Бэкапы как способ избежать лишних затрат при заражении криптовымогателем



    Из всех киберугроз, которые существуют на сегодняшний момент, ransomware можно назвать наиболее разрушительным. ПО такого типа быстро распространяется по сети (частной или корпоративной), закрывая доступ к данным, которые для человека или компании могут быть просто бесценными. Удалить криптовымогатель с ПК можно, но только со всеми данными, что есть на жестких дисках. Некоторые представители этого класса программного обеспечения не слишком опасны, и ключ или другие средства обезвреживания можно найти в сети. Но другие гораздо опаснее, если они уже попали в систему, то жертва не видит иного выхода, кроме как платить.

    Для оплаты чаще всего используются биткоины, хотя в некоторых случаях киберпреступники выбирают и другие способы оплаты. Платят очень многие. По данным ФБР, только в 2016 году различные компании выплатили разработчикам ransomware около $1 млрд. Это в 40 раз больше, чем аналогичный показатель, фигурировавший в 2015 году. Все потому, что ransomware становится все более совершенным, новые разработки киберпреступников появляются гораздо быстрее, чем раньше. Но все же — платить стоит далеко не всегда. Точнее, лучше бы вообще не платить.

    Стоит просто подумать над тем, как снизить вероятность попадания такого рода ПО в систему. Здесь, как всегда, можно порекомендовать несколько привычных вариантов, которые пригодятся как компаниям, так и обычным пользователям:

    • Обучить пользователей в своей компании основам кибербезопасности. Главное — не кликать по незнакомым ссылкам в e-mail сообщениях, что случается очень часто. Кроме того, пользователям стоит объяснить опасность посещения ресурсов, банеры которых часто попадаются в сети. Все мы знаем об этих бесплатных антивирусах и прочих штуках, теперь нужно объяснить это собственным сотрудникам.
    • Регулярно обновлять ПО в компании, также стоит обновлять прошивку сетевых устройств, следить за актуальностью ПО на серверах и прочих ключевых элементах сети.
    • Работать с файерволами, устанавливая последние обновления. В некоторых версиях такого ПО уже есть базы данных ресурсов с ransomware, так что пользователь, даже нажав на вредоносную ссылку, не попадет на такой сайт.
    • Использовать «песочницу» для полученных PDF-документов или документов других видов. Многие эксплоиты внедряются как раз в сложную структуру файлов, создаваемых при помощи офисных программ.
    • Разработать систему привилегий для пользователей в компании;
    • Если не требуется, всегда убирать функцию Remote Desktop Protocol.

    Собственно, все это подавляющее большинство читателей Хабра и так знает (многие даже пишут собственные книги или учебники на эту тему), но все же заново проверить свою систему безопасности в компании или дома не помешает.

    Роль безопасности


    Как бы там ни было, проблема не всегда в том, чтобы добавить мер безопасности. Слабое звено может найтись всегда. Не всегда помогают такие меры, как аудит, проверка целостности файлов, использование «отпечатков», серийных номеров и самовосстановление.

    Не менее важным элементом защиты данных своей компании или личных данных является разработка мер ликвидации последствий взлома. Очень немногие компании представляют, что будут делать после того, как беда произошла. Бегать, хватаясь за голову? Не вариант. Платить злоумышленникам? Да, этот способ используется гораздо чаще. Но это тоже не выход.

    image

    У каждой компании должен быть DRP-план (disaster-recovery plan), который поможет быстро выйти на предшествующий аварии рабочий уровень. Об этом мы уже писали. При разработке такого плана главное — проводить учебные тревоги с использованием полученной информации для ликвидации возможных брешей как в системе безопасности, так и в самом плане.

    И здесь стоит упомянуть еще один момент, о котором в прошлой статье мы не говорили. Это что? Правильно, бэкапы. Обязательно нужны копии файлов, с сортировкой версий по времени архивации. Просто бэкап не подходит — он может быть сделан в момент атаки и ничего хорошего накатывание такой версии архивных файлов не принесет.

    Поэтому, если данные для компании действительно важны, нужна надежная система архивации. Причем система архивации должна быть надежной — желательно такой, чтобы клиенты, даже с уровнем доступа типа «администратор» не могли ничего удалять из архивной копии. Поэтому даже, если зловредному ПО удастся забраться в сеть, то в архивной системе этот зловред ничего сделать не сможет.

    После заражения «здоровую» копию можно будет восстановить за несколько минут (или часов, в зависимости от масштаба) и снова получить здоровую систему. В подавляющем большинстве случаев пострадавшие компании, чьи данные стоят сотни тысяч или даже сотни миллионов долларов, не имели нормальной системы архивации, а если она и была, то ее работа проверялась лишь время от времени, а не на регулярной основе.

    Таким образом, один из возможных способов защиты файлов — закрыть свои бэкапы в надежном месте, и не давать никому ничего с ними сделать. Храниться они должны столько, сколько потребуется. Конечно, такие средства могут быть достаточно дорогими, но здесь уже стоит подсчитать возможные убытки в случае проникновения в сеть предприятия ransomware и подсчитать «овчинку» и «выделку».

    Надежных всем бэкапов!

    King Servers
    Хостинг-провайдер «King Servers»
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 11

      +12
      Мне интересно, а бывают ещё более капитанские посты?
        0
        поразительно, но в компании, где я раньше работал, вымогатель «приехал» по внутренней почте (Lotus Notes) из штаб-квартиры в региональный офис. Письмо выглядело настолько натуральным — бухгалтер и не подумал, открыл, конечно, ничто не шелохнулось в беспощадной и бессмысленной корпоративной громадине. Никакие антивирусы, брандмауэры, барракуды, блюкоуты и иже с ним. Компьютер был заражен, компания, оценив масштабы, без колебаний заплатила и получила все назад. Ужасно, но порой корпорациям легче заплатить преступникам по тихому вместо того, чтобы разобраться и сделать так, чтобы такое не повторилось.
          +1
          Но ведь бывают и зловреды шифруюшие бэкапы.
            +3
            Именно поэтому зловред с рабочих машин не должен иметь прав на запись в бэкапы, нет?
          • UFO just landed and posted this here
              0
              Не всех и не навсегда. Запуск программы — это один из возможных сценариев проникновения. Зловред может использовать уязвимость 0-day (или не 0-day, если софт давно не обновлялся) и внедриться в код уже запущенного процесса, который уже прошел проверку SRP при старте и считается надежным. Бывают и такие, которые используют целые связки эксплоитов, чтобы по цепочке добраться до нужного им процесса.
              • UFO just landed and posted this here
                  0
                  Самое банальное и распространенное — уязвимости в браузерах и Flash-плеере. Никакого промышленного шпионажа, тупая бытовуха. А потом появляются ботнеты из миллионов зараженных компов.
                  А то, что лично вы этого на практике не встречали — вообще ни о чем не говорит. Даже если бы вы при этом специально препарировали каждый встреченный вами вирус, чтобы понять, насколько он умный и какие уязвимости использует.
                  • UFO just landed and posted this here
              +3
              И никто… НИКТО! Не может упомянуть простой признак криптолокера: повышенная дельта бакапа.
              И никто… НИКТО! Не может сказать, что в их рекламируемой супераппликухе это условие отрабатывается.
                0

                Было недавно, кроме public каталога и учетной записи пользователя, ничего не было зашиврованно
                Восстановил из бэкапа

                Only users with full accounts can post comments. Log in, please.