По для устранения последствий вирусной атаки

Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут быть очень серьёзными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за внедрение вирусов. Для защиты информации от вирусов используются общие и программные средства.

К общим средствам, помогающим предотвратить заражение и его разрушительных последствий относят:

Основными мерами профилактики вирусов являются:

· резервное копирование информации (создание копий файлов и системных областей жестких дисков);

· избегание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами;

· перезагрузка компьютера перед началом работы, в частности, в случае, если за этим компьютером работали другие пользователи;

· ограничение доступа к информации, в частности физическая защита дискеты во время копирования файлов с неё;

· применение различных защитных средств при работе на компьютере в любой информационной среде (например, в Интернете).

· Проверка на наличие вирусов файлов, полученных по сети;

К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы.

Следует заметить, что вирусы в своём развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус.

Однако, много современных антивирусных пакетов имеют в своём составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это даёт возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.

Различают такие типы антивирусных программ:

1) программы-детекторы: предназначены для нахождения заражённых файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать заражённые файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами;

2) программы-лекари: предназначены для лечения заражённых дисков и программ. Лечение программы состоит в изъятии из заражённой программы тела вируса. Также могут быть как полифагами, так и специализированными;

3) программы-ревизоры: предназначены для выявления заражения вирусом файлов, а также нахождение повреждённых файлов. Эти программы запоминают данные о состоянии программы и системных областей дисков в нормальном состоянии (до заражения) и сравнивают эти данные в процессе работы компьютера. В случае несоответствия данных выводится сообщение о возможности заражения;

4) лекари-ревизоры: предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

5) программы-фильтры: предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

6) программы-вакцины: используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).

Следует заметить, что выбор одного "наилучшего" антивируса крайне ошибочное решение. Рекомендуется использовать несколько разных антивирусных пакетов одновременно. Выбирая антивирусную программу следует обратить внимание на такой параметр, как количество распознающих сигнатур (последовательность символов, которые гарантированно распознают вирус). Второй параметр - наличие эвристического анализатора неизвестных вирусов, его присутствие очень полезно, но существенно замедляет время работы программы. На сегодняшний день существует большое количество разнообразных антивирусных программ. Рассмотрим коротко, распространённые в странах СНГ.

DRWEB

Один из лучших антивирусов с мощным алгоритмом нахождения вирусов. Полифаг, способный проверять файлы в архивах, документы Word и рабочие книги Excel, выявляет полиморфные вирусы, которые в последнее время, получают все большее распространение. Достаточно сказать, что эпидемию очень опасного вируса OneHalf остановил именно DrWeb. Эвристический анализатор DrWeb, исследуя программы на наличие фрагментов кода, характерных для вирусов, разрешает найти почти 90% неизвестных вирусов. При загрузке программы, в первую очередь DrWeb проверяет самого себя на целостность, после чего тестирует оперативную память. Программа может работать в диалоговом режиме, имеет удобный настраиваемый интерфейс пользователя.

ADINF

Антивирус-ревизор диска ADINF (Avanced DiskINFoscope) разрешает находить и уничтожать, как существующие обычные, stealth- и полиморфные вирусы, так и совсем новые. Антивирус имеет в своем распоряжении лечащий блок ревизора ADINF - Adinf Cure Module - что может обезвредить до 97% всех вирусов. Эту цифру приводит "Диалогнаука", исходя из результатов тестирования, которое происходило на коллекциях вирусов двух признанных авторитетов в этой области - Д.Н.Лозинского и фирмы Dr.Sоlомоn's (Великобритания).

ADINF загружается автоматически в случае включения компьютера и контролирует boot-сектор и файлы на диске (дата и время создания, длина, контрольная сумма), выводя сообщения про их изменения. Благодаря тому, что ADINF осуществляет дисковые операции в обход операционной системы, обращаясь к функциям BIOS, достигаются не только возможность выявления активных stеаlth-вірусів, но и высокая скорость проверки диска. Если найден boot-вирус, то ADINF просто восстановит предшествующий загрузочный сектор, который хранится в его таблице. Если вирус файловый, то здесь на помощь приходит лечащий блок Adinf Cure Module, который на основе отчета основного модуля о зараженных файлах сравнивает новые параметры файлов с предыдущими, хранящиеся в специальных таблицах. При выявлении расхождений ADINF восстанавливает предыдущее состояние файла, а не уничтожает тело вируса, как это делают полифаги.

AVP

Антивирус AVP (AntiVirus Program) относится к полифагам, в процессе работы проверяет оперативную память, файлы, в том числе архивные, на гибких, локальных, сетевых и CD-ROM дисках, а также системные структуры данных, такие как загрузочный сектор, таблицу разделов и т.д. Программа имеет эвристический анализатор, который, по утверждениям разработчиков антивируса способен находить почти 80% всех вирусов. Программа AVP является 32-разрядным приложением для работы в среде операционных систем Windows, имеет удобный интерфейс, а также одну из самых больших в мире антивирусную базу. Базы антивирусов к AVP обновляются приблизительно один раз в неделю и их можно получить с Internеt. Эта программа осуществляет поиск и изъятие разнообразнейших вирусов, в том числе:

· полиморфных, или самошифрующихся вирусов;

· стелс-вирусов, или вирусов-невидимок;

· новых вирусов для Windows;

· макровирусов, заражающих документы Word и таблицы Excel.

Кроме того, программа AVP осуществляет контроль файловых операций в системе в фоновом режиме, выявляет вирус до момента реального заражения системы, а также определяет неизвестные вирусы с помощью эвристического модуля.

Антивирус Касперского Personal - разработка "Лаборатории Касперского", воплощающая результаты многолетних исследований ведущих экспертов в области защиты от вредоносных программ. Продукт сочетает уникальную функциональность, удобный пользовательский интерфейс и высокий уровень защиты от вирусов. Программный комплекс позволяет организовать полномасштабную систему антивирусной защиты персонального компьютера. Он охватывает все возможные источники проникновения вирусной угрозы - съемные и постоянные файловые носители, электронную почту и Интернет. Использование "Антивируса Касперского" обеспечивает полное восстановление работоспособности системы при вирусной атаке. В то же время функция антивирусной проверки и лечения электронной почты позволяет очистить от вирусов входящую и исходящую корреспонденцию в режиме реального времени. В случае необходимости пользователю также доступны проверка и лечение почтовых баз различных почтовых систем.

Регулярное использование нескольких постоянно обновляемых антивирусных программ для проверки не только собственных носителей информации при переносе на них сторонних файлов, но и любых “чужих” дискет и дисков с любой информацией на них, в т.ч. и переформатированных позволяет поддерживать информационную безопасность.

Что произойдет в случае заражения системы вредоносной программой, например вирусом или трояном? Можно ли в этом случае очистить и восстановить Windows? Команда немецкой лаборатории AV-Test постаралась ответить на данные вопросы. Организация провела тестирование 7 антивирусов и 5 специализированных инструментов восстановления и выяснила, насколько они эффективны при устранении последствий вредоносного заражения.

Приходилось ли вам удалять систему Windows, форматировать диск и переустанавливать приложения после вредоносного заражения? Согласитесь, это кошмарный сценарий для многих пользователей, потому что для этого требуется очень много времени и сил. Может, есть другие способы возвращения контроля над инфицированной системой?

Если следовать советам на специализированных форумах, то чуть ли не единственной эффективной мерой называется чистая установка операционной системы на ПК. Результаты испытания AV-Test доказывают, что существуют гораздо более быстрые и менее трудоемкие альтернативы.

Каковы последствия атаки, зараженного вредоносным кодом приложения? Обычно зловред сначала получает контроль над ключевыми компонентами системы Windows. Некоторые вредоносные приложения пытаются незаметно существовать в фоновом режиме, составляя звено ботнета. Другой вредоносный код может давать постоянную нагрузку на центральный процессор, например для майнинга криптовалют.

На самом деле, неважно, что именно делает вредоносный код, первостепенная задача - избавиться от него как можно скорее. Как раз эту задачу могут выполнять антивирусные программы и специализированные утилиты очистки - они удаляют вредоносные образцы и отменяют губительные изменения.

В первые шесть месяцев 2018 года лаборатория AV-Test провела тестирование 7 антивирусных решений и 5 специализированных инструментов восстановления для Windows 10 на удаление вредоносных образцов, их сопутствующих компонентов и следов, и на восстановление системы после вредоносных изменений.

В тесте принимали участие 7 антивирусных продуктов:

В тесте принимали участие 5 специализированных инструментов удаления:

Данное тестирование является очень длительным и трудоемким, потому что требует большой доли ручного труда, а методики тестирования антивирусов и инструментов очистки несколько отличаются. В первоначальном испытании антивирусные продукты устанавливаются уже в зараженную тестовую систему. Таким образом, моделируется сценарий, когда пользователь работал с незащищенной системой, а затем решил попытаться восстановить систему уже после вредоносной атаки. Во втором тесте, антивирусы были установлены в чистую систему, но их защитные функции были отключены, а затем происходило заражение вредоносным кодом. В этом случае моделировалась ситуация, когда антивирусная программа не обнаруживала угрозу первоначально, а выполняла обнаружение и удаление позже.

В случае со специализированными утилитами система Windows изначально была заражена вредоносным ПО, после чего развертывался инструмент очистки. В этом процессе использовался загрузочный DVD-диск или USB устройство флеш-памяти. Затем запускалась среда восстановления, как правило на базе Linux, и инструменты выполняли очистку и восстановление Windows из внешней среды.

После завершения тестовой фазы, системы Windows сканировалась и сравнивалась с эталонной системой. На данном этапе эксперты лаборатории могли установить, была ли система восстановлена в свое первоначальное состояние или очистка и восстановления прошли безуспешно. Команда AV-Test принимала во внимание следующие результаты:

Были ли обнаружен образец вредоносной программы или нет
Были ли удалены активные и непосредственно опасные компоненты вредоносной программы или нет
Количество файлов-остатков, которые не представляют опасности
Количество успешно очищенных и восстановленных систем

В целом, результаты данного тестирования оказались хорошими. За одним исключением, антивирусные решения отлично справились с задачей восстановления зараженной системы. Среди протестированных специальных инструментов, есть программы, которые смогут эффективно помочь в чрезвычайной ситуации.

Среди антивирусных программ можно выделить много надежных помощников в очистке. Лучше всех отработали продукты от Bitdefender и “Лаборатории Касперского”. Они безошибочно очистили 42 тестовые системы и только в 2 случаях оставили безвредные остатки. Защитник Windows и Symantec оказались немного позади с 41 успешно очищенной системой и 3 случаями с безопасными остаточными файлами. Avast и Avira надежно восстановили 40 тестовых систем и проигнорировали не представляющие опасности остатки в 4 случаях.

Только продукт Malwarebytes не смог выполнить очистку системы в двух случаях, потому что не распознал вредоносную программу. Еще в 2 случаях продукт оставил без внимания остаточные файлы. Тем не менее, Malwarebytes успешно очистил 40 тестовых систем.

Что касается специализированных инструментов очистки, то в данной категории результаты выглядят скромнее. Лучших результатов здесь также добились решения от Bitdefender и “Лаборатории Касперского”. Они успешно очистили 21 из 22 тестовых систем и в одном случае оставили без внимания безвредные остатки. Продукт Heise смог обнаружить все вредоносные атаки и удалил опасные компоненты, но пропустил безобидные остатки сразу в 15 случаях. Идеально очищены были всего 7 систем.

Средство проверки безопасности от Microsoft не смогло обнаружить один образец вредоносного ПО, а инструмент от Vipre пропустил два зловреда. Стоит упомянуть, что инструмент Microsoft безупречно очистил систему 20 раз и только один раз оставил без внимания остатки угрозы. Аутсайдер данного испытания, Vipre не смог удалить активные компоненты угрозы в 4 случаях и безвредные остатки в 5 тестовых сценариях. Таким образом, Vipre безошибочно очистил только 11 систем.

Таким образом, наилучшие показатели эффективности очистки зараженных систем продемонстрировал продукты от Bitdefender и “Лаборатории Касперского”.

Помните, что если ваш компьютер будет заражен шифровальщиком, то данные, скорее всего, будут зашифрованы незамедлительно. Антивирусы и инструменты очистки смогут удалить угрозу, но не смогут восстановить зашифрованные данные. Поэтому всегда создавайте резервную копию важных данных на внешнем жестком диске и отключайте его от ПК.

Зачастую происходит такое, что антивирусы, вылечив ПК, не могут восстановить нарушенные вирусами программные и системные настройки. Радикальный метод – форматирование винчестера и переустановка операционной системы – не всегда приемлем в силу различных причин.
В таких случаях остается один выход – восстанавливать всё вручную.

Дело в том, что вирусы отключают Диспетчер задач, чтобы их нельзя было принудительно выгрузить из оперативной памяти . При этом в Реестре Windows в разделе [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesSystem] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для включения Диспетчера задач можно отредактировать Реестр: нажмите Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра. В разделе [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesSystem] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).

Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для восстановления пункта меню Свойства папки можно отредактировать Реестр: Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer] нужно найти параметр REG_DWORD NoFolderOptions и установить его значение 0 (или совсем удалить этот параметр) .

17.02.2010, 12:22

Helpmaster

Ранее на форуме создавались похожие топики

Примечания
1. Групповая политика Сделать недоступными средства редактирования реестра отключает использование Редактора реестра (regedit.exe). Если эта политика включена, а пользователь попытается запустить Редактор реестра, будет выведено сообщение о том, что текущая политика запрещает выполнение этого действия.
2. Можно сделать доступным запуск Редактора реестра Windows, запустив альтернативный Редактор реестра (например, загрузившись с аварийно-восстановительного диска типа ERD Commander), в разделе [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesSystem] нужно найти параметр REG_DWORD DisableRegistryTools и установить его значение 0 (или совсем удалить этот параметр).
Внимание! При работе с Редактором реестра Windows следует соблюдать осторожность, а то можно такого на редактировать, что придется переустанавливать операционную систему .
3. При работе пользователя ПК в корпоративной локальной сети отключение Редактора реестра зачастую производится системным администратором – для защиты от деструктивных действий пользователя с шаловливыми ручками! – на то он и сисадмин.

4. Чтобы утилита Редактор реестра могла запускаться, в Реестре в разделе [HKEY_CLASSES_ROOTregeditshellopencommand] значение строкового параметра по умолчанию должно быть – regedit.exe "%1"

Чтобы информацию из reg-файлов можно было добавлять в Реестр, в разделе [HKEY_CLASSES_ROOTregfileshellopencommand] значение строкового параметра по умолчанию должно быть – regedit.exe "%1"

17.02.2010, 12:23	#2 (permalink)

Что делать, если после лечения от вирусов не открывается флэшка?
Иногда при попытке открыть флэшку (или локальный диск) щелчком левой кнопки мыши появляется сообщение об ошибке, что невозможно открыть флэшку, т.к. отсутствует какой-либо файл, как правило, autorun.inf. В таком случае нужно открывать флэшку (или локальный диск), вызывая правой кнопкой мыши контекстное меню (выбрать пункт Проводник или Открыть).

Такое поведение флэшки обусловлено тем, что она была заражена вирусом, прописавшим ей автозапуск для дальнейшего распространения заразы. После чего она была пролечена антивирусом (или файл autorun.inf был удален вручную), но запись об автозапуске флэшки осталась в Реестре Windows.

Следует отметить, что в последнее время очень широко распространены всевозможные USB-шные (флэшечные) вирусы, специально созданные для съемных носителей информации и распространяемые при помощи этих носителей.

Как происходит заражение
На зараженном ПК эти вирусы являются резидентными – они постоянно находятся в оперативной памяти и отслеживают порты USB на предмет подключения съемных носителей. При подключении носителя он проверяется вирусом, заражен ли он уже таким вирусом. Если нет, то вирус копирует на носитель исполняемый файл, а для автоматического запуска вируса при каждом открытии в корневой директории носителя создается файл autorun.inf.

Например, одна из разновидностей вируса RavMon создает в корневой директории носителя файл autorun.inf со следующим содержимым:
[AutoRun]
open=RavMon.exe
shell\open=ґтїЄ(&O)
shell\open\Command=RavMon.exe
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command="RavMon.exe -e"

При открытии флэшки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windows ключи, подобные следующим:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\AutoRun\command]
строковый параметр по умолчанию – RavMon.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\explore]
строковый параметр по умолчанию – ЧКФґ№ЬАнЖч(&X)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\explore\Command]
строковый параметр по умолчанию – RavMon.exe -e

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\open]
строковый параметр по умолчанию – ґтїЄ(&O)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\open\Command]
строковый параметр по умолчанию – RavMon.exe

При этом в контекстном меню дисков вместо пунктов Открыть, Проводник – появляются пункты ґтїЄ(O), ЧКФґ№ЬАнЖч(X).

В чем заключается проблема и как ее решить
Проблема заключается в том, что после лечения флэшки (или локального диска) файл autorun.inf и ключи Реестра, созданные вирусом, остаются, и при попытке открытия носителя левой кнопкой мыши появляется сообщение об ошибке.

17.02.2010, 12:24	#3 (permalink)

12. Если вы не можете запустить txt-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\txtfile\shell\open\command] и исправьте значение расширяемого строкового параметра по умолчанию на %SystemRoot%\system32\NOTEPAD.EXE %1

13. Если вы не можете запустить reg-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\regfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на regedit.exe "%1"

14. Если у вас начались проблемы с установкой программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Open\command] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /i "%1" %*

15. Если у вас начались проблемы с унинсталляцией (удалением) программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Uninstall\comm and] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /x "%1" %*

Внимание!
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Рекомендации данной статьи предназначены для ОС Windows 2000/XP/2003/Vista, для Windows 95/98/Me будут незначительные отличия.

Аннотация

Последние несколько лет на рынке информационной безопасности остро встал вопрос защиты от автоматизированных направленных атак, однако в общем понимании направленная атака в первое время представлялась как результат продолжительной и профессиональной работы организованной группой киберпреступников с целью получения дорогостоящих критичных данных. В настоящее время на фоне развития технологий, популяризации open-source форумов (напр. Github, Reddit) и Darknet, предоставляющих исходные коды вредоносного ПО и пошагово описывающих действия по его модификации (для невозможности его детектирования сигнатурным анализом) и заражению хостов, реализация кибератак значительно упростилась. Для реализации успешной атаки, сопровождающейся пагубными последствиями для владельцев автоматизированных и информационных систем, достаточно неквалифицированного пользователя и энтузиазма в разборе предоставленного в сети Интернет / Darknet материала.

С развитием Ransomware появляются и средства противодействия им. В первую очередь это открытый проект No more Ransom! (www.nomoreransom.org), предоставляющий жертвам атак средства дешифрования данных (в случае вскрытия ключа шифрования), во вторую – специализированные open-source средства защиты от вирусов-шифровальщиков. Но и они либо анализируют поведение ПО по сигнатурам и не способны обнаружить неизвестный вирус, либо обеспечивают блокировку вредоносного ПО после его воздействия на систему (шифрования части данных). Специализированные Open-source решения применимы интернет-пользователями на личных / домашних устройствах, крупным организациям, обрабатывающим большие объемы информации, в том числе критичной, необходимо обеспечивать комплексную проактивную защиту от направленных атак.

Проактивная защита от направленных атак и Ransomware

Рассмотрим возможные векторы доступа к защищаемой информации, находящейся на сервере или автоматизированном рабочем месте пользователя:

Воздействие на периметр локальной вычислительной сети из интернета возможно через:
корпоративную электронную почту;
веб-трафик, в том числе веб-почту;
периметровый маршрутизатор / межсетевой экран;
сторонние (некорпоративные) шлюзы доступа к интернету (модемы, смартфоны и т. д.);
системы защищенного удаленного доступа.
Воздействие на серверы, рабочие места пользователей по сети:
загрузка вредоносных программ на конечные точки / серверы по запросу от них же;
использование недокументированных возможностей (уязвимостей) системного/прикладного ПО;
загрузка вредоносов по шифрованному VPN-каналу, неконтролируемому службами ИТ и ИБ;
подключение к локальной сети нелегитимных устройств.
Прямое воздействие на информацию на серверах, рабочих местах пользователей:
подключение внешних носителей информации с вредоносом;
разработка вредоносных программ прямо на конечной точке / сервере.

Для уменьшения вероятности реализации угрозы для каждого типа доступа к защищаемой информации необходимо обеспечивать выполнение комплекса организационно-технических мер по защите информации, перечень которых отражен на рисунке (см. Рисунок 1)

Рисунок 1. Проактивные меры защиты от направленных атак и Ransomware

К основным организационным мерам проактивной защиты от направленных атак и Ransomware относятся:

Повышение осведомленности сотрудников в области ИБ.
Необходимо регулярно проводить обучение сотрудников и информировать их о возможных угрозах ИБ. Минимальной и необходимой мерой является формирование принципов работы с файлами и почтой:
o не открывать файлы с двойным расширением: настроить для пользователей отображение расширений, чтобы идентифицировать вредоносные файлы с двойными расширениями (например, 1СRecord.xlsx.scr);
o не включать макросы в недоверенных документах Microsoft Office;
o проверять адреса отправителей почтовых сообщений;
o не открывать ссылки на веб-страницы, почтовые вложения от неизвестных отправителей.
Оценка эффективности защиты как внутри организации, так и с привлечением внешних специалистов.
Оценивать эффективность обучения персонала необходимо при помощи моделирования атак, как внутренних, так и с участием внешних специалистов — проводить тесты на проникновение, в т. ч. с использованием метода социальной инженерии.
Регулярное обновление системного ПО (Patch Management).
Для предотвращения атак вредоносного ПО на целевые системы через известные уязвимости необходимо обеспечить своевременное тестирование и установку обновлений системного и прикладного ПО с учетом приоритизации по степени критичности обновлений.
Систематизация резервного копирования данных.
Необходимо регулярно выполнять резервное копирование критически важных данных серверов информационных систем, систем хранения данных, рабочих мест пользователей (если предполагается хранение критичной информации). Резервные копии должны храниться на ленточных библиотеках системы хранения данных, на отчуждаемых носителях информации (при условии, что носитель информации не подключен постоянно к рабочей станции или серверу), а также в облачных системах резервирования данных, хранилищах.

Технические мероприятия проактивной защиты от направленных атак и Ransomware предпринимаются на уровне сети и на уровне хоста.

Дополнительно к вышеперечисленным мерам предотвратить направленную атаку в корпоративной сети поможет следующее:

Обеспечение регулярного анализа защищенности ИТ-инфраструктуры — сканирование узлов сети для поиска известных уязвимостей в системном и прикладном ПО. Эта мера обеспечивает своевременное обнаружение уязвимостей, позволяет их устранить до момента их использования злоумышленниками. Также система анализа защищенности решает задачи по контролю сетевых устройств и устройств, подключенных к рабочим станциям пользователей (например, 4G-модем).
Сбор и корреляция событий позволяет комплексно подойти к обнаружению вымогателей в сети на основе SIEM-систем, поскольку такой метод обеспечивает целостную картину ИТ-инфраструктуры компании. Эффективность SIEM заключается в обработке событий, которые отправляются с различных компонентов инфраструктуры, в том числе ИБ, на основе правил корреляции, что позволяет оперативно выявить потенциальные инциденты, связанные с распространением вируса-вымогателя.

Приоритезация мер защиты от вирусов-вымогателей

Надежная комплексная защита от направленных атак обеспечивается комплексом организационно-технических мер, которые ранжируются в следующие группы:

Базовый набор мер, необходимый для применения всем организациям для защиты от направленных атак и вредоносов-вымогателей.
Расширенный набор мер, применимый для средних и крупных организаций с высокой стоимостью обработки информации.
Продвинутый набор мер, применимый для средних и крупных организаций с продвинутой ИТ- и ИБ-инфраструктурой и высокой стоимостью обрабатываемой информации.

Рисунок 2. Приоритизация мер защиты от трояна-вымогателя

Угроза заражения вирусом-вымогателем актуальна и для конечных пользователей Интернет, для которых также применимы отдельные меры по предотвращению заражения:

своевременная установка обновлений системного ПО;
использование антивирусов;
своевременное обновление баз сигнатур антивирусов;
использование доступных в свободном доступе средств защиты от вредоносных программ, шифрующих данные на компьютере: RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker и др. Установка средств защиты данного класса применима, если на компьютере хранятся критичные незарезервированные данные и не установлены надежные средства антивирусной защиты.

Меры защиты для мобильных устройств:

Для корпоративного сектора:
o использование систем класса Mobile Device Management (MDM), обеспечивающих контроль установки обновлений системного ПО, установки приложений, контроль наличия прав суперпользователя;
o для защиты корпоративных данных на мобильных устройствах пользователя — системы класса Mobile Information Management (MIM), обеспечивающих хранение корпоративных данных в зашифрованном контейнере, изолированном от операционной системы мобильного устройства;
o использование систем класса Mobile Threat Prevention, обеспечивающих контроль разрешений, предоставленных приложениям, поведенческий анализ мобильных приложений.
Для конечных пользователей:
o использование официальных магазинов для установки приложений;
o своевременное обновление системного ПО;
o исключение перехода по недоверенным ресурсам, установки недоверенных приложений и сервисов.

Выводы

Простота реализации и низкая стоимость затрат организации кибератак (Ransomware, DDoS, атаки на веб-приложения и пр.) приводит к увеличению числа киберпреступников при одновременном снижении среднего уровня технической осведомленности атакующего. В связи с этим резко увеличивается вероятность реализации угроз безопасности информации в корпоративном секторе и потребность в обеспечении комплексной защиты.

Читайте также:

17.02.2010, 12:25

#4 (permalink)