Какой должна быть стратегия компании в области защиты от вируса-вымогателя? Любое обсуждение вирусов-вымогателей должно начинаться с напоминания того, что это такое. В данном случае выкуп, который требуют злоумышленники — это не первопричина. Многие прикладные стратегии в области защиты от вредоносного программного обеспечения общего назначения также могут применяться к вирусу-вымогателю.
А раз так, атака вируса-вымогателя — это просто один из наиболее распространенных видов атак сегодня, учитывая, что такие вирусы достаточно просто генерировать и монетизировать. Не так давно ISACA было проведено исследование, в результате которого специалистами был сделан вывод о том, что этот тип атак будет доминировать и в 2016 году.
Типичная атака ransomware заразит многочисленные жертвы весьма быстро. При этом будет развернут центр управления, структура, разработанная для получения мелких сумм денег через анонимные системы платежей, использующие биткоины.
Атакующие используют различные сценарии проникновения, полагаясь на широкое распространение ransomware. Особенностью атак ransomware является неразборчивое распространение, не выбирая определенную группу пользователей или компаний.
Такие представители ransomware, как TeslaCrypt, CryptoWall и TorrentLocker показывают огромное разнообразие программного обеспечения вирусов-вымогателей в пределах от бесхитростных вариантов, встроенных в документы Microsoft Word, до довольно сложных сценариев проникновения.
Менеджеры безопасности должны понимать, что ransomware довольно часто использует каналы, которые вроде бы уже давно известны, например, заражение с помощью макровируса.
Как защититься от ransomware
1. Обучайте пользователей. Программа осведомленности позволит усилить вашу защищенность. Стоит отметить, что фишинг, атаки социальной инженерии, подозрительные веб-сайты могут существенно усилить возможность заражения.
2. Усильте вашу антивирусную защиту. Существуем много инструментов, которые позволяют идентифицировать и нейтрализовать вредоносное программное обеспечение. Не стоит полагаться на единственный антивирус.
3. Не забудьте регулярно обновлять используемое программное обеспечение, например, Microsoft Office.
4. Не забудьте о регулярном резервном копировании. Как правило, действие ransomware ограничивается локальными жесткими дисками. Поэтому ваше ежедневное резервное копирование должно проводиться на сменный внешний диск или дополнительное сетевое хранилище. Атаки могут привести к большим затратам.
Учтите, что сегодня придется приложить довольно много усилий (в случае успешной атаки ransomware, особенно в сложной корпоративной среде). Стоит понимать, что выкуп - это не выход. Чаще всего, это просто бесцельное расходование денег. Даже одна успешная атака ransomware на вашу организацию приведет к куда большим потерям, чем принятие превентивных мер.
Владимир Безмалый
Microsoft Security Trusted Advisor,
MVP Consumer Security,
Kaspersky Certified Trainer
Версия для печати
Комментарии
А как обновление MS Office предотвратит атаку вымогателя? Можно подробнее?
>А как обновление MS Office предотвратит атаку вымогателя? Можно подробнее?
Так типа вымогатель то через "дыру" в софте проходит то (при открытии документа) - а Microsoft время от времени "дыры" эти латает.
И если у кого старый Microsoft Office, не латанный, то вымогатель запустится, а ежели у кого латанный перелатанный Microsoft Office, то есть большой шанс, что вымогатель не запустится.
Имхо, конечно, имхо.
Я понимаю желание некоторых товарищей показать себя ну уж очень умными или в крайнем случае напомнить о себе.
Поясняю для шибко умных. Если ваше ПО не обновляется, количество уязвимостей в нем значительно превышает количество в обновленном ПО, Это так, кстати.
Не самый вежливый ответ от такого титулованного писателя, поэтому позволю расслабиться и себе. Я всего лишь спросил, каким образом обновления MS Office могут не позволить программе-вымогателю запуститься на моём компьютере. И, как обычно, получил чисто теоретический бесполезный ответ. "Принято верить" - это шедевр теоретика! Человек даже не представляет, как попадают эти программы на ПК пользователя и как они работают. А я это изучал на практике, и на опыте пострадавших, и в "песочнице". Грамотный юзер прислал мне пару таких вирусов для опытов и изучения. Красиво работает, кстати! И ещё - я лично видел работу шифровальщиков и на сетевых дисках, так что и тут явный пробел в знаниях автора.
Для кого эти советы? Для ИТ-отдела/департамента компании, если верить названию. Ну в таком случае совет "Пейте томатный сок!" куда полезнее таких "советов". "Обучайте, усильте, не забудьте". Браво! Полезность зашкаливает! Это и без ваших "ценных" советов знает любой профессионал. В том числе и я. И вот как раз для недопущения такой беды у меня давно приняты конкретные (и очень эффективные, раз не было случаев) меры по предупреждению таких случаев. А в советах "мэтра" конкретики - ноль. Ну и какова их цена для нас? Ноль же.
Опять "творческий" принцип автора - моё дело сказать, описать проблему, а ваше - принимать или не принимать меры. А что сказал-то? Пшик с пуком.
По-моему так.
Да, профи знают. Но большинство тутошних обитателей -- не профи. В том числе и я.
Увы, Влад ответил не по существу. ИМХО если браузер + защита пропустили вредоносный джава-скрипт, то никак.
Mike, так даже не скрипт - все гораздо хитрее! Ничего исполняемого. Я как первый раз увидел, даже восхитился. Потому антивирус это и не видит как вирус.
Про профи - заголовок говорит, что для профи. Но это точно не для тебя - не твоя сфера деятельности.
Дык просвети. Не одним же Владом...
al > Человек даже не представляет, как попадают эти программы на ПК пользователя и как они работают.
Общий ответ - единого способа нет! Всегда по разному это происходит. И всегда неожиданно.
Имхо, конечно, имхо.
А вот Microsoft Office надо обновлять регулярно, но большинство этого не делают - ибо не купленный он у них. (гипотеза).