Ransomware набирает силы

    «Незнание не освобождает…» или почему Ransomware продолжает процветать

    Привет, Хабр! Сегодня мы хотим рассказать о результатах любопытного опроса, который компания Acronis провела в сети в марте 2018 года. Оказалось, что злоумышленники, делающие ставку на Ransomware, поступают логично – абсолютное большинство не готовы к таким нападениям и объем ущерба продолжает расти.



    Под катом – подробная информация и статистика, а также результаты опроса.

    Для начала давайте поднимем немного пугающей статистики. Как сообщают эксперты CybeSecurity Ventures, в 2019 году ущерб от Ransomware составит более 11 миллиардов долларов, и это при том, что в 2018 году эксперты ожидают только 5 миллиардного ущерба. Более того, растет и частота атак в «штуках». Мало того, что 2017 году число видов вымогателей выросло на 46%, согласно прогнозам CybeSecurity Ventures к концу 2019 года каждые 14 секунд какую-то организацию будут шифровать программы-вымогатели, когда на конец 2017 года такие нападения в среднем происходили один раз в 40 секунд.


    Чтобы прояснить ситуацию, мы заказали опрос среди корпоративных пользователей в таких странах, как США, Великобритания, Австралия, Франция, Испания, Германия и Япония. И, что самое интересное, 62,5% вообще никогда не слышали о программах вымогателях. А это значит, что никакой защиты от них не применяется в принципе.



    На самом деле рост ущерба, о котором говорят аналитики, происходит именно потому, что в большинстве компаний нет никакой защиты от программ вымогателей. Более того, сами злоумышленники постоянно развивают свои методы социального инжиниринга, а также находят все новые лазейки для внедрения вредоносного кода. В большинстве случаев стандартные антивирусы и системы класса Internet Security не могут противодействовать новой разновидности вымогателя – а, чтобы обойти сигнатурную защиту хакеру часто бывает достаточно просто перекомпилировать программу с минимальными изменениями кода.  подобные нападения. Как подтверждение – еще немного статистики. В Ponemon Institute выяснили, что 69% корпоративных пользователей считают, что установленный антивирус не сможет справиться с новыми угрозами. Пожалуй, у них есть все основания считать именно так.

    В чем сила? В резервном копировании


    Фактически реальную защиту от программ-вымогателей позволяет реализовать только тщательно продуманная и качественно внедренная система резервного копирования. В случае если у вас есть не слишком старая копия данных, можно просто наплевать на зашифрованные файлы и сообщить о вымогателе в компетентные органы. Нужно лишь достаточно часто выполнять резервное копирование, и идеальными в данном вопросе оказываются решения с инкрементальным дополнением.


    Впрочем, 2018 год принес еще одну проблему в эту сферу. Сами киберпреступники стали понимать, что отлаженные механизмы резервного копирования справляются с угрозой. Поэтому вектора атак стали распространяться именно на резервные копии и сами системы Backup&Restore. Кстати, именно поэтому нам пришлось добавить эвристические компоненты в Acronis Backup и Acronis True Image, чтобы отражать атаки Ransomware, прекрасно «понимающие» опасность систем резервного копирования.

    Простая гигиена


    На самом деле перечень действий, которые нужно совершить для противостояния Ransomware, достаточно прост и состоит всего из четырех шагов.

    • Проводите резервное копирование ВСЕХ важных данных на диск в облако
    • Устанавливайте все «заплатки» на ОС и прикладное ПО, чтобы было меньше уязвимостей
    • Помните про фишинг – социальная инженерия достигла больших высот, и заражённые письма выглядят в последнее время очень убедительно
    • Следите, чтобы защитное ПО (антивирус, firewall и средства резервного копирования) были обновлены и включены.


    К сожалению, результаты опроса показали неутешительную картину. Мало того, что свыше 62% вообще не в курсе о существовании угрозы Ransomware, 33% участников вообще не сохраняют резервные копии своих данных – ни в облаке, ни на своем компьютере. При этом 39% работают с 4 или более устройствами, на которых хранятся важные для них данные. Именно такое положение дел превращает Ransomware в большую угрозу для бизнеса и частных пользователей, хотя справиться с ней было бы достаточно просто, установив специальную систему защиты.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    А вы защищаетесь от Ransomware?
    Acronis 151,46
    Компания
    Поделиться публикацией
    Комментарии 16
      +1
      «Ransomware набирает силы» — это не так. Число случаев падает, массовые эпидемии становятся редки. По сравнению, например, с 16-17 годами спад налицо.
        0
        Привет. Говорить про 2018 год пока рано, потому что любые эпидемии развиваются по синусоиде – всплеск/спад. Активность киберпреступников разнится от месяца к месяцу. Например, в начале 2018 года может наблюдаться некий спад, потому что плохие парни отдыхают, а к осени будет большой рост.

        За 2017 год все отмечают рост, например www.forbes.com/sites/tonybradley/2018/01/31/ransomware-and-cryptomining-spiked-in-2017-according-to-report/#32fb23d87bff

        www.spamtitan.com/blog/ransomware-growth-in-2017

        Можно найти еще кучу подобных примеров. Так что, скорее, все-таки растет, чем падает.
          0
          Forbes не занимается расшифровкой в таких случаях, я занимаюсь уже много лет и знаю о чем говорю.
          0
          ISTR 23 видели? Гляньте: «Ransomware Prices Down, Disruption Up». Кол-во вредоносных вариков увеличилось на 46%, хотя сумма выкупа уменьшилась.
            0
            Увеличение числа семплов совершенно не означает увеличения числа случаев заражения. И даже не означает увеличения числа попыток заражения. Рассылка в 20 семплов на 20 млн адресов и 1000 семплов на 10000 адресов — совсем разные цифры, а увеличение «вредоносных вариков» даже не на 46%. Считать надо по числу случаев заражения
          0
          мы заказали опрос среди корпоративных пользователей… 62,5% вообще никогда не слышали о программах вымогателях. А это значит, что никакой защиты от них не применяется в принципе.


          Выводы спорные. Зачем сотруднику офиса знать о разновидностях троянов? Нет, оно конечно не вредно, но в общем это дело системных администраторов/специалистов по ИБ. А с учетом выноса задач на аутсорс и страхования и руководство может ничего не знать о троянах — они наняли подрядную организацию, пусть у них голова болит. И то, что никакой защиты нет, тоже спорно — достаточно часто иконки агента защиты прячут, чтобы пользователь не лез в настройки, не пытался все отключить

          Или опрашивали не пользователей, а администраторов?
            0
            Я сам лично столько раз попадал в разные неприятности в IT-сфере, что не привык надеяться на «дядю». Мой лично опыт такой что «мы наняли — они разберутся» заканчивается при первом же фейле либо печально, либо очень печально. Отвественность за потери там весьма условная.
            0
            > Проводите резервное копирование ВСЕХ важных данных на диск в облако
            И с высокой долей вероятности данные в облаке тоже окажутся зашифрованы.
              0
              Автоматическая синхронизация данных в облако — зашифруй в N раз больше данных, чем обычно! Видел такие случаи…
              0
              Петя шифровал даже onedrive, который был подключен
                0
                Знаете, а я ведь говорил, что ваша ACtive Protection спорная штука, которая может начать мешать антивирусу. Так и оказалось, Norton Security несовместим с вашей штуковиной. Пришлось службу вырубить (отключение с GUI Acronis-а не помогает). Вы лучше реализуйте server-side защиту от резервного копирования испорченных файлов, чтобы я не волновался о том, что в облако зальются испорченные/зашифрованные файлы или не дай бог ими заменятся здоровые копии. На клиенте только 1 царь — встроенный или сторонний антивирус.
                  0
                  Давайте разберемся как именно не совестим. Мы тестировали внутри компании, все работает. Скорее всего, имеет место некое ложное срабатывание со стороны Symantec, наш продукт не делает ничего такого, чтобы антивирусы были с ним не совместимы.
                  Что касается сервер-сайд защиты: Windows-клиент защищен, откат занимает секунды, если не меньше. Чтобы зашифрованные копии залились в облако, синхронизация должна сработать в те доли секунды, пока несколько файлов зашифрованы (до срабатывания эвристик). Шанс, что такое произойдет, практически нулевой.
                    0
                    Нет срабатываний, можно выключить Norton (удалять и выгружать не пробовал) и проблема остаётся. Проблемы регулярно происходят у юзеров Symantec с IBM Rapport (он тоже якобы совместим, на Западе очень популярная программа, её банки советуют ставить), который транзакции защищает, дык постоянно возникают проблемы, вроде затихают проблемы, когда вендоры решат проблему совместно, а потом снова возникают и это не удивительно, ведь антивирус с течением времени модернизируется, не мала вероятность, что снова возникнет проблема, а страдают ведь юзеры и зачем им это? У Касперского на моей памяти со сканером MBAM такая же проблема, как у меня — виснет проводник.
                    Я к тому, что любое второе активное защитное ПО порождает проблемы если не в 100% случаев, не постоянно, то стабильно у кого-то из ваших юзеров периодически такое бывает и лучше не делать такую защиту. Мне что себе, что родителям пришлось отключить вашу защиту.
                    Т.е. вы опираетесь на защиту клиента, которую ряду клиентов выключать приходится, ну круто.
                    Защита — это в реализации всегда что-то крайне оригинальное и изощрённое, особенно если речь о поведенческих, самозащитных и анти-эксплойт технологиях.
                      0
                      Решил включить эту функцию снова у себя. Пока нет проблем, она сразу и не возникала, но пока нормально всё. Однако уже увидел какую-то явно ложную блокировку вашей технологией: «процессу rundll32.exe запрещён доступ к реестру».
                        0
                        А ещё я удалил свою резервную копию без ввода пароля от неё, просто нажал Удалить и всё. Из облака тоже данные удалились. Т.е. на изменение параметров резервной копии пароль нужен, а на удаление не нужен? Злоумышленник зайдёт на комп с RATа и спокойно почистит копии, если не будет UACа с паролем.
                      0
                      Доброго здоровья! Подскажите, а возможно ли сделать «мобильное приложение для восстановления компа»?

                      1) Допустим, есть комп, убитый до состояния «загрузочный сектор не найден», но диск должен быть живой.
                      2) Есть телефон с USB-oт-the-go, т. е. позволяющий напрямую подключать к себе флэшки.

                      По идее, телефон же может скачать образ диска-реаниматора и сделать загрузочную флэшку, позволяющую запустить комп и, возможно, исправить или восстановить разделы из бэкапа?

                      Если да — считайте это пожеланием к функционалу.
                      Удачи.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое