Защита от вируса шифровальщика WannaCry? AVLab: Тестирование защиты от шифровальщиков

Вирусы шифровальщики — давно известный тип угрозы. Они появились примерно в одно время с смс-банерами, и плотно засели с последними, в топ-рейтинге вирусов-вымогателей.

Модель монетизации вируса-вымогателя проста: он блокирует часть информации или компьютер пользователя целиком, а за возвращение доступа к данным требует отправить смс, электронные деньги или пополнить баланс мобильного номера через терминал.

В случае с вирусом шифрующим файлы, всё очевидно — для расшифровки файлов нужно заплатить определенную сумму. Причем, за последние несколько лет эти вирусы изменили подход к своим жертвам. Если раньше они распространялись по классическим схемам через варезы, порно сайты, подмену выдачи и массовые спам-рассылки, при этом заражая компьютеры рядовых пользователей, то сейчас рассылка писем идет адресно, вручную, с почтовых ящиков на «нормальных» доменах — mail.ru, gmail и т.д. А заражать пытаются юридических лиц, где под шифры попадают базы данных и договора.

Т.е. атаки из количества переросли в качество. На одной из фирм автору довелось столкнуться с шифровальщиком.hardended который пришел в почте с резюме. Заражение произошло сразу же после открытия файла кадровиками, фирма как раз подыскивала персонал и никаких подозрений файл не вызвал. Это был docx с вложенным в него AdobeReader.exe:)

Самое интересное, что никакие эвристические и проактивные сенсоры антивируса Касперского не сработали. Еще день или 2 после заражения, вирус не определялся dr.web-ом и nod32

Так как быть с такими угрозами? Неужели антивирус бесполезен?

Время антивирусов, работающих только по сигнатурам, уходит .

G Data TotalProtection 2015 — лучшая защита от шифровальщиков
со встроенным модулем резервного копирования. Нажимайте и покупайте .

Для всех пострадавших от действий шифровальщика — промокод со скидкой на покупку G DATA — GDTP2015 . Просто введите этот промокод при оформлении заказа.

Вирусы вымогатели в очередной раз доказали несостоятельность антивирусных программ. Смс-баннеры, в свое время беспрепятсвенно «сливались» пользователям в папку temp и просто запускались на весь рабочий стол и перехватывали нажатие всех служебных комбинаций с клавиатуры.

Антивирусник в это время замечательно работал:) Касперский, как и в штатном режиме, выводил свою надпись «Protected by Kaspersky LAB».

Баннер — не хитроумный зловред как руткиты, а простая программа, которая изменяет 2 ключа в реестре и перехватывает ввод с клавиатуры.

Вирусы, которые шифруют файлы, вышли на новый уровень мошенничества. Это снова обычная программа, которая не внедряется в код операционной системы, не подменяет системных файлов, не считывает области оперативной памяти других программ.

Она просто запускается на короткое время, генерирует открытый и закрытый ключи, шифрует файлы и отправляет закрытый ключ злоумышленнику. На компьютере жертвы остается кучка зашифрованных данных и файл с контактами хакеров для дальнейшей оплаты.

Резонно задуматься: «А зачем тогда нужен антивирус, если он способен находить только известные ему вредоносные программы?

Действительно, антивирусная программа необходима — она защитит от всех известных угроз. Однако многие новые виды вредоносного кода ей не по зубам. Чтобы защититься от вирусов шифровальщиков, нужно принимать меры, одного антивируса здесь недостаточно. И скажу сразу: «Если у вас уже зашифрованы файлы, вы попали. Легко их вернуть не получится».

:

Не забывайте про антивирус

Резервное копирование важных информационных систем и данных каждому сервису — свой выделенный сервер.

Резервное копирование важных данных .

:

Что делать с самим вирусом ?

Самостоятельные действия с зашифрованными файлами

Опыт общения с техподдержкой антивируса, чего ждать ?

Обращение в полицию

Позаботиться о мерах предосторожности в дальнейшем (см предыдущий раздел).

Если ничего не помогло, может стоить заплатить ?

Если вы еще не стали жертвой вируса-шифровальщика:

*Наличие антивирусного ПО на компьютере с последними обновлениями.

Скажем прямо: «Антивирусы хреново справляются с новыми видами шифровальщиков, зато отлично борются с известными угрозами». Так что наличие антивируса на рабочей станции необходимо. Если жертвы уже есть, вы хотя бы избежите эпидемии. Какой антивирус выбрать — решать вам.

По опыту — Касперский «ест» больше памяти и процессорного времени, а для ноутбучных жестких дисков с оборотами 5200 — это катастрофа (нередко с задержками чтения сектора в 500 мс..) Нод32- быстрый, но мало что ловит. Можете купить антивирус GDATA — оптимальный вариант.

*Резервное копирование важных информационных систем и данных. Каждому сервису — свой сервер.

По сему, очень важно, вынести все сервисы (1С, налогоплательщик, специфические АРМы) и любой софт от которого зависит жизнь компании, на отдельный сервер, еще лучше — терминальный. А еще лучше каждый сервис разместить на свой сервер (физический или виртуальный — решайте сами).

Не храните базу 1с в общем доступе, в сети. Так делают многие, но это неправильно.

Если работа с 1с организована по сети с общим доступом на чтение/запись для всех сотрудников — выносите 1с на терминальный сервер, пусть пользователи работают с ним через RDP.

Если пользователей мало, а денег на серверную ОС не хватает — в качестве терминального сервера можно использовать обычный Windows XP (при условии снятия ограничений на количество одновременных подключений, т.е. нужно патчить). Хотя, с таким же успехом вы можете установить нелицензионую версию windows server. Благо, Microsoft позволяет пользоваться, а купить и активировать потом:)

Работа пользователей с 1с через RDP, с одной стороны, уменьшит нагрузку на сеть и ускорит работу 1с, с другой, предотвратит заражение баз данных.

Хранить файлы БД в сети с общим доступом — небезопасно, а если других перспектив нет — позаботьтесь о резервном копировании (см. след раздел.)

*Резервное копирование важных данных.

Если у вас еще не делаются бэкапы (резервное копирование) — вы балбес, уж простите. Ну или передавайте привет вашему системному администратору. Бэкапы спасают не только от вирусов, но и от нерадивых сотрудников, хакеров, «посыпавшихся» жестких дисков в конце концов.

Как и что бэкапить — можно прочитать в отдельной статье про . В антивирусе GDATA, например, есть модуль резервного копирования в двух версиях — total protection и endpoint security для организаций (купить GDATA total protection можно ).

Если вы обнаружили зашифрованные файлы у себя на компьютере:

*Что делать с самим вирусом?

Выключайте ваш компьютер и обращайтесь к специалистам компьютерных служб + в поддержку вашего антивируса. Если вам повезет, то тело вируса еще не удалилось и его можно использовать для расшифровки файлов. Если не повезло (как это часто бывает) — вирус после шифрования данных отправляет закрытый ключ злоумышленникам и удаляется все свои следы. Делается это для того, чтобы не было возможности определить каким образом и по какому алгоритму зашифрованы.

Если у вас осталось письмо с зараженным файлом — не удаляйте. Отправьте в антивирусную лабораторию популярных продуктов. И не открывайте его повторно.

*Самостоятельные действия с зашифрованными файлами

Что можно делать:

Обратиться в поддержку антивируса, получить инструкции и, возможно, дешифровщик для вашего вируса.

Написать заявление в полицию.

Поискать в интернете опыт других пользователей, которые уже столкнулись с этой бедой.

Принимать меры по расшифровке файлов, предварительно скопировав их в отдельную папку.

Если у вас Windows 7 Или 8 — можно восстановить предыдущие версии файлов (правой кнопкой на папке с файлами). Опять же, не забудьте их предварительно скопировать

Чего делать нельзя:

Переустанавливать Windows

Удалять зашифрованные файлы, переименовывать их и менять расширение. Имя файла очень важно при расшифровке в будущем

*Опыт общения с техподдержкой антивируса, чего ждать?

Когда один из наших клиентов поймал крипто-вирус.hardended, которого в антивирусных базах еще не было, были отправлены запросы в dr.web и Kaspersky.

В dr.web техподдержка нам понравилась, обратная связь появилась сразу и даже давали советы. Причем после нескольких дней сказали честно, что сделать ничего не смогут и сбросили подробную инструкцию о том как послать запрос через компетентные органы.

В Касперском, наоборот, сначала ответил бот, потом бот отрапортовал, что мою проблему решит установка антивируса с последними базами (напомню, проблема — это сотни зашифрованных файлов). Через неделю статус моего запроса изменился на «отправлено в антивирусную лабораторию», а когда автор еще через пару дней скромно поинтересовался о судьбе запроса, представители Касперского ответили, что ответ из лаборатории еще не получим, мол, ждем.

Еще через некоторое время пришло сообщение о том, что мой запрос закрыт с предложением оценить качество сервиса (это все при том же ожидании ответа от лаборатории).. «Да пошли вы!» — подумал автор.

NOD32, кстати, начал ловить данный вирус на 3й день после его появления.

Принцип такой — вы сами по себе с вашими зашифрованными файлами. Лаборатории крупных антивирусных брендов помогут вам, только в случае наличия у вас ключа на соответствующий антивирусный продукт и если в крипто-вирусе есть уязвимость. Если же злоумышленники зашифровали файл сразу несколькими алгоритмами и не один раз, вам, скорее всего придется платить.

Выбор антивируса за вами, не стоит им пренебрегать.

*Обращение в полицию

Если вы стали жертвой крипто-вируса, и вам нанесен какой-либо ущерб, даже в виде зашифрованной личной информации — можно обратиться в полицию. Инструкция по заявлению и т.д. есть .

*Если ничего не помогло, может стоить заплатить?

Учитывая относительное бездействие антивирусов по отношению к шифровальщикам, иногда легче заплатить злоумышленникам. За hardended файлы, например, авторы вируса просят в районе 10 тыс. руб.

За прочие угрозы (gpcode и т.д.) ценник может колебаться от 2 тыс руб. Чаще всего такая сумма оказывается ниже тех убытков, которые может нанести отсутствие данных и ниже той суммы, которую у вас могут запросить умельцы за расшифровку файлов вручную.

Резюмируя — лучшая защита от вирусов-шифровальщиков, это резервное копирование важных данных с серверов и рабочих станций пользователей.

Как поступать — решать вам. Удачи.

Пользователи прочитавшие эту запись обычно читают:

Вконтакте

Трояны-шифровaльщики - особый тип малвари, создаваемой для вымогательства (ransomware). Их массовый забег впервые был зарегистрирован в конце 2006 года. За прошедшие десять лет ситуация почти не изменилась. Сегодня всё так же новые образцы троянов продолжают шифровать файлы под носом у антивирусов и требовать плату за расшифровку. Кто в этом виноват и, главное, что делать?

Если троян зашифровал файлы, сразу выключи компьютер! Затем и постарайся собрать максимум данных. В идеале нужно сделать посекторный образ диска и уже после этого спокойно анализировать ситуацию.

Что такое трояны шифровальщики?

Сегодня у большинства пользователей стоит какой-нибудь популярный антивирус или хотя бы MSRT – встроенное в Windows «средство для удаления вредоносных программ». Однако ransomware спокойно запускаются, шифруют файлы и оставляют сообщение с требованием выкупа. Обычно ключ для расшифровки обещают прислать после оплаты каким-нибудь полуанонимным способом. Напpимер, зайти через Tor на страницу с дальнейшими инструкциями и перечислить выкуп на одноразовый номер кошелька.

Антивирусы реагируют на это так редко, что их разработчиков даже стали обвинять в сговоре. Это не первый случай, когда вирусологов подозревают в преступных целях, но технически здесь все объясняется проще. Дело в том, что троян-шифровальщик не выполняет никаких действий, однозначно свидетельствующих о его вредоносной активности. Сам - это простейшая программа с набором библиотек общего назначения. Иногда это просто скрипт или батник, запускающий другие портейбл-утилиты. Давай разберем общий алгоритм действий шифровальщиков подробнее.

Обычно пользователь сам скачивает и запускает ransomware. Трояна пoдсовывают жертве под видом обновления, нужной утилиты, документа с фишинговой ссылкой и другими давно известными методами социальной инженерии. Против человеческой наивности антивирусы бессильны.

Попавший в систему троян-шифровальщик может быть опознан по сигнатуре только в том случае, если он уже есть в базах. Новые образцы в них заведомо отсутствуют, а модификации старых троянов дoполнительно проверяют на детекты перед распространением.

После запуска трояна поведенческий анализатор антивируса молчит, поскольку, с его точки зрения, не выполняется никаких потенциально опасных действий. Какая-то программа ищет файлы по маске? Да пожалуйста! Создает копии файлов? Без проблем! Шифрует копии? Тоже не повод для паники. Функции шифрования поддерживаются большинством современных программ, а троян использует те же стандартные криптографические библиотеки. Он удаляет пользовательские файлы? Это тоже не запрещено - они ведь не системные. Затирает свободное место? Безoпасное удаление также востребованная и легальная функция. Он добавляется в автозапуск? И это тоже разрешенное поведение.

В отличие от классических вирусов, троян-шифровальщик не пытается модифицировать файлы, не внедряется в активные процессы и вообще ведет себя скучно. Он просто создает копии документов и баз данных, шифрует их, а затем удаляет без возможности восстановления оригинальные файлы пользователя и ключ шифрования, оставляя текст с требованием выкупа. Во всяком случае, авторам троянов хотелось бы видеть именно такое идеальное поведение. В действительности же эта цепочка процессов может дать сбой на любом этапе, благодаря чему становятся возможными альтернативные методы расшифровки.

Обычные антивирусы не в силах бороться с новыми шифровальщиками, сигнатуры которых пока отсутствуют в их бaзах. Они могут лишь распознавать наиболее грубые мoдификации на уровне эвристики. Комплексные решения (вроде Dr.Web Security Space и Kaspersky Internet Security / Total Security) уже умеют устранять их деструктивные последcтвия. Они заранее создают копии пользовательских файлов, скрывают их и блокируют доступ к ним сторонних программ. В случае если троян доберется до фоток и документов из стандартных каталогов, всегда можно будет восстановить их из копий, а зашифрованные файлы просто удалить.

Поскольку антивирусный комплекс загружает свой драйвер и модуль резидентной зaщиты еще до входа пользователя, это довольно надежный метод хранения резервных копий. Однако их можно делать и сторонними утилитами. Главное, чтобы они размещались на внешнем носителе, который отключается сразу после создания бэкапа. Иначе троян обнаружит резервные копии на постоянно подключенном винчестере и также зашифрует их или повредит.


Из универсальных программ для бэкапа функцией дополнительной защиты от действий вредоносных программ облaдает бесплатная утилита Veeam Endpoint Backup Free . Она умеет автоматически отключать USB-диски сразу после завершения создания резервных копий и сохранять несколько версий файлов.

К дополнительным особенностям программы относится умение бэкапить системные разделы без их отключения (теневая копия), практически мгновенное восстановление отдельных файлов и каталогов (их можно открывать прямо из образа по ссылкам) и другие интересные опции. Также она умеет создавать загрузочный диск со своей средой восстановления на тот случай, если троян заблокировал нормальную работу ОС.


Кроме универсальных утилит для резервного копировaния с дополнительными функциями защиты от шифровальщиков, есть целый ряд специализированных программ превентивной защиты. Одни из них бесплатно доступны только на стадии бета-тестирования, а затем становятся новым модулем платного антивируса (например, так было с Malwarebytes Anti-Ransomware). Другие пока существуют именно как отдельные бесплатные решения.

GridinSoft Anti-Ransomware

Эта украинская утилита для предотвращения заражения прогpаммами-вымогателями как раз находится в стадии бета-тестирования. Разработчики описывают ее как универсальное средство, препятствующее любым попыткам выполнить несанкционированное шифрование файлов. Они обещают эффективно блокировать атаки ransomware и предотвращать вызываемую ими потерю данных. На практике утилита оказалась бесполезной. Первый же троян-шифровальщик из старой подборки преспокойно запустился, сделал свое грязное дело и повесил на рабочий стол требования о выкупе.


CryptoPrevent Malware Prevention

Эта утилита оставила самое неоднозначное впечатление. CPMP дейcтвует проактивно на основе большого набора групповых политик и множества поведенческих фильтров, контролируя действия программ и состояние пользовательских каталогов. В ней доступны несколько режимов защиты, включая уровень «Максимальный», который работает по принципу «включил и забыл».

Интерфейс программы обеспечивает быстрый доступ к десяткам настроек, но после изменения большинства из них требуется перезагрузка. Само приложение CPMP не должно работать все время. Его требуется запускать только для мониторинга и обслуживания. Например, для проверки состояния, чтения логов, обновления или изменения параметров.

При этом графическая надстройка очень долго запускается и в ней нет оповeщений в реальном времени. Также нет и привычного карантина. В режиме «Максимальнaя защита» все файлы, опознанные как опасные, просто удаляются без вoпросов.

Для проверки мы попробовали поставить в CPMP макcимальный уровень защиты и последовательно выпустить на волю семь разных троянов-вымогателей. Три из них были удалены CPMP сразу при попытке запуска. Никаких сообщений при этом не отображалось. Четыре других благополучно стартовали, однако до финиша не добрались. CPMP не давал им создать новые файлы и зашифровать пользовательские, но и не удалял. Загрузка процессора все время была 100%, диск стрекoтал, и делать что-либо в тестовой системе было невозможно.


С трудом нам удалось добраться до клавиши Kill Apps Now в окне CPMP. Через секунду все программы, запущенные от имени пользователя (включая Process Explorer), были принудительно выгружены. В оперативной памяти остались только системные процессы.


За время боя некоторые зловреды обосновались на рабочем столе, а троян Satan.f добавил в автозапуск вывод текстового требовaния о выкупе. Шифрования файлов при этом не произошло, но и полного удаления малвари тоже.

Получилась патовая ситуация: даже максимально жесткие ограничения не обеспечили надежной защиты от троянов-вымогателей. В некоторых случаях активное противодействие им приводило к тому, что все системные ресурсы оказывались полностью заняты. Уведомлений при этом не выводится никаких. Понять, что происходит в системе, можно только по анализу логов, но до них еще нужно добраться.

Cybereason RansomFree

Это поведенческий анализатор для Windows 7–10, предназначенный предотвращать заражение известными и новыми троянами-вымогателями, включая шифровальщики и винлокеры. По заявлению разработчикoв, программа написана бывшими военными экспертами в области информационной безопасности, которые получили 90 миллионов долларов инвестиций от Lockheed Martin и Softbank.


Первый троян-шифровальщик запустился, но тут же вылетел с ошибкой. Второй стал активным процессом в памяти. Cybereason тут же определил его и предложил не просто выгрузить, а заодно и удалить созданный трояном файл.


Второй детект

Третий троян также был успешно заблокирован. Cybereason не дал ему зашифровать файлы. Процесс 58CD2A07 был выгружен, а единичный детект на VirusTotal у Wininit.exe - ложноположительное срабатывание.

Двух следующих троянов Cybereason проморгал. Они были активны всего несколько секунд, но этого хватило для преодоления проактивной защиты.


Старый знакомый Petya принудительно перезагрузил компьютер, заблокировал запуск Windows и зашифровал файлы. Даже жаль, что Cybereason так быстро сдался. У нас еще столько коней было из числа ветеранов кавалерии!


Kaspersky Anti-Ransomware Tool for Business

Эта бесплатная прогpамма призвана защищать от всех видов ransomware, включая новые шифровальщики и винлокеры. Работает в современных версиях Windows (7–10) любой разрядности. Она определяет новые версии ransomware по репутационной характеристике файлов в облачной сети Kaspersky Security Network и поведенческому анализу, который выполняет компонент «мониторинг активности». KART for Business может использоваться с любым сторонним антивирусом, но эта программа несовместима с собственными решениями «Лаборатории Касперского», так как в них уже включена аналогичная функциональность.

Работает KART в фоне и не отъедает системные ресурсы сколь-нибудь заметно. Настройки у программы минимальные и не касаются собственно проверки. Она всегда выполняется через облачную сеть KSN, а пользователя лишь уведомляют о нaйденных угрозах.


Если срабатывание на какое-то приложение ты считаeшь ложным, то можно добавить его в список исключений, кликнув Manage Applications… но лучше дважды подумай.

Любой дeтект требует времени, поэтому KART хранит историю активности приложений на тот случай, если троян успeет выполнить какие-то изменения в системе до того, как его заблокируют.


При запуске на уже зараженном компьютере Kaspersky Anti-Ransomware Tool for Business автоматически обнаруживает зашифрованные трояном файлы и помещает их в отдельное хранилище для последующей передачи специалистам на расшифровку.

Bitdefender Anti-Ransomware Tool

Еще одна программа с говoрящим названием от румынской компании Bitdefender. BART может использоваться параллельно с любыми антивирусами, кроме созданных в Bitdefender - в них уже есть соответствующие модули. Внешне BART работает аналогично KART. У них общие заявленные принципы детекта известных и новых троянов через фирменную сеть облачной проверки и поведенческий анализатор. Разработчик указывает, что в основу BART легли методы противодействия четырем основным семействам троянов-шифровальщиков: CTB-Locker, Locky, Petya и TeslaCrypt.

Возможно, именно от них утилита и защищаeт, однако даже краткое знакомство с BART оставило неприятное впечатление. Он не смог предотвратить запуск первого же трояна, причем его сигнатура давно есть в базах Bitdefender. Троян без проблем прописался в автозапуск и начал хозяйничать в системе, в то время как BART показывал зеленый свет.


Осматриваем дареного коня

Если троян-шифровальщик все же запустился в системе и успел натворить дел, то не паникуй и не пытайся удалить его из работающей операционки. Теперь твой компьютер - место преступления, на котором надо сохранить все следы.

Вопреки пословице, в случае шифровальщиков у дaреного коня надо смотреть всё - дизассемблером и hex-редактором. Лучше поручить это аналитикам антивирусных лабораторий, поскольку они в любом случае будут изучать новый образец малвари. Часто в коде удается найти зацепки, помогающие разработать способ расшифровки файлов. Поэтому ни в коем случае не прибивай коня до полной расшифровки. Просто стреножь его, удалив из автозапуска и поместив в аpхив с паролем.

Именно ошибки в коде трояна помогают найти ключ быстрее, чем за 100500 тысяч лет, как это было бы в случае корректной реализации его авторами AES-256. Этот стандарт шифрования часто упоминают создатели троянов в своих угрозах. Считается, что это внушит жертвам мысль о невозможности расшифровки файлов без ключа, но реально многие трояны основаны на более простых алгоритмах.

У тех же зловредов, в которых действительно пытались использовать AES, из-за грубых недочетов множество вероятных ключей сужается до такого объема, который уже можно перебрать на обыкновенной персоналке за несколько дней или даже чаcов. Встречаются среди ransomware и такие варианты, которые вообще не требуют особой квалификации для расшифровки. У них либо ключ хранится локально, либо все «шифрование» построено на операции не сложнее XOR.

Эксперт компании Emsisoft Фабиан Восар (Fabian Wosar) часто шутит в своем блоге, что вскрытие алгоритма шифрования очередного недотроянца заняло у него меньше времени, чем написание требований о выкупе у его авторов. Он бесплатно выкладывает утилиты для дешифровки файлов на сайте компании .

Универсальной программы расшифровки не существует, поэтому приходится подбирать подходящую в каждом конкретном случае. Собственные каталоги бесплатных утилит для дешифровки есть и у других разработчиков антивирусного софта. Например, у «Лаборатории Касперского» это все программы , содержащие в нaзвании Decryptor . Также утилиты расшифровки можно найти на сайте совместного проекта No More Ransom . Он запущен по инициативе Нациoнального подразделения по киберпреступлениям пoлиции Нидерландов, Европейского центра по борьбе с киберпреcтупностью Европола и двух антивирусных компаний - «Лаборатории Касперского» и Intel Security.

Начинать стоит именно с поиска бесплатных утилит на этих сайтах, но что делать, если нужная среди них так и не нашлась? К сожалению, это тоже весьма вероятно. Новые версии троянов-шифровальщиков появляются постоянно, да и не все из них ломаются на раз-два. С отдельными образцами аналитики могут провозиться больше месяца. Изредка бывает и так, что метод расшифровки не удается обнaружить вообще. Это либо результат особенно качественного шифрования (большая редкость), либо наоборот - максимально кривого кода троянца, алгоритм которого портит файлы и в принципе не предполагает корректную расшифровку.

Если известные бесплатные утилиты не помогли, то можно отправить письмо Фабиану, создать запрос на сервисе Crypto Sheriff , а заодно написать в техническую поддержку Emsisoft и других антивирусных компаний.

В любом случае новую малварь стоит прислать вирусным аналитикам. Причем отправить им лучше не только файл самого троянца, но также все созданные им временные файлы и три-пять обpазцов зашифрованных файлов. Если у тебя в бэкапах где-то остались оригинальные (незашифрованные) версии этих же файлов, то прикрепи их к запросу. Сопоставление пар «открытый текст / шифртекст» - один из основных методов криптоанализа. Чем больше таких пар ты сможешь найти, тем быстрее отыщут метод расшифровки.

Дополнительно аналитики выполняют ту же атаку по известному тексту, используя стандартные заголовки файлов. Например, у файлов.doc это D0 CF 11 E0 A1 B1 1A E1 , а у картинок.png - 89 50 4E 47 0D 0A 1A 0A . Подробнее см. таблицу файловых сигнатур . У текстовых файлов (TXT) содержимое полностью произвольное, поэтому их расшифровку выполнить сложнее всего.

По моему опыту, лучше всех расшифровывать файлы получается у Dr.Web и «Лаборатории Касперского». Если у тебя есть дейcтвующая лицензия на любой их коммерческий продукт, то аналитики бесплатно расшифруют файлы. Если ты не их пользователь - то за деньги. Как правило, услуга расшифровки стоит в разы дороже годовой лицензии на антивирус, но такую политику можно понять. Криптоанализ, особенно в случае AES и RSA, отнимает много времени, которое специалистам целесообразнее тратить на поддержку своих постоянных клиентов.

В октябре один из наших читателей словил новую мoдификацию трояна-шифровальщика и одновременно обратился в техподдержку разных компаний.

Уже через три дня ему ответили из Dr.Web: «Решение найдено. Расшифровка возможна. Для не пользователей Dr.Web услуга платная. Путь к получению расшифровки на коммерческой основе: приобретение Dr.Web Rescue Pack стоимостью 5299 рублей без НДС. В состав пакета Dr.Web Rescue Pack входит услуга по расшифровке и лицензия на Dr.Web Security Space на два года для защиты одного ПК».

Читателя не устроила цена, поэтому он стал ждать ответа от других компаний. Примерно через месяц на сайте «Лаборатории Касперского» появилась новая версия бесплатной утилиты RannohDecryptor, которой он и расшифровал свои файлы.


Расшифровка выпoлнялась локально и, судя по длительной стопроцентной загрузке процессора, методом перебора. Полная расшифровка 565 файлов заняла девять с половиной часов на десктопном Core i5. Нерасшифрованным остался только один файл, оказавшийся копией другого.


Выводы

Трояны-шифровальщики создают массу проблем, заставляя тратить много времени и/или денег на расшифровку своих файлов. Простого антивируса для борьбы с ними недостаточно. Рано или поздно он пропустит новую малварь, сигнатуры которой еще нет в базах. Поэтому стоит прямо сейчас озаботиться дополнительными мерами защиты. Среди них есть множество бесплатных вариантов, но их эффективность пока оставляет желать лучшего. Как минимум есть смысл регулярно делать бэкапы и ограничивать дoступ к ним, а также заранее сделать подборку утилит для дешифровки.

Last updated by at Февраль 15, 2017 .

  • Антивирусная защита ,
  • Сетевые технологии ,
  • Системное администрирование

    • Хотя наиболее эффективная защита от шифровальщиков реализуется на конечных устройствах, тем не менее, стоит предпринять превентивные меры и на периметре сети. Расскажем, как это можно сделать с помощью Panda GateDefender .

    События последних месяцев показали, что традиционные антивирусные решения не очень эффективны в борьбе против неизвестных угроз и атак, в том числе со стороны шифровальщиков. В мы неоднократно пытались привлечь Ваше внимание к новой модели безопасности, основанной на использовании EDR-технологий, которые благодаря непрерывному мониторингу, отслеживанию взаимосвязи между всеми процессами и классификации 100% активных процессов позволяют значительно повысить уровень безопасности от современных неизвестных угроз: направленные атаки, безфайловые атаки, атаки без использования вредоносных программ, неизвестные эксплойты и шифровальщики и т.д. Например, семейство решений , использующее EDR-технологии, как раз разработаны для борьбы с подобными «сюрпризами».

    Но подобные решения представляют собой решения для защиты непосредственно конечных устройств. А что не мешало бы предпринять на периметре сети?

    Сегодня в нашей статье мы расскажем о том, какие превентивные меры безопасности стоит реализовать на периметре сети, чтобы фильтровать шифровальщиков до проникновения в корпоративную сеть, а также снизить возможные последствия в том случае, если какие-то из представителей данного класса угроз все же будут активированы на конечных устройствах.

    Немного о шифровальщиках

    Как вы знаете, шифровальщики – это форма мошенничества, используемая для вымогательства денег у жертвы, чьи конечные устройства были заблокированы с помощью определенного типа вредоносных программ, в результате чего она (жертва) теряет доступ к данным на этих устройствах.

    Шифровальщики – это тип вредоносных программ, который устанавливается на конечное устройство и шифрует содержимое (все или определенные типы файлов) его жестких дисков и на всех подключенных сетевых дисках. В результате этого пользователь теряет доступ к хранящимся данным до тех пор, пока он не заплатит выкуп (и то не факт, что после этого можно будет получить полноценный доступ ко всем данным!). CryptoLocker – это один из наиболее «популярных» примеров шифровальщиков, который использует открытый RSA-ключ. В последнее время стали также известны и другие нашумевшие примеры.

    Если говорить упрощенно, то шифровальщики, как правило, распространяются в замаскированном виде через вполне легитимный контент, например, счет в виде почтового вложения, zip-файл, содержащий фотографии, или другие типы файлов, которые потенциальная жертва, скорее всего, откроет, т.к. не предполагает какой-либо опасности. Однако, при открытии таких файлов, шифровальщик связывается со своим сервером управления (так называемый сервер C&C), который отвечает за генерацию новой пары RSA-ключей (открытый/закрытый) и хранение закрытого ключа, а также отправляет открытый ключ на устройство жертвы, после чего зловред шифрует все, что он может найти на жестких дисках и подключенных ресурсах в локальной сети. После этого зашифрованные данные не могут быть доступны до тех пор, пока они не будут расшифрованы с помощью закрытого ключа, который доступен только на сервере C&C.

    (Хотя стоит отметить, что последние экземпляры шифровальщиков «научились» активироваться и без действий со стороны потенциальной жертвы…).

    Действительно, в силу того, что размер ключей, используемых для шифрования, как правило, составляет не менее 2048 бит, то расшифровать зашифрованные файлы без закрытого ключа практически невозможно: конечно, это возможно в теории, но на практике на это может потребоваться достаточно много времени. Таким образом, единственный способ восстановить доступ к данным – это либо переустановить все пострадавшие устройства и восстановить на них резервную копию, либо заплатить выкуп (что мы не рекомендуем делать!) и надеяться на получение закрытого ключа (хотя достаточно много случаев, когда жертвы не получали ключи после оплаты).

    Поэтому мы советуем поддерживать все свои системы и приложения в обновленном состоянии, а также быть уверенным в том, что сотрудники вашего предприятия прекрасно осознают всю опасность открытия подозрительных файлов или сайтов. Превентивные меры – это лучшее решение для предотвращения неприятных событий!

    Почему стоит обратить внимание на периметр сети?

    Обеспечивая борьбу с шифровальщиками и другими современными угрозами, необходимо предпринимать превентивные меры по различным направлениям. Да, наиболее эффективные меры (если исключить строгие запреты вообще на все, чтобы никто толком не мог работать) могут быть предприняты на уровне конечных устройств. Те же EDR-технологии показывают очень высокую эффективность в борьбе с шифровальщиками и новыми угрозами.

    Но в силу того, что подавляющее большинство угроз проникают в корпоративную сеть из Интернета, то реализация определенных мер безопасности на периметре сети однозначно позволит фильтровать известные угрозы и усложнить «общение» шифровальщиков со своими внешними серверами управления. Тем более, что делать придется не так и много.

    Пример защиты от шифровальщиков на периметре сети

    В качестве примера рассмотрим решение Panda GateDefender – это UTM-решение для интегрированной и комплексной защиты периметра сети, которое предлагает следующие модули: антивирус, антиспам, контент-фильтрация, URL-фильтрация, прокси, файервол, IPS/IDS, VPN, Hotspot, контроль веб-приложений и многое другое. Данное решение поставляется в аппаратной, программной и виртуальной версии.

    С помощью этого решения мы покажем ряд методов, которые позволяют перехватывать эти угрозы на периметре сети, а также минимизировать их активность, блокируя каналы, используемые злоумышленниками для управления вредоносными процессами и распространения инфекции.

    1. Используйте антивирус Panda

    Panda GateDefender использует антивирусный движок Panda для фильтрации всех видов трафика. Он хранит свои сигнатуры в облаке, поэтому вы всегда будете использовать обновленные сигнатуры для идентификации и блокировки любых направлений заражений. Благодаря антивирусному движку Panda все проверки осуществляются в реальном времени с помощью самых «свежих» сигнатур и облачных баз знаний.

    Чтобы включить антивирусный движок, в консоли управления Panda GateDefender перейдите к разделу Службы → Антивирусный движок , и на закладке Антивирус Panda настройте опции работы антивируса.

    2. Используйте службу IPS

    Система предотвращения вторжений (IPS) способна не только обнаруживать, но и блокировать трафик, генерируемый от шифровальщиков к своим серверам управления.

    Чтобы включить защиту с помощью системы IPS, в консоли управления Panda GateDefender перейдите в раздел Службы → Предотвращение вторжений , где нажмите на переключатель Включить IPS , если он выключен.

    После включения данной службы на закладке Система предотвращения вторжений можно будет настроить дополнительные опции работы IPS.

    Но нас в данном вопросе больше интересует следующая закладка Правила . Здесь на третьей странице найдите набор правил auto/emerging-trojans.rules .

    У данного набора правил смените политику с предупреждения на активное применение, нажав на иконку с восклицательным знаком. После применения изменения иконка сменится на красный щит.

    Теперь весь трафик, идентифицируемый с троянами, будет заблокирован. Вы также можете применить набор правил auto/emerging-tor.rules для дополнительной защиты.

    3. Используйте файервол для исходящих соединений

    Тот же CryptoLocker использует Torrents как вектор заражения, а TOR-соединения для взаимодействия со своими серверами управления C&C. Таким образом, еще один совет по повышению уровня безопасности – это заблокировать весь исходящий трафик, который использует эти два протокола.

    Межсетевой экран → Исходящий трафик.

    Здесь создайте новое правило с политикой отклонить или запретить для блокировки этого исходящего трафика. При этом для обеспечения более высокого уровня защиты, добавьте все сети или зоны, которые находятся после Panda GateDefender, указав значение <ЛЮБОЙ> у опции Источник/Тип .

    Кроме того, данное правило обязательно должно быть первым в списке правил, поэтому необходимо поставить соответствующее значение у опции Политика/Позиция .
    В результате в списке правил вы увидите примерно следующее:

    4. Используйте HTTP-прокси 1/2: Веб-фильтр

    Укажите профиль в HTTP-прокси, который блокирует вредоносные URL’ы, которые могут распространять шифровальщиков.

    В консоли управления Panda GateDefender перейдите в раздел Прокси → HTTP .

    Здесь перейдите на закладку Веб-фильтр , где внесите изменения в существующий профиль или создайте новый.

    В блоке для выбора фильтруемых категорий веб-сайтов у категории Security заблокируйте доступ к категориям Anonymizers, Botnets, Compromised, Malware, Network Errors, Parked Domains, Phishing & Fraud, Spam Sites .

    Кстати, этот метод лучше использовать в сочетании со следующим методом.

    5. Используйте HTTP-прокси 2/2: Антивирусная проверка HTTP

    На этой же странице с опциями проверьте, что опция Активировать антивирусное сканирование включена. По умолчанию, она как раз и включена, а потому мы рекомендуем оставить ее включенной.

    6. Включите HTTPS-прокси

    Для распространения заражения зачастую используются HTTPS-соединения. Таким образом, HTTPS-прокси может быть использован для перехвата соединений, разрешая только легитимные соединения с хорошо известными веб-сайтами.

    Т.к. HTTPS-прокси работает только в паре с включенным HTTP-прокси, то предварительно проверьте, что последний включен в разделе Прокси → HTTP . После этого перейдите на закладку HTTPS-прокси и включите опцию Включить HTTPS-прокси .

    7. Включите SMTP-прокси 1/2: Антивирусная проверка

    Зачастую шифровальщики распространяются через вложения в электронные письма, которые на первый взгляд могут показаться письмами от известных и легитимных отправителей, но на самом деле они содержат ложную ссылку или поддельное опасное вложение. В связи с этим рекомендуется активировать в SMTP-прокси антивирусную проверку.

    В консоли управления Panda GateDefender перейдите в раздел Прокси → SMTP и включите SMTP-прокси. Затем в блоке Вирусные настройки включите опцию Проверять почту на вирусы , чтобы активировать антивирусный движок для почтового трафика.

    Вы также можете настроить и то, что делать с письмами, которые будут помечаться как спам, а также ряд других опций.

    8. Включите SMTP-прокси 2/2: Расширения файлов и двойные расширения

    Еще один способ доставки шифровальщиков в виде почтового вложения – это назвать вложенный файл с применением двойного расширения. (например, meeting.png.bat), в результате чего почтовый клиент показывает только первое расширение (meeting.png), в силу чего пользователь думает, что получил файл с картинкой. Дважды кликнув на этом файле, пользователь не увидит никакого изображения, но при этом без разрешения пользователя запустится bat-файл. Так что еще одна хорошая рекомендация – это блокировка потенциально опасных расширений файлов и запрет на передачу почтовых вложений с двойным расширением.

    Для настройки в консоли управления Panda GateDefender перейдите в раздел Прокси -> SMTP и включите SMTP-прокси (если он был выключен).

    Затем в блоке Файловые настройки включите опцию Блокировать файлы по расширению , чтобы активировать систему проверки почтовых вложений.
    После этого в списке для выбора типов файлов для блокировки по расширению выберите все расширения, которые должны блокироваться SMTP-прокси, а также включите опцию для блокировки файлов с двойным расширением и выберите соответствующие значения в появившемся выпадающем меню.

    9. Включите DNS-прокси

    Когда CryptoLocker или другие шифровальщики запускаются, то они попытаются изменить настройки DNSна зараженной машине, чтобы иметь возможность связываться со своими серверами управления для корректной работы. Такого развития событий можно избежать, включив DNS-прокси в решении Panda GateDefender. В этом случае все DNS-запросы от устройства, которое расположено за решением Panda GateDefender, будут всегда перехватываться им, блокируя любую возможность для шифровальщиков связаться со своим сервером управления.

    Для этого перейдите в раздел Прокси → DNS .

    Кстати, на закладке Антишпион есть смысл поставить ежедневные обновления, чтобы блокировать известные вредоносные домены.

    Заключение

    В результате вышеуказанных несложных действий вы сможете настроить защиту периметра сети от шифровальщиков, попытавшись заблокировать их проникновение в корпоративную сеть из Интернета, а также усложнив им возможность взаимодействия со своими серверами управления. Такие превентивные меры позволят значительно сократить риск заражения, а также смогут минимизировать возможные последствия после запуска шифровальщиков в корпоративной сети.

    На этот раз мы проверили, как справляются с троянами-шифровальщиками комплексные средства антивирусной защиты. Для этого была сделана подборка ransomware и даже написана отдельная программа, имитирующая действия неизвестного трояна-шифровальщика. Ее сигнатуры точно нет в базах ни одного участника сегодняшнего тестирования. Посмотрим, на что они способны!

    WARNING

    Статья написана в исследовательских целях. Вся информация в ней носит ознакомительный характер. Все образцы получены из открытых источников и отправлены вирусным аналитикам.

    Старые средства от новых угроз

    Классические антивирусы мало помогают в защите от троянских программ, шифрующих файлы и требующих выкуп за их расшифровку. Технически такие шифровальщики полностью или почти полностью состоят из легитимных компонентов, каждый из которых не выполняет никаких вредоносных действий сам по себе. Малварь просто объединяет их в цепочку, приводящую к плачевному результату - юзер лишается возможности работать со своими файлами, пока не расшифрует их.

    В последнее время появилось много специализированных утилит для защиты от троянов-шифровальщиков. Они либо пытаются выполнять несигнатурный анализ (то есть определять новые версии ransomware по их поведению, репутации файла и другим косвенным признакам), либо просто запрещают любым программам вносить изменения, необходимые для действий шифровальщиков.

    В мы убедились, что такие утилиты практически бесполезны. Даже заданные в них максимально жесткие ограничения (при которых уже нельзя нормально работать) не обеспечивают надежный барьер от троянов-вымогателей. Часть заражений эти программы предотвращают, но этим лишь создают у пользователя ложное чувство защищенности. Он становится более беспечным и оказывается жертвой ransomware еще быстрее.

    Основная проблема при борьбе с классическими троянами-шифровальщиками состоит в том, что все их действия выполняются только с файлами пользователя и не затрагивают системные компоненты. Пользователю же нельзя запретить изменять и удалять свои файлы. Явных отличительных черт в поведении у качественных представителей ransomware очень мало, либо они отсутствуют вовсе. Сетевое подключение сейчас выполняет большинство программ (хотя бы для проверки обновлений), а функции шифрования встроены даже в текстовые редакторы.

    Получается, что для средств превентивной защиты не остается каких-то явных признаков, помогающих отличить очередного трояна-шифровальщика от легитимной программы. Если сигнатуры трояна нет в базах, шанс, что антивирус его обнаружит, очень мал. Эвристический модуль реагирует только на грубые модификации известных шифровальщиков, а поведенческий анализатор обычно не определяет какой-то подозрительной активности вовсе.

    Бэкапы бэкапам рознь!

    Сегодня тысячи компьютеров заражаются ransomware ежедневно и, как правило, руками самих же пользователей. Антивирусные компании принимают заявки на расшифровку файлов (у своих клиентов - бесплатно), однако и их аналитики не всесильны. Порой данных для успешной дешифровки удается собрать слишком мало или сам алгоритм трояна содержит ошибки, приводящие к невозможности восстановить файлы в исходном виде. Сейчас заявки на расшифровку обрабатываются от двух суток до полугода, и за это время многие из них просто теряют актуальность. Остается искать дополнительные средства защиты, не уповая на антивирусный сканер.

    Долгое время универсальной защитой от любых вирусных атак были резервные копии. В случае заражения новой малварью можно было просто восстановить всё из бэкапа, перезаписав зашифрованные файлы их оригинальными версиями и отменив любые нежелательные изменения. Однако современные трояны-шифровальщики научились определять и портить резервные копии тоже. Если настроено их автоматическое создание, то хранилище бэкапов подключено и доступно на запись. Продвинутый троян сканирует все локальные, внешние и сетевые диски, определяет каталог с резервными копиями и шифрует их или удаляет с затиранием свободного места.

    Делать же бэкапы вручную слишком утомительно и ненадежно. Ежедневно такую операцию выполнять сложно, а за более длительный срок накопится много актуальных данных, восстановить которые будет неоткуда. Как же быть?

    Сегодня большинство разработчиков предлагает, помимо классических антивирусов, комплексные решения для обеспечения безопасности. Теперь, кроме файрвола, IDS и других хорошо знакомых компонентов, они содержат новый - защищенное хранилище резервных копий. В отличие от обычного каталога с бэкапами доступ к нему есть только у самого антивируса и контролируется его драйвером. Внешнее управление каталогом полностью отключено - даже администратор не может открыть или удалить его через файловый менеджер. Посмотрим, насколько хорош такой подход.

    Методика тестирования

    Для наших экспериментов мы сделали клоны виртуальной машины с чистой Windows 10 и последними наборами исправлений. В каждой из них был установлен свой антивирус. Сразу после обновления баз мы проверяли реакцию антивируса на тестовую подборку и нашу программу-имитатор. В тестовую подборку вошли 15 образцов. Из них 14 представляли собой различные модификации известных троянов-шифровальщиков, а пятнадцатый был трояном-даунлоадером, загружавшим очередного шифровальщика с удаленного сайта.

    Все образцы имели расширение.tst независимо от реального формата файла. Специально написанная для этих тестов программа с незамысловатым названием EncryptFiles имитировала типичное поведение трояна-шифровальщика. При запуске с дефолтными параметрами она сразу шифровала содержимое файлов из каталога «Мои документы» безо всяких вопросов. Для наглядности мы сохранили в программе echo-сообщения и поместили в каталог с документами текущего пользователя пару текстовых файлов в кодировке OEM-866, чтобы сразу отображать их содержимое прямо в консоли. В одном файле были цитаты из произведений Стругацких (простой неформатированный текст), а в другом - параметры объективов в виде таблицы (форматированный текст).

    После установки и обновления каждого антивируса образцы ransomware копировались в каталог «Загрузки» из сетевой папки, подключенной в режиме «Только чтение». Затем скопированные файлы дополнительно проверялись антивирусом (принудительная проверка по запросу) в настройках по умолчанию. Оставшимся после проверки образцам присваивалось их реальное расширение, после чего они запускались. Если заражения системы не происходило, далее следовала проверка реакции антивируса на программу-имитатор. В случае успешного шифрования файлов мы пытались восстановить их исходные версии средствами антивируса и протоколировали результат.

    Kaspersky Total Security

    В одну из тестовых виртуалок мы установили Kaspersky Total Security, в котором была обещана «защита от программ-шифровальщиков, предотвращающая порчу файлов вредоносными программами». KTS распознал почти все угрозы уже при попытке скопировать образцы ransomware из сетевой папки.



    В каталог «Загрузки» попал только один файл из пятнадцати - nd75150946.tst - это как раз Trojan.Downloader, причем давно известный. При его дополнительной проверке по запросу KTS вновь счел файл безопасным. Сорок пять антивирусных сканеров на VirusTotal с ним не согласились.



    Мы открыли этот образец Hex-редактором, чтобы определить его истинное расширение. Знакомый заголовок 50 4B 03 04 и имя другого файла внутри - очевидно, перед нами ZIP-архив. Внутри архива находился подозрительный файл: его иконка соответствовала документу PDF , а расширение при этом было.scr - экранная заставка, то есть это исполняемый код.


    При попытке запустить файл с расширением.scr из архива KTS заблокировал его автоматически распакованную копию во временном каталоге пользователя. По результатам облачного анализа через сеть KSN он определил данный файл как неизвестный вредоносный объект и предложил удалить его с перезагрузкой. В данном случае это была избыточная предосторожность, так как троян не получил управления и мог быть удален любым способом, как обычный файл.



    Примечательно, что Kaspersky Total Security не учится на своих ошибках. При повторной проверке архива тот снова был признан чистым, хотя распакованный из него файл только что вызвал срабатывание по результатам анализа в KSN.



    В начале следующего этапа тестирования мы проверили исходное состояние каталога «Мои документы» и вывели содержимое пары текстовых файлов из него в консоль.



    После чего мы открыли модуль «Резервное копирование и восстановление» и забэкапили эти документы в папку Backup прямо на системном разделе. В реальной ситуации стоит выбирать другое расположение (например, внешний диск), но для нашего теста оно роли не играет. Доступ к этой папке в любом случае контролируется средствами KTS, и через стандартный драйвер файловой системы трояны не могут с ней взаимодействовать.



    Штатными средствами даже администратор может только посмотреть свойства этой папки. При попытке войти в нее автоматически запускается менеджер бэкапов KTS и просит ввести пароль, если он был задан ранее.



    Сам менеджер резервных копий сделан у Касперского очень наглядным. Можно выбрать стандартные каталоги, указать свои или исключить отдельные файлы. Количество файлов каждого типа сразу отображается в окне слева, а их размер - в свойствах справа.



    Помимо записи бэкапов на локальные и съемные диски, KTS поддерживает их отправку в Dropbox. Использование облачного хранилища особенно удобно в том случае, если малварь препятствует запуску компьютера и подключению внешних носителей.



    Нашу программу-имитатор KTS проигнорировал. Она спокойно зашифровала файлы, превратив их содержимое в абракадабру. Отказ в доступе к подкаталогам «Мои видеозаписи», «Мои рисунки» и «Моя музыка» - недоработка в самой программе, никак не влияющая на ее способность шифровать файлы в %USERPROFILE%Documents .

    Если в нашей программе функция дешифровки выполняется просто при запуске с ключом /decrypt , то у троянов она не всегда запускается даже после выполнения требований о выкупе. Единственным достаточно быстрым вариантом восстановления зашифрованных файлов в таком случае остается их перезапись из ранее созданной резервной копии. Буквально в несколько кликов мы выборочно восстановили один из зашифрованных файлов в его исходном расположении. Точно так же можно восстановить один или несколько каталогов целиком.


    Dr.Web Security Space

    Как и KTS, Dr.Web SS определил 14 из 15 образцов уже при попытке скопировать их в каталог «Загрузки».



    Однако в отличие от KTS он все же обнаружил Trojan.Downloader в оставшемся образце после изменения его расширения на ZIP и запуска принудительной проверки.



    Большинство настроек Dr.Web SS по умолчанию заблокированы. Чтобы его активировать, надо сначала нажать на пиктограмму замка и ввести пароль, если он был задан.


    Резервные копии создаются в Dr.Web SS при помощи инструмента «Защита от потери данных». Настройки доступны минимальные. Можно выбрать для бэкапа стандартные пользовательские каталоги или указать свои, задать одно из выбранных ограничений на объем копий, указать расположение резервных копий и настроить расписание бэкапа. Загрузка в облачные хранилища у Dr.Web SS не поддерживается, поэтому приходится ограничиваться локальными дисками.



    Защита каталога с бэкапами у Dr.Web SS более агрессивная, чем у KTS. Администратор даже не может просмотреть его свойства через проводник.



    Мы сделали резервные копии документов и приступили ко второй части теста.

    Программу-имитатор Dr.Web SS не распознал и никак не воспрепятствовал ее работе. Через долю секунды все файлы были зашифрованы.



    Запустив снова «защиту от потери данных», мы восстановили исходные файлы. Однако сохранились они совсем не там, где ожидали.



    При указании целевой папки «Мои документы» в ней автоматически создается подкаталог с текущей датой и временем в качестве имени. Уже в него распаковываются из бэкапа сохраненные файлы, причем с восстановлением всех относительных путей. Получается крайне неудобный длинный путь, который запросто может превысить распространенное ограничение в 255 символов.


    Norton Security Premium

    Помня о Norton Ghost, ставшем эталоном бэкапа еще в девяностых, легко было спрогнозировать появление подобной функциональности в антивирусе от Symantec. Удивительно, что прошло два десятка лет, прежде чем это очевидное решение стало востребованным. Не было бы счастья, да несчастье помогло.

    При попытке скопировать каталог с образцами ransomware NSP определил и поместил в карантин 12 из 15 угроз.



    Все три оставшихся файла распознаются как вредоносные при анализе на VirusTotal, в том числе два из них - антивирусом от Symantec. Просто настройки по умолчанию сделаны так, что NSP не проверяет при копировании некоторые файлы. Выполняем принудительное сканирование… и NSP обнаруживает еще два трояна в том же каталоге.



    Как и предыдущие антивирусы, NSP оставляет троян-даунлоадер в переименованном архиве ZIP. При попытке запустить файл.scr из архива NSP блокирует запуск распакованной копии трояна из временного каталога текущего пользователя. При этом сам архив никак не обрабатывается.



    Архив считается чистым даже при его повторном сканировании сразу после того, как был обнаружен распакованный из него троян. Особенно забавно выглядит надпись: «Если, по вашему мнению, еще остались угрозы, нажмите здесь». При клике по ней происходит обновление баз (или не происходит, если они и так свежие).



    Удивительно, что некоторые из старых образцов ransomware до сих пор детектируются NSP только эвристическим анализатором и средствами облачной проверки. Похоже, вирусологам Symantec лень поддерживать базы в актуальном состоянии. Их антивирус просто блокирует все подозрительное и ждет реакции пользователя.

    Второй этап тестирования проходил традиционно. Мы создали резервные копии файлов из каталога «Мои документы», а затем попытались их зашифровать.

    Менеджер резервных копий в NSP сначала порадовал своей логичностью. Он использует классический принцип «Что? Где? Когда?», знакомый еще с досовских времен. Однако в современной версии его омрачает излишняя абстрактность. Вместо прямого перечисления объектов с полными путями и файлов по расширениям используется их виртуальное расположение и условная группировка по типам. Остается догадываться, какие файлы NSP сочтет относящимися к финансовой информации, а какие просто поместит в раздел «Другие».



    Дополнительные настройки возможны (например, по ссылке «Добавить или исключить файлы и папки»), однако сделать их весьма непросто. Ради пары файлов (каждый менее килобайта) все равно приходится бэкапить полдерева каталогов и всякий мусор вроде desktop.ini , а мастер резервного копирования предлагает увековечить это на CD-R. Похоже, XXI век наступил не для всех.


    С другой стороны, пользователям NSP предоставляется под бэкапы 25 Гбайт в облаке. Чтобы загружать резервные копии туда, достаточно выбрать в качестве целевого расположения «Безопасное сетевое хранилище».


    Создав локальный бэкап, мы запустили программу, имитирующую действия трояна-шифровальщика. NSP никак не воспрепятствовал ей и позволил зашифровать файлы.


    Их восстановление из резервной копии прошло быстрее и удобнее, чем в Dr.Web SS. Достаточно было подтвердить перезапись, и файлы в исходном виде сразу оказались на прежних местах.

    K7 Ultimate Security

    Ранее этот продукт от индийской компании K7 Computing назывался Antivirus Plus. С названиями у этого разработчика и сейчас есть небольшая путаница. Например, дистрибутив K7 Total Security не имеет средств резервного копирования. Именно поэтому мы тестировали версию Ultimate - единственную способную делать бэкап.

    В отличие от известных в России антивирусов эта разработка была в наших тестах темной лошадкой. Фраза «индийский код» считается ругательством у программистов, и многого мы от него не ждали. Как показали тесты - зря.

    K7 Ultimate Security - первый антивирус, который сразу обнаружил все 15 угроз из нашей подборки. Он даже не позволил завершить копирование семплов в каталог «Загрузки» и поудалял бы их прямо в сетевой папке, если бы она не была подключена в режиме «Только чтение».


    Оформление у программы камуфляжно-стальное. Видимо, разработчики увлекаются игрой в танки или просто пытаются таким образом вызывать ассоциации с чем-то надежным. Параметры резервного копирования в K7 задаются примерно так же, как и в NSP. Однако в целом интерфейс K7 менее перегружен, и в нем проще добраться до тонких настроек.


    На запуск программы-имитатора и шифрование файлов K7 никак не отреагировал. Как всегда, пришлось восстанавливать оригиналы из бэкапа.


    Удобно, что при восстановлении можно выбрать отдельные файлы и записать их на прежнее место. Ответив утвердительно на запрос о перезаписи существующего файла, мы восстановили lenses.txt в пару кликов на прежнем месте.


    В рамках этого теста про работу K7 больше добавить нечего. Success он и есть success.


    Выводы

    Несмотря на хорошие результаты тестирования, общие выводы получились неутешительными. Даже полные версии популярных платных антивирусов пропускают некоторые варианты ransomware в настройках по умолчанию. Выборочное сканирование по запросу также не дает гарантии безопасности проверенных файлов. С помощью примитивных трюков (вроде смены расширения) обнаружения избегают и давно известные модификации троянов. Новая же малварь почти всегда проверяется на отсутствие детекта перед выпуском в дикую среду.

    Не стоит уповать на поведенческий анализатор, облачную проверку, репутационные характеристики файлов и прочие средства несигнатурного анализа. Какой-то толк от этих методов есть, но весьма небольшой. Даже нашу примитивную программу-имитатор с нулевой репутацией и без цифровой подписи не заблокировал ни один антивирус. Как и многие трояны-шифровальщики, она содержит массу недоработок, однако это не мешает ей беспрепятственно шифровать файлы сразу при запуске.

    Автоматическое резервное копирование пользовательских файлов - не следствие прогресса, а вынужденная мера. Она может быть достаточно эффективной только с постоянной защитой хранилища бэкапов средствами самого антивируса. Впрочем, действенной она будет ровно до тех пор, пока антивирус не выгрузят из памяти или не деинсталлируют вовсе. Поэтому всегда стоит делать дополнительные копии на какой-то редко подключаемый носитель или загружать их в облако. Конечно, если ты достаточно доверяешь облачному провайдеру.

    Первое место в конкурсе занял Антон Севостьянов с актуальным руководством по защите от шифровальщиков. Антон работает системным администратором и обучает пользователей информационным технологиям. Больше видеоуроков можно найти на его сайте .
    Сегодня стали популярным инструментом киберпреступников. С их помощью злоумышленники вымогают деньги у компаний и обычных пользователей. За разблокировку личных файлов пользователи могут отдать десятки тысяч рублей, а владельцы бизнеса - миллионы (например, если заблокированной окажется база 1С).



    В руководстве я предлагаю несколько способов защиты от шифровальщиков, которые помогут максимально обезопасить ваши данные.


    Антивирусная защита

    Среди всех средств защиты на первом месте стоит антивирус (я пользуюсь ). Вирусные базы данных автоматически обновляются несколько раз в день без участия пользователя, но нужно следить и за актуальностью самой программы. Помимо обновления антивирусных баз разработчики регулярно добавляют в свои продукты современные средства защиты от вирусов.

    Одним из таких средств является облачный сервис ESET LiveGrid®, который может блокировать вирус раньше, чем он будет занесен в антивирусную базу. Система ESET «на лету» анализирует информацию о подозрительной программе и определяет ее репутацию. В случае возникновения подозрений на вирус все процессы программы будут заблокированы.

    Проверить, включена ли функция ESET LiveGrid® можно следующим образом: ESET NOD32 - Дополнительные настройки - Служебные программы - ESET LiveGrid® - Включить систему репутации ESET LiveGrid®.

    Оценить эффективность ESET LiveGrid® можно на сайте , предназначенном для тестирования работы любых антивирусных продуктов. Переходим по ссылке Security Features Check (Проверка функций защиты) - Feature Settings Check for Desktop Solutions (Проверка функций защиты для персональных компьютеров) или Feature Settings Check for Android based Solutions (Проверка функций защиты для устройств на Android) - Test if your cloud protection is enabled (Проверить, включена ли у вас облачная защита). Далее нам предлагается скачать тестовый файл, и, если антивирус среагировал на него, - защита активна, если нет - нужно разбираться, в чем дело.


    Обновление операционной системы и программных продуктов

    Злоумышленники часто используют известные уязвимости в программном обеспечении в надежде на то, что пользователи еще не успели установить последние обновления. В первую очередь это касается операционной системы Windows, поэтому следует проверить и, при необходимости, активировать автоматические обновления ОС (Пуск - Панель управления - Центр обновления Windows - Настройка параметров - Выбираем способ загрузки и установки обновлений).


    Отключение службы шифрования


    В Windows предусмотрена специальная служба шифрования данных; если не пользуетесь ей регулярно, лучше ее отключить - некоторые модификации шифровальщиков могут использовать эту функцию в своих целях. Для отключения службы шифрования нужно выполнить следующие действия: Пуск - Панель управления - Администрирование - Службы - Шифрованная файловая система (EFS) и перезагрузить систему.

    Обратите внимание, что если вы применяли шифрование для защиты каких-либо файлов или папок, то следует снять галочки в соответствующих чекбоксах (ПКМ - Свойства - Атрибуты - Дополнительно - Шифровать содержимое для защиты данных). Иначе после отключения службы шифрования, вы не сможете получить доступ к этим файлам. Узнать, какие файлы были зашифрованы, очень просто - они будут выделены зеленым цветом.


    Ограниченное использование программ

    Для повышения уровня безопасности можно заблокировать запуск любых программ, которые не соответствуют заданным нами требованиям. По умолчанию такие настройки установлены только для папок Windows и Program Files.

    Настроить локальную групповую политику можно так: Выполнить - gpedit - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ - ПКМ - Создать политику ограниченного использования программ.

    Давайте создадим правило, запрещающее запуск программ из каких-либо мест за исключением разрешенных (Дополнительные правила - ПКМ - Создать правило для пути - Путь: *, т.е. любой путь - Уровень безопасности: Запрещено).

    В окне «Назначенные типы файлов» указаны расширения, которые будут блокироваться при попытке запуска. Советую добавить сюда расширение.js - java script и удалить.ink, чтобы можно было запускать программы с помощью ярлыков.

    На эффективную настройку может уйти определенное время, но результат определенно этого стоит.


    Использование учетной записи обычного пользователя


    Работать с учетной записи администратора не рекомендуется даже продвинутым пользователям. Ограничение прав учетной записи позволит минимизировать урон при случайном заражении (Включить учетную запись администратора - Задать пароль - Лишить текущего пользователя административных прав - Добавить в группу пользователи).

    Для выполнения действий с правами администратора в Windows предусмотрен специальный инструмент - «Контроль учетных записей», который запросит пароль для выполнения той или иной операции. Проверить настройки можно здесь: Пуск - Панель управления - Учетные записи пользователей - Изменение параметров контроля учетных записей - По умолчанию - Уведомлять только при попытках внести изменения в компьютер.


    Контрольные точки восстановления системы

    Иногда вирусам все равно удается преодолеть все уровни защиты. В этом случае у вас должна быть возможность откатиться на раннее состояние системы. Настроить автоматическое создание контрольных точек можно так: Мой компьютер - ПКМ - Свойства - Защита системы - Параметры защиты.

    По умолчанию при установке операционной системы защита включена только для системного диска, однако шифровальщик затронет содержимое всех разделов на вашем ПК. Для восстановления файлов стандартными средствами или программой Shadow Explorer следует включить защиту для всех дисков. Контрольные точки займут некоторый объем памяти, однако они могут спасти ваши данные в случае заражения.


    Резервное копирование

    Я настоятельно рекомендую регулярно делать самой важной информации. Эта мера поможет не только защититься от вирусов, но послужит страховкой на случай выхода жесткого диска из строя. Обязательно делайте копии данных и сохраняйте их на внешних носителях или в облачных хранилищах.

    Надеюсь, руководство будет для вас полезным и поможет защитить личне данные (и деньги!) от злоумышленников.


    Севостьянов Антон
    победитель конкурса

    Еще на эту тему:

    Скачать Driver Sweeper – программа для удаления драйверов из OC Windows Скачать программу для удаления драйверов карты Скачать Driver Sweeper – программа для удаления драйверов из OC Windows Скачать программу для удаления драйверов карты
    Выкидывает на рабочий стол Sniper Elite V2 Что делать если лагает sniper elite 3 Выкидывает на рабочий стол Sniper Elite V2 Что делать если лагает sniper elite 3
    Поиск похожей фотографии в интернет Поиск похожей фотографии в интернет