Что такое вирус шифровальщик? Как они развивались и как защититься от этой заразы?

Недавно в группе обучения КОСА, один из студентов задал мне вопрос, на тему вирусов шифровальщиков и моего личного опыта в этой теме?

Так вот, более расширенно отвечу в рамках данного видео, так как тема до сих пор актуальная и требует пристального внимания.

Что такое вирус шифровальщик?

Это вредоносная программа, которая зашифровывает все ваши рабочие или личные файлы и требует выкуп, чтобы их расшифровать. Причем, в некоторых версиях даже сами злоумышленники не смогут расшифровать вам данные

⇓ Запись видеоурока на RuTuBe ⇓

Из личного опыта и сталкиваясь с различной информацией в сети, я наблюдал следующую картину развития вирусов шифровальщиков:

- изначально шифровались офисные документы и изображения

- далее, понимая, что можно расширить область важных данных для шифровки, начали шифровать базы данных, архивы почтовых программ и т.д.

- когда злоумышленники поняли, что пользователи могу восстановить зашифрованные файлы из резервных копий, они начали шифровать файлы backup-ов известных программ, например Acronis

- а также удалять теневые копии файлов и контрольные точки восстановления системы

- если изначально, шифровальщики шифровали только данные, находящиеся на физических дисках, то далее, они пошли шифровать общие сетевые ресурсы, к которым имеет доступ пользователь, под которым шифровальщик запустился.

Кстати, из личного опыта могу рассказать такую историю, даже когда шифровальщики еще не умели шифровать файлы по сети, мы столкнулись со следующей ситуацией. В компании пользователи получали доступ к файловому серверу не через ярлык на рабочем столе, а через сетевой диск.

В итоге, когда одна из машин заразилась шифровальщиком, он начал шифровать данные на физических дисках, а так как сетевой диск, для системы воспринимается как физический, то были зашифрованы и данные на файловом сервере. После чего, мы категорически отказались от идеи работы используя сетевые диски.

- проникновение через RDP и зашифровка данных, это когда злоумышленник получает доступ к серверу через RDP протокол и запускает на нем шифровальщик.

Так же коллега рассказывал историю, что у них на RDP сервере сотрудник из почты запустил шифровальщик, который помимо того, что зашифровал данные на сервере, к которым смог получить доступ, так же зашифровал локальные данные сотрудника, так как в RDP сеансе была указана настройка пробрасывать локальные диски в RDP сеанс. И по аналогии с прошлой историей, были зашифрованы данные на сетевых дисках, но в данном случае, они являлись локальными для пользователя.

И кстати, умея повышать себе права в системе, вирус смог бы шифровать диски всех сотрудников, которые подключались к терминальному серверу с пробросом локальных дисков. Так что, если особой необходимости в этом нет, но лучше не пробрасывать и не использовать сетевые диски.

- так как, одним из основных способов борьбы с данной заразой является периодическое создание резервных копий, то злоумышленники пошли дальше. Чтобы исключить возможность восстановления данных, нужно было, чтобы в сами резервные копии попадали уже зашифрованные данные.

Как это сделать? Можно не активно шифровать все подряд, а постепенно, чтобы этот процесс был незаметным, а когда жертва поймет, что что-то подозрительное происходит, часть зашифрованных данных уже находиться в архивах.

Прокачай навыки системного администрирования в домашних условиях!

Получите бесплатную лабораторию с пошаговой инструкцией по установке Active Directory.

Материалы позволят разобраться в таких темах как: Active Directory, групповые политики (GPO), администрирование 1С, настройка файлового сервера, удаленное администрирование, WSUS, основы Linux и т.д.

Эволюция шифровальщиков:

- шифровали офисные документы и изображения

- шифровка баз данных и т.д.

- шифровка бэкапов известных программ, например Acronis

- удаление теневых копий и контрольных точек системы

- шифровка общих сетевых ресурсов (распространение по сети)

- проникновение через RDP и зашифровка данных

- постепенное шифрование с целью попадания уже зашифрованных файлов в резервные копии

Как с этим бороться с вирусом шифровальщиком?

- Не используйте сетевые диски, лично мне хватило опыта и сейчас, если это возможно, я стараюсь использовать другие варианты передачи информации по сети.

- Используете антивирусные программы, да, не факт, что новый шифровальщик уже есть в антивирусной базе, однако риск однозначно уменьшается.

Не знаю как у других, но, например, у Касперского есть модуль под названием «Мониторинг активности», который позволяет защищаться даже от неизвестных шифровальщиков. Суть в том, что когда у вашей системе начинает происходить какая-то подозрительна активность, допустим массовое переименование файлов, то система сообщит вам об этом.

- Инструменты восстановления - если вирус, который вам попался уже известный, то, возможно, разработчики антивирусного программного обеспечения уже разработали утилиту по расшифровке файлов. Так что попробуйте найти подобную утилиту на сайте или напишите в поддержку.

- Регулярно делайте резервные копии ваших файлов. Это конечно все и так знают, однако как быть, если данные шифруются постепенно?

Лично я практикую следующую систему архивации данных. Раз в месяц, я подключаю к системе внешний жесткий диск, именно подключаю физически, все остальное время он не подключен к системе! И делаю синхронизацию данных, лично я это делаю через программу GoodSync, у вас же может быть какая-нибудь другая.

Перед синхронизацией она проводит анализ и выводит данные, какие будет копировать, а какие удалять. Так и можно понять, все ли корректно или есть какие-то подозрения.