятия даже небольшого масштаба - это сложный организм, требующий от системного администратора несравненно больших знаний и умения, нежели защита настольного компьютера домашнего пользователя.
.
Cтруктура обычной сети включает такие элементы, как рабочие станции (мобильные и стационарные), файловые серверы и серверы приложений (физические и логические), почтовые шлюзы и web-серверы. Вместе с тем продуманная система антивирусной защиты сети - это не просто установка специализированного антивирусного ПО. Более того, такой подход к проблеме может привести к неправильному или неэффективному функционированию вычислительных мощностей предприятия. В результате может снизиться производительность сети в целом и даже лучший в мире антивирус пропустит "заразу", последствия чего вообще трудно предсказать.
Итак, как же правильно использовать антивирусные программы? Здесь необходим комплексный подход, при котором защита от вирусов сегментов сети работала бы как совокупность взаимосвязанных и взаимодополняющих элементов. Наш взгляд на проблему сводится к необходимости контроля мест хранения данных и каналов их передачи, а также равномерному распределению нагрузки на элементы корпоративной сети. Давайте рассмотрим это подробнее.
Рабочие станции являются наиболее уязвимым местом в защите корпоративной сети, поскольку управляются наименее опытными в плане "вирусоустойчивости" пользователями. Сегодня, когда рабочее место буквально каждого сотрудника современного предприятия оборудуется компьютером, нередко подключенным к Интернету, уровень защиты корпоративной сети автоматически многократно понижается. Сквозь эту "лазейку" проникает до 95% всех вредоносных программ. Как показывает практика, должный результат в образовании рядовых пользователей не всегда достигается даже долговременным и целенаправленным просвещением: они все так же открывают присланные неизвестно откуда "картинки" с изображениями любимых теннисисток, актрис, певиц. В этой связи важно максимально исключить человеческий фактор и установить соответствующее антивирусное ПО. "Соответствующее" означает, во-первых, антивирусный монитор, проверяющий все используемые на компьютере объекты в масштабе реального времени, т. е. в момент попытки их запуска. В случае попытки выполнения зараженного файла монитор автоматически сообщит об инциденте пользователю и системному администратору, которые смогут своевременно принять необходимые меры. Во-вторых, ежедневно все локальные диски рабочих станций должны проходить всеобъемлющую проверку антивирусным сканером с максимальной глубиной поиска. Максимальная глубина поиска подразумевает применение эвристического анализатора кода (поиск неизвестных вирусов) и избыточного сканирования (для обнаружения вирусов, использующих необычные технологии внедрения в файлы). Обе технологии требуют больших затрат вычислительных ресурсов компьютера, однако вряд ли это будет принципиально, если сканирование проводится уже, например, по окончании рабочего дня.
Важно не забывать мобильных пользователей, которые, бывает, приносят целые "зоопарки" вредоносных программ на своих ноутбуках. В отношении их необходимо применять настоящие драконовские меры: проводить полную проверку дисков каждый раз при подключении к сети.
Часто рядовые пользователи страдают желанием отключить навязчивые антивирусные программы или изменить параметры их работы. При этом они плохо представляют себе последствия такой самодеятельности. Поэтому следующий важный совет системным администраторам - исключить возможность изменения параметров и отключения антивирусов локальными пользователями.
Системный администратор крупной сети может схватиться за голову: "Как же я буду все это делать на моих 500 станциях"? Действительно, неужели ему придется лично каждый день обегать всех своих подопечных для глубокого сканирования? Ответ очень прост: в передовые антивирусные комплексы уже интегрированы технологии, позволяющие проводить всю эту работу удаленно и в полностью автоматическом режиме. Например, в самой популярной российской программе "Антивирус Касперского" (www.kaspersky.ru) внедрена система управления "Сетевой Центр Управления", дающая возможность один раз с консоли администратора задать порядок работы пакета на рабочих станциях, включить автопилот и забыть об этой головной боли.

Другим уязвимым элементом корпоративной сети является почтовый шлюз, через который проходит электронная корреспонденция предприятия. По данным "Лаборатории Касперского", в 2000 году более 80% всех зарегистрированных вирусных инцидентов произошло именно через электронную почту. Почему же она получила такую популярность среди создателей вредоносных программ?

Во-первых, электронная почта - это идеальный транспорт для компьютерных вирусов, обеспечивающий высочайшую скорость их распространения. Благодаря последним достижениям технологий связи доставка электронного письма даже в противоположную точку земного шара требует минут, а в некоторых случаях - даже нескольких секунд. Сравните cо многими месяцами, необходимыми вирусу, чтобы добраться до другого города при помощи дискет. Исключительная популярность Интернета предопределила и бурное развитие электронной почты: в наши дни к ней имеют доступ сотни миллионов людей по всему миру. Более того, сегодня трудно и практически невозможно вести эффективный бизнес, управлять современным предприятием или организацией без использования электронной почты.
Вторым обстоятельством, предопределившим пристрастие компьютерного андеграунда к электронной почте, является простота ее использования в процессе разработки программ. Существует множество учебников и руководств, которые подробно описывают процедуру внедрения подпрограмм для взаимодействия с почтовыми клиентами. Таким образом, даже студент способен создать простейшую программу, умеющую рассылать письма по электронной почте.
Наконец, не стоит забывать и такой важный психологический момент. Одной из главных причин создания людьми компьютерных вирусов является их желание показать себя, сделать так, чтобы их запомнили, пусть даже на геростратовом поприще. Для достижения этой цели они готовы пойти на все, чтобы их создания нанесли как можно больший вред, стали как можно более известными. Лучший вариант для этого, чем использование электронной почты, придумать сложно.
Таким образом, сегодня антивирусная защита корпоративных почтовых систем является важнейшим аспектом политики безопасности предприятия в целом. Именно это направление в перспективе будет определять эффективность и устойчивость функционирования корпоративных вычислительных систем. Конечно, это не значит, что системный администратор должен просто установить на почтовый сервер антивирус с настройками "по умолчанию" и забыть о нем.
Основным правилом является защита всех узлов и установка многоуровневой системы фильтрации всей почтовой корреспонденции. Наиболее распространенной структурой размещения опорных пунктов антивирусной защиты является так называемая схема 2+1. Схема подразумевает установку антивирусного модуля на корпоративный почтовый сервер, который осуществляет первичную проверку поступающих сообщений. В связи с нагрузкой, которая ложится на почтовый сервер, рекомендуется настраивать антивирусный модуль на минимальное потребление системных ресурсов, т. е. отключать такие "тяжелые" функции, как избыточное сканирование, эвристический анализ, проверка архивированных и сжатых файлов.
Второй уровень защиты составляет специальное антивирусное ПО, устанавливаемое на рабочих станциях, подключенных к службе электронной почты. Оптимальным вариантом является использование антивирусных модулей, интегрированных в локальные почтовые клиенты. Здесь рекомендуется включить все имеющиеся инструменты защиты от вирусов: это будет несколько замедлять работу компьютера, однако никак не скажется на функционировании сети в целом. Существует альтернатива интегрированным антивирусным модулям - антивирусные мониторы, которые в масштабе реального времени проверяют все используемые объекты. Однако первый вариант все же является более предпочтительным, потому как проверяет все входящие и исходящие сообщения сразу же после их получения или отправления, в то время как мониторы способны распознать вредоносный код, только когда пользователь попробует его запустить. Кроме того, антивирусный модуль способен не только обнаруживать, но и успешно лечить зараженные сообщения.

В-третьих, необходимо использовать и классический антивирусный сканер, способный проверять сетевые и локальные диски. Это необходимо для проведения регулярных (не менее 1 раза в день) проверок почтовых баз, хранящихся на сервере и рабочих станциях. Данное обстоятельство накладывает определенные требования на используемый антивирус, а именно поддержку различных форматов почтовых баз. Иными словами, важно, чтобы антивирусный сканер мог проверять содержимое почтовых баз, а не рассматривать их как обычные файлы.

Опасным рассадником вирусов могут также стать файловые серверы и серверы приложений, совместно используемые сразу многими сотрудниками предприятия. Так, зараженная программа с одного компьютера, скопированная на сервер, может моментально попасть на другой компьютер, если его владелец проявит интерес к этой программе. На серверы, как и на рабочие станции, необходимо устанавливать антивирусные мониторы, проверяющие файлы "на лету", и регулярно проводить полномасштабную проверку антивирусным сканером. Как и в случае с почтовыми шлюзами, для оптимизации работы сервера мы рекомендуем отключать "тяжелые" инструменты борьбы с вирусами (эвристический анализатор и пр.) на уровне сервера и возлагать эту задачу на клиентские антивирусные программы.
В качестве дополнительного барьера на пути вирусов в сеть предприятия мы рекомендуем установить специальный антивирусный модуль на корпоративный межсетевой экран, который сможет проводить антивирусную фильтрацию всех входящих и исходящих потоков данных.
Наконец, не стоит забывать про корпоративный web-сервер. Здесь таится опасность даже большего масштаба, чем в случае с почтовыми шлюзами или рабочими станциями. Web-cервер является предметом открытого доступа, к которому могут обращаться не только сотрудники компании, но и любой желающий. Можете себе представить, какой ущерб репутации предприятия может нанести вирус в файле, хранящийся на web-сервере и открытый для публичной загрузки? История знает немало примеров, когда десятки тысяч пользователей загружали зараженные программы и запускали их на своих компьютерах, что приводило к сбоям и потере важной информации. Источниками "заразы" могут быть внутренние сетевые ресурсы и внешний взлом. Первая проблема решается реализацией описанной выше структуры антивирусной защиты. Что касается второго, то должен подтвердить - от хакерского взлома никто гарантированно не защищен. Причинами взлома могут быть недавно обнаруженные "дыры" в системах безопасности, перехват или простой подбор паролей доступа к web-серверу. В результате хакер может, например, заменить какую-нибудь полезную программу на свое "творение", которое впоследствии скачают ваши потенциальные покупатели. Для исключения такой возможности можно использовать специализированные ревизоры изменений, такие как, например, Kaspersky WEB Inspector. Такие программы собирают со всех файлов web-сервера их уникальные "отпечатки" (CRC-суммы) и после в масштабе реального времени постоянно контролируют их соответствие оригиналам. В случае нарушения целостности информации ревизор мгновенно оповестит о произошедшем инциденте системного администратора и восстановит первоначальное содержимое сервера.

Описанная схема была бы малоэффективной, если бы не сопровождалась внимательным отношением к своевременному обновлению антивирусных баз всех задействованных в схеме модулей и программ. Как известно, антивирус способен распознать и удалить вирус только в том случае, если данные о нем присутствуют в базе данных программы. Современные алгоритмы распознавания неизвестных вирусов страдают недостаточной надежностью и высоким уровнем ложных срабатываний. Таким образом, чем чаще обновляется ваш антивирус, тем более оперативно вы можете противостоять атакам даже самых "свежих" вирусов. Идеалом являются real-time-обновления "Лаборатории Касперского", когда пользователь получает обновления сразу же после их производства и тестирования антивирусными экспертами.
В области антивирусной безопасности, как ни в какой другой, идеально работает известный закон Мэрфи, гласящий, что если какая-нибудь неприятность может произойти, то она обязательно произойдет. Можно понадеяться на авось и не "залатать" вовремя брешь в системе безопасности или забыть обновить используемое антивирусное программное обеспечение. Смею вас уверить, что последствия этой халатности не заставят себя ждать, и скоро системный администратор обнаружит в подведомственной ему сети нелегально копошащихся хакеров и настоящий вирусный "зоопарк". Как это ни шокирующе звучит, но крайний педантизм и легкая стадия паранойи - залог успешности в деле защиты компьютерных сетей. Но даже эти ценные качества человеческой натуры не способны обеспечить надежную защиту, если у всех сотрудников предприятия нет четкого понимания своего места и роли в борьбе с внешними вторжениями, если в компании не проводится жесткая и продуманная до мельчайших подробностей политика компьютерной безопасности. Надеюсь, мы помогли уважаемому читателю разобраться в основах этой политики. Удачи в борьбе с вирусами!

Опасен с вашего разрешения

Наиболее опасным для банковских мобильных приложений на сегодняшний день является тип вирусов Spyware. Они крадут данные и отправляют их своим создателям, которые в считанные минуты смогут получить контроль над банковским счетом своей жертвы. Их коллекция регулярно пополняется. Так, в июле этого года, по сообщению журнала Forbes, появилась версия вируса-трояна BianLian, которая может красть данные из банковских приложений мобильных устройств.

Детальный анализ вируса показал, что информацию он способен похищать с помощью скриншотов (снимков) экрана устройства, притворяясь программой для людей с ограниченными возможностями. Но вред он может нанести только в том случае, если сам пользователь разрешит ему доступ к фотофункциям смартфона. Если такое разрешение получено, то контроль за электронным кошельком может быть утерян.

- Защита мобильного устройства от вирусных программ - это в первую очередь внимательность его владельца, - пояснил руководитель направления "Информационная безопасность" компании "Эр-Телеком" Михаил Терешков. - Вирусы, как правило, маскируются под легальные программы, но внимательный человек разоблачит их достаточно легко. Так, например, если программа "Фонарик", которая использует для освещения вспышку смартфона, вдруг запросит у вас разрешение на доступ к списку контактов, это должно вызвать у вас подозрение. Не исключено, что скачанное вами из неофициального магазина приложение может содержать вирус. И лучше его удалить.

По словам эксперта, доступные пользователям платные и бесплатные антивирусные программы не являются 100-процентной гарантией защиты мобильного устройства. Пробелы в безопасности своих программных продуктов закрывают сами разработчики приложений. Для получения свежих исправлений не нужно запрещать своему мобильному устройству скачивать легальные обновления и регулярно их устанавливать.

Банки защищаются

Банки стараются защитить своих клиентов от мошенников и с этой целью разрабатывают новые "умные" инструменты, затрудняющие злоумышленникам доступ к управлению электронным кошельком.

- Чтобы защитить денежные средства своих клиентов, банки сегодня предпринимают дополнительные меры, например внедряют новые антифрод-системы, - рассказывает начальник отдела информационной безопасности банка "Урал - ФД" Александр Ропперт. - Они предназначены для предотвращения мошеннических операций. В режиме реального времени система проверяет каждый платеж, прогоняя информацию через десятки, а порой и сотни фильтров. Но защитные системы банков бессильны перед так называемой социальной инженерией (формой гипноза). Используя различные психологические приемы, злоумышленники вынуждают клиентов сообщать логины и пароли от своего интернет-банка, а также одноразовые пароли для совершения покупок в интернете. У киберпреступников в этом плане большой арсенал методов. Так, например, они могут представляться налоговыми инспекторами и требовать деньги для погашения несуществующей задолженности или войти в образ сотрудника финансовой организации и запросить пин-коды банковской карты.

Но и социальной инженерии мошенников, по мнению эксперта, можно успешно противостоять, если помнить некоторые элементарные правила. Так, банк никогда не потребует от клиента сообщить CVV-код банковской карты, кодовое слово или код из SMS-сообщения, а сотрудник финансовой организации никогда не попросит подойти к банкомату и совершить какие-либо действия со счетом.

При этом владельцу банковской карты всегда стоит обращать внимание на подозрительные списания средств со своего счета. Иногда злоумышленники, получившие доступ к мобильному клиенту банка, маскируют свои транзакции под бытовые покупки, которые клиент банка совершает в одних и тех же магазинах.

Выбор требует жертв

На сегодняшний день в мире мобильных устройств распространены преимущественно две операционные системы: Android и iOS. На долю первой приходится 81,7 процента пользователей, а на долю второй - 17,9 процента. Именно смартфоны, работающие на системе Android, чаще всего становятся объектом атак вирусных программ. Причина этого явления кроется не только в более широком распространении программной оболочки с зеленым роботом.

Пользователи Android могут устанавливать на свой смартфон приложения не только из официального магазина программ Google Play, но и из любых источников в интернете. При этом практически на каждом мобильном устройстве в настройках отключена возможность такой установки, но при желании ее можно включить. То есть производитель позволяет потребителю рискнуть на его усмотрение.

У операционной системы iOS иные правила: установить можно только те программы, которые размещены в официальном магазине приложений App Store. Такой подход существенно ограничивает пользователей в выборе программного обеспечения, но взамен повышает безопасность использования мобильного устройства.

Есть в iOS и другие средства борьбы с вирусными атаками. Одно из них - sandboxing (песочница). Эта утилита внимательно наблюдает за работой приложений и не позволяет им получить доступ к другим программам. При этом практически во всех приложениях iOS изначально исключена функция доступа к правам администратора мобильного устройства. Поэтому нельзя самостоятельно изменять системные настройки и кардинально перестраивать работу смартфона.

Soft-гигиена

Впрочем, даже многоуровневая защита разработчиков iOS не может на 100 процентов гарантировать владельцу смартфона защиту от вирусов, ведь вредоносные программы могут попасть в мобильник через интернет-браузер.

По мнению экспертов управления "К" ГУ МВД России по Пермскому краю, безопасность мобильного устройства во многом зависит от характера его использования при осуществлении доступа к сетевым ресурсам. Если владелец смартфона не соблюдает "интернет-гигиену", то есть регулярно посещает порносайты и открывает подозрительные SMS, то проблемы не заставят себя долго ждать. При этом зараженное мобильное устройство может стать опасным не только для его владельца, но и для всех абонентов в его списке контактов.

Достаточно часто вирусы, распространяющиеся от пользователя к пользователю, похищают не только данные мобильных банковских приложений, но и файлы, распространение которых может в дальнейшем вызвать негативные последствия. Это могут быть, например, фото интимного характера и другие документы, как-либо компрометирующие своих владельцев. За "молчание" злоумышленники потребуют круглую сумму.

Избежать потери информации можно с помощью надежного носителя, который не связан с сетевыми ресурсами. Это может быть флешка или внешний диск компьютера. Мобильное устройство, каким бы размером памяти оно ни обладало, в списке надежных хранителей информации не значится.

Самые опасные вирусы для мобильных устройств

Triada. Незаметно внедряется на смартфон и передает данные своим владельцам. В ответ получает инструкции, как установить контроль за системными приложениями и какую информацию необходимо похитить.

BianLian. Внедряется на смартфон под видом легальной программы. Ориентирован на кражу информации мобильных банковских приложений с помощью скриншотов экрана устройства.

Marcher. Проникает в смартфон вместе с зараженным приложением. Умеет подменять страницы мобильных приложений банков и таким образом похищает логины и пароли.

Loki. Каскад вирусов: первый скачивает второго, второй третьего и так далее. Подменяет собой часть операционной системы и полностью контролирует смартфон. Используется для накрутки посещаемости сайтов и транслирования рекламы.

Стоит ли платить злоумышленникам, если поймали вирус? Как сделать так, чтобы вирус не получил ни единого шанса залезть к вам в компьютер? О новом вирусе не так много информации, но его сходство с WannaCry дает нам шанс уберечься от атаки

Стоит ли платить злоумышленникам, если поймали вирус? Как сделать так, чтобы вирус не получил ни единого шанса залезть к вам в компьютер? О новом вирусе не так много информации, но его сходство с WannaCry дает нам шанс уберечься от атаки

Украину поразил вирус-вымогатель. Тысячи компьютеров по всей стране заражены, пострадали крупные компании и частные лица. Специалисты говорят, что вирус mbr locker 256 – это некий аналог известного вируса WannaCry, который стал активно распространяться по всему миру 12 мая 2017 года. Сперва он поразил сеть учреждений здравоохранения Великобритании, а затем перекинулся на организации в других странах, включая Украину.

Судя по скриншотам экранов пораженных компьютеров, вирус блокирует доступ к файлам на компьютере, шифрует их и требует выкуп в размере 300 долл. на адрес Bitcoin-кошелька за их расшифровку. Так же поступал и WannaCry, который, согласно подсчетам, нанес ущерб более чем на 1 млрд долл., хотя и принес создателям всего лишь 120 тыс. долл.

Новости по теме

Новости по теме

Вирус работает только в операционной системе Windows. ИТ-эксперты объясняют, что авторы коварного кода WannaCry использовали уязвимость операционной системы Microsoft. Эту информацию подтвердил и президент Microsoft Брэд Смит. Минимальная продолжительность времени между обнаружением уязвимого компьютера и полным его заражением составляет порядка 3 минут.

MBR - это главная загрузочная запись, код, необходимый для последующей загрузки ОС и расположенный в первом секторе устройства. После включения питания компьютера происходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Затем компьютер перезагружается, после чего система начинает проверку жесткого диска и шифрует данные.

Новости по теме

Новости по теме

Поскольку mbr locker 256 весьма похож на WannaCry, давайте вспомним, что надо знать, чтобы уберечься от поражения.

Как уберечь свой компьютер от вируса-вымогателя?

Какие меры необходимо выделить как эффективные для борьбы с данным вирусом:

1. Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server), их вы можете скачать здесь. В связи с модификацией вируса Microsoft выпускает обновления очень часто, надо следить за ними.

2. Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана здесь, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.

3. В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation.

4. Антивирус с последними базами – обязательно. Даже если система не была обновлена, и WannaCry попал на компьютер — и корпоративные, и домашние решения антивируса ESET NOD32 успешно детектируют и блокируют все его модификации. В продуктах ESET NOD32 для Windows предусмотрена функция проверки обновлений операционной системы. Если она включена и все обновления Windows установлены, система защищена от WannaCryptor и подобных атак.

5. Кроме того, не стоит открывать сомнительные ссылки и архивы. Системным администраторам и администраторам безопасности стоит обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика. Стоит ограничить возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий % TEMP%,% APPDATA%.

6. Постоянно делайте несколько резервных копий критичных данных. Копии желательно хранить отдельно. Можно пользоваться и "облачными" сервисами для интернет-бэкапа.

Если поймали вирус - платить или не платить?

Если вы уже заразились, не спешите платить злоумышленникам. Вряд ли это вам поможет. Согласно исследованию компании Symantec, в WannaCry алгоритм отслеживания злоумышленниками индивидуальных выплат каждой жертвы и отправки ей ключа для расшифровки был реализован с ошибкой состояния гонки. Это делало выплату выкупа бессмысленными, поскольку индивидуальные ключи в любом случае не будут присланы, а файлы так и останутся зашифрованными. Возможно, в "украинском" вирусе, программа построена аналогичным образом.

Специалисты утверждают, что существует надежный метод расшифровать пользовательские файлы размером менее 200 МБ, а также некоторые шансы восстановить файлы большего размера. Кроме того, на устаревших системах Windows XP и Windows Server 2003 из-за особенностей реализации в системе алгоритма вычисления псевдослучайных чисел даже возможно восстановить закрытые RSA-ключи и расшифровать все пострадавшие файлы, если компьютер не перезагружался с момента заражения. Позднее группа французских экспертов по кибербезопасности из компании Comae Technologies расширила эту возможность до Windows 7 и реализовала ее на практике, опубликовав в открытом доступе утилиту WanaKiwi, позволяющую расшифровать файлы без выкупа.

Поэтому, если вы пострадали, срочно вызывайте специалиста, который по возможности удалит вирус без утери файлов.

Известный эксперт в сфере компьютерной безопасности Брайан Кребс рекомендует воспользоваться ресурсом nomoreransom.org – проектом, поддерживаемым антивирусными фирмами и официальными организациями, например, центром по борьбе с киберпреступностью Европола.

На сайте вы найдете подборку инструментов для расшифровки файлов, зашифрованных различными вирусами, вы также можете прислать зашифрованный файл со своего компьютера, чтобы специалисты оценили возможность его расшифровки.