Интернет и IT

Символ года и безопасности

Без преувеличения можно сказать, что шифровальщики (они же энкодеры или вымогатели) стали одним из главных явлений уходящего года.
403 2

Эпидемия энкодеров показала неготовность компаний и частных пользователей к защите от современных угроз. Практически каждую неделю в новостях появляются описания очередного представителя этих популярнейших среди злоумышленников вредоносных программ. Список названий, которые стали известны как читателям новостей, так и пострадавшим, очень велик: Cryptowall, Chimera, CoinVault, Bitcryptor, Cryptolocker. Он далеко не полон (кстати, компания «Доктор Веб» для всех шифровальщиков использует наименование Trojan.Encoder. Например, под названием Cryptowall различают четыре варианта Trojan.Encoder — 741, 453, 398, 293).    

Когда не спасает «грудь в крестах»

Оборотной стороной таких публикаций стало подтверждение (для читателей новостей, естественно) старого мифа о якобы немногочисленности вредоносных программ. Конечно, ведь антивирусные вендоры должны уведомлять пользователей обо всех новых угрозах! На самом деле это далеко не так. Если, например, зайти на информационный ресурс нашей компании о вредоносных программах, попавших в вирусные базы, то можно увидеть, что в базы добавляется информация о нескольких десятках шифровальщиков. Ежедневно — и это не считая огромного количества других типов вредоносных программ, остающихся в тени звезд новостей. Эти программы, как и шифровальщики, до добавления в базу не распознаются системой защиты (точнее, конечно, не распознаются компонентами антивируса, работающими на основе знаний из вирусной базы, о поведенческом анализаторе разговор особый).

Почему же шифровальщики стали такой глобальной угрозой? Ведь вопрос создания антивирусной системы защиты для подавляющего большинства компаний давно закрыт и не является насущным – на большинстве мероприятий обсуждаются совсем иные проблемы. Проблема защиты от вирусов не становится больше центром внимания и для руководства компаний, и для системных администраторов. Вопрос немного философский, поэтому поговорим о том, почему вредоносные программы вообще стали в последнее время головной болью для многих — несмотря на то, что системы защиты строятся на основе годами проверенных принципов.

Современные злоумышленники, создавая вредоносные программы, не хотят оставить свое имя в истории. Они хотят заработать. Логично, что рассчитывать на то, что в атакуемой системе не установлен антивирус, было бы как минимум наивно. Поэтому для того, чтобы начать работать, вредоносная программа должна пройти через сито защиты. И это вполне реально, к сожалению.

Дело в том, что в подавляющем большинстве случаев антивирусная система защиты состоит из одного только антивируса, а пользователи работают с правами администраторов, используют (практически все) один и тот же набор программ и не любят перезагружаться для установки обновлений. Причем антивирус обычно устанавливается с настройками по умолчанию (без настройки белого списка разрешенных к использованию программ, без использования проактивной защиты и т.д.). Соответственно, злоумышленникам достаточно установить антивирусы по умолчанию и тестировать на них свои разработки. Вредоносное ПО, которое пройдет через их тесты, пройдет и через защиту компаний, как нож сквозь масло.

Системы защиты, рассчитанные на противодействие хакерам, единственной целью которых являлась слава, не могут противостоять криминальным группировкам, имеющим в своем распоряжении все возможности черного рынка и поставившим грабеж на промышленную основу.

Есть ли выход?

Сложившаяся ситуация мгновенно обес-ценила все системы тестирования антивирусов (кроме систем самозащиты и лечения активных заражений — но это особый и редко встречающийся вид тестирования). Даже если «грудь в крестах», что толку, если победитель тестирования гарантированно пропустит специально разработанный вирус? Но этого никто не заметил. Выбор антивирусов (что в большинстве случаев равноценно созданию антивирусной системы защиты) все так же происходит на основе результатов популярных тестов.

Нужны инициативы по разработке рекомендаций по усовершенствованию систем защиты, основательная переработка курсов для системных администраторов и специалистов по безо-пасности – но вместо этого широко распространились призывы к соглашательству – от статьи с названием «Мы решили платить» до призывов платить из уст представителя ФБР США Джозефа Бонаволонта: «Честно говоря, мы часто советуем обратившимся просто заплатить выкуп за расшифровку. Опыт показывает, что специалистам ФБР приходится тратить огромные усилия в попытках расшифровать заблокированные файлы без всякой гарантии успеха». И информацию о необходимости платить с удовольствием распространяют СМИ. Кому это выгодно? И почему информация о контрнаступлениях антивирусных вендоров куда менее известна?

Злоумышленники стараются сделать необнаруживаемое ПО. Можно ли усложнить им жизнь? Да, если антивирус развивает технологии антивирусного ядра. Создать программу, которая не будет обнаруживаться антивирусом, сложно. Куда проще зашифровать уже имеющегося троянца или обработать его упаковщиком так, чтобы получился файл с никому не известным форматом. Технология Dr.Web Fly-Code позволяет антивирусу находить вредоносные файлы даже в этом случае. Пользователи других продуктов остаются без защиты до загрузки обновления, содержащего информацию о новом троянце (точнее, об упакованном файле) – а это, по статистике, в среднем два часа без защиты. Fly-Code фактически является водоразделом между антивирусами, для которых создавать вредоносные программы выгодно, и продуктами, обойти которые сложно.

А что делать, если вредоносная программа может обойти антивирус (напоминаем – установленный с настройками по умолчанию)?

Необходимо переходить от антивируса к антивирусной системе защиты. Работать только под ограниченными правами (да, и это тоже антивирусная защита), ограничить и жестко контролировать список установленных и пытающихся запуститься программ, ограничить права доступа к Интернету и ресурсам локальной сети. В обязательном порядке использовать резервное копирование. И этот список рекомендаций можно продолжать – в зависимости от списка актуальных угроз. 

Важность системного подхода

Все эти меры по отдельности защиты не дают. Например, многие рассматривают резервное копирование в качестве идеального решения от потери данных. Немало в сети Интернет   и ресурсов, описывающих настройку теневого копирования именно для противодействия шифровальщикам. Но создатели вредоносных программ определенно тоже читают такие рекомендации – и, например, Trojan.Encoder.1064 (он же AlphaCrypt) первым делом удаляет теневые копии. Шифровать данные по сети, копировать их на сменные носители – тоже не панацея, поскольку большинство шифровальщиков обрабатывают все доступные ресурсы. А учитывая, что далеко не все шифровальщики требуют выкуп в день заражения и могут работать месяцами – очень велик шанс, что все резервные копии содержат троянца и не содержат незашифрованных файлов. 

Современный антивирус не равен файловому антивирусу девяностых годов. Проверка входящего и исходящего трафика, ограничение прав доступа к ресурсам (включая сменные носители), резервное копирование – все это компоненты современного антивируса. И конечно же, поведенческий анализатор. Что делать, если вредоносная программа неизвестна вирусным базам? 

Контролировать запросы запущенных программ к различным ресурсам и анализировать, что делает тот или иной процесс. При этом здесь также возможно два пути. Можно сравнивать поведение процесса с известными моделями поведения популярных программ. Это требует базы данных признаков всех программ мира и не дает гарантии для неизвестного процесса (к тому же эта база требует постоянного обновления из-за контролируемых программ, что в закрытых сетях может привести к рассогласованию поведения обновленной программы и мнения о ней системы защиты). А можно сравнивать поведение процесса с моделями поведения вредоносных программ, что в случае отсутствия базы данных признаков всех программ мира дает еще и рост скорости проверки. 

Но даже лучший поведенческий анализатор начинает свой анализ после начала работы программы. А это приводит к тому, что шифровальщик до своего обнаружения успевает зашифровать до десятка файлов. Что делать? Платить выкуп?

Очень важна готовность к возникновению вирусозависимого компьютерного инцидента. На фоне новостей об успехах злоумышленников немногие знают, что не все шифровальщики так хороши, как хотелось бы их создателям. Вероятность расшифровки составляет от 10 до 90%. Компания «Доктор Веб» только за последний месяц объявила о возможности расшифровки двух представителей Trojan.Encoder — в том числе Trojan.Encoder.2843, известного также под именем Vault.

К сожалению, большинство пострадавших к моменту инцидента не знают, что им нужно делать. Обычно в подобных случаях в службу технической поддержки приходит невнятный запрос с сообщением «нас зашифровали». В лучшем случае прикладывают один файл. До момента получения техподдержкой всей необходимой информации (или неполучения: многие первым делом запускают штатный антивирусный сканер или скачивают Dr.Web CureIt!, который находит и уничтожает троянца) пострадавшие успевают обменяться со специалистами более чем десятком сообщений. А это время и деньги пострадавшей компании. Для повышения шансов на расшифровку пострадавших файлов важно прислать специалистам не один, а три-пять файлов разных типов (pdf, doc и т.д.), а также письмо с требованием выкупа (при наличии), описание процесса заражения, тело троянца (подумайте, у всех ли по умолчанию вредоносная программа при обнаружении перемещается в карантин, а не уничтожается?). Должно быть как можно больше информации для анализа. И даже в этом случае служба технической поддержки не всегда может отреагировать мгновенно: во время эпидемии количество запросов о расшифровке многократно возрастает.

Для восстановления информации прежде всего нужна информация, и преступники об этом тоже знают. Поэтому зараженный компьютер нельзя выключать (для преступника не составляет особого труда установить на зараженном компьютере программу для уничтожения информации на жестком диске или в расшаренных папках). Но и продолжать работать на зараженном компьютере тоже нельзя, ведь это модификация места совершения инцидента безопасности. К потере информации может привести даже загрузка с внешнего носителя. Поэтому остается только варварский способ – выдернуть вилку из сети до получения рекомендаций.

Грядут  Новый год и зимние каникулы – время, когда системные администраторы и специалисты в области безопасности отдыхают, а злоумышленники традиционно выходят на охоту. Вы и ваша дежурная смена знаете, кому звонить в случае возникновения компьютерного инцидента, как собрать информацию и как правильно составить заявление в полицию? 

Начать дискуссию

Песков: нейросети в руках недобросовестных людей — еще одна большая угроза

Заместитель руководителя администрации президента РФ, пресс-секретарь В. Путина Дмитрий Песков заявил, что нейросети в руках недобросовестных людей или террористов могут стать грозным оружием.

Курсы повышения
квалификации

18
Официальное удостоверение с занесением в госреестр Рособрнадзора

👫 На одну штатную единицу можно принять двух полставочников. Эксперт: запрета нет, и Верховный Суд это косвенно подтверждает

Ранее Роструд заявлял, что одну должность не могут делить между собой два человека по полставки каждый, должно быть 2 должности. Теперь поступили новые вводные.

306

Шестиугольник управления проектами. Что это такое и для чего нужен

Управление любым проектом представляет собой многоуровневый процесс, имеющий множество составляющих. Как минимум он включает в себя планирование, мотивацию, материальное и прочее обеспечение, а также контроль исполнительных процессов.

Шестиугольник управления проектами. Что это такое и для чего нужен
Лучшие спикеры, новый каждый день

ФНС объяснила, какой ОКТМО указывать в ЕНП-уведомлении по налогу на имущество

В уведомлении по ЕНП при указании кода ОКТМО надо учитывать особенности исчисления и уплаты налогов.

🎓 Уже завтра бухгалтеры узнают, как Минтруд и ФНС будут бороться со скрытыми сотрудниками

Подготовьтесь к проверкам и запросам по сотрудникам и уберегите себя от штрафов.

Клиенты Сбера могут разблокировать карту после блокировки из-за криптовалют

Чтобы снизить риск блокировки карт из-за сомнительных операций, клиенты Сбербанка могут подтвердить свои криптовалютные доходы, сделав скриншот с сайтов криптобирж.

Опытом делятся эксперты-практики, без воды
УСН

📌 Как ИП на УСН «доходы» в 2024 году уменьшать налог на фиксированные взносы: таблица

Чтобы уменьшать налог по УСН за 2024 год на взносы ИП за 2024, их не нужно платить. А вот на взносы 1% за 2024-й налог за 2024 год уменьшить нельзя независимо от того, платили вы их или нет.

НДФЛ

За подаренную двоюродным братом квартиру придется платить НДФЛ

За подаренную недвижимость не надо платить НДФЛ, если даритель и одаряемый являются членами семьи или близкими родственниками по Семейному кодексу. Двоюродный брат – это не близкий родственник.

💰 Зарплату иностранным работникам надо платить только безналом

Выплата денег валютным резидентом (российской компанией) нерезиденту (сотруднику-иностранцу) в наличной форме не входит в перечень разрешенных валютных операций.

Как составить прогнозный баланс на основе управленческой отчётности. 5 шагов

Устойчивое развитие бизнеса можно поставить под сомнение, если руководство на основе целей не составляет планы, а управленческий учёт заключается только в фиксировании фактических данных. И наоборот, планирование помогает находить резервы для роста компании, координировать все службы, чётко рассчитывать денежные потоки, поставки сырья и материалов.

Как составить прогнозный баланс на основе управленческой отчётности. 5 шагов

Минстрой утвердил официальную стоимость 1 кв. м жилья на II квартал

Министерство строительства и жилищно-коммунального хозяйства России установило показатели средней рыночной стоимости 1 квадратного метра общей площади жилого помещения по субъектам РФ на II квартал 2024 года.

МСП получили 500 млрд руб. поддержки в рамках льготных микрозаймов и поручительств

За 2023 год объем финансовой поддержки малого и среднего бизнеса в рамках Национальной гарантийной системы вырос: кредитов под поручительства — на 47%, льготных микрозаймов — на 3,4%.

МСП получили 500 млрд руб. поддержки в рамках льготных микрозаймов и поручительств
Миникурсы, текстовые и видеоинструкции для бухгалтеров

Означает ли запрос ИФНС документов у контрагентов предстоящую проверку?

Добрый день! ИФНС запросила документы у наших заказчиков (4 разных контрагента) по некоторым договорам с нашей организацией вне рамок налоговой проверки. Коллеги, кто сталкивался, означает ли это, что нам самим в скором времени следует ожидать проверку?

4
78

Песков: Telegram не будут блокировать

Дмитрий Песков посоветовал Павлу Дурову уделять больше внимания тому, что Telegram используют в том числе и террористы.

💥 Сегодня — последний день уплаты текущих налогов и за прошлый год без последствий

До 28 марта надо уплатить налоги за 2023 год, а также налоги за текущий период. Смотрите список, чтобы ничего не пропустить.

Для «профессиональных дропов» могут ввести свою уголовную ответственность

Начальник Управления организации надзорной деятельности Росфинмониторинга Александр Курьянов рассказал, что мошенники стали чаще вовлекать в свои схемы молодых людей в качестве «дропов» - подставных лиц.

НДФЛ 35% вместо 13%. Новые изменения законодательства

Опубликован законопроект, прошедший второе чтение. Он направлен на изменение налоговых ставок для физических лиц, работающих по трудовому и гражданско правовому договору (договора оказания услуг и оказания работ) и ИП, применяющих общую систему налогообложения (ОСНО).

НДФЛ 35% вместо 13%. Новые изменения законодательства
9
381

Новые налоговые вычеты на долгосрочные сбережения: разбираемся как работает схема

Принятый 23 марта 2024 года закон[1] предусматривает введение единого налогового вычета по взносам в программу долгосрочных сбережений, по договору негосударственного пенсионного обеспечения и вложений на ИИС типа III.

Новые налоговые вычеты на долгосрочные сбережения: разбираемся как работает схема

Нулевая ставка по НДС: порядок применения в 2024 году

Налог на добавленную стоимость может рассчитываться по разным ставкам, в том числе — 0%. В этой статье расскажем о том, когда и как применять такую ставку, а также об изменениях 2024 года.

Нулевая ставка по НДС: порядок применения в 2024 году

Интересные материалы

Сделан очередной шаг по допуску обычных физлиц на биржу

Брокеры считают, что автоследование станет одним из шагов к допуску физических лиц на Мосбиржу.