Безопасность в цифровом бизнесе. Выпуск 2.
Семь раз прочти, один раз нажми!
Самые разные модификации вирусов встречаются сотнями каждый день. Они эволюционируют и совершенствуются, чтобы обходить антивирусные программы.
Вместе с этим развивается кибервымогательство. Хакеры выкупают базы в DarkNet (скрытая сеть, соединения которой устанавливаются только между доверенными пирами, иногда именующимися как «друзья», с использованием нестандартных протоколов и портов). Затем начинают шифровать все подряд и ждут, когда начнут им же платить за расшифровку файлов.
Появилась некая “партнерская программа”, по которой продавец передает покупателю персонифицированный файл шифровальщика и ссылку для доступа в личный кабинет. В этом кабинете отражается статистика по зараженным узлам и осуществленным выплатам. Задача покупателя - распространить троян. Далее, когда жертва перечисляет выкуп на счет покупателя, он делится долей с продавцом.
Стандартная схема заражения вирусом - через почтовую рассылку.
Многие уже слышали про зловредные письма с вирусом-шифровальщиком, а кое-кому даже посчастливилось столкнуться с ними!
Примеры содержания писем могут быть следующие:
"Просим скинуть последний акт сверки, который Вы нам отправили. У нас не открывается вложенный файл... И кстати, у нас уже новые реквизиты - см. во вложении. Ждем обратной связи "
"За Вами числится недоплата по предыдущей поставке. Пожалуйста, рассчитайтесь с нами до пятницы. А также скидываю цены на товары хоз. группы для оптовых заказов (см. в приложении). И напишите нам, если возникнут вопросы по прикрепленному доку. "
"За Вами числится недоплата по предыдущей поставке. Пожалуйста, рассчитайтесь с нами до пятницы. А также отправляю цены на лакокрасочную продукцию для оптовых закупок (см. в приложении). И напишите нам, если возникнут вопросы по прикрепленному документу".
После текста идут якобы прикрепленные документы, которые по факты ведут на вредоносную ссылку.
Опасный вирус-шифровальщик для 1С распространяется через электронные письма с темой "У нас сменился БИК банка".
Что же делает вирус?
Он выискивает файлы, созданные в популярных офисных программах, графических редакторах и в бухгалтерских учетных программах. Затем он их шифрует и распространяется на все компьютеры в сети, при этом похищая логины и пароли из оперативной памяти.
ПЛАТИТЬ ИЛИ НЕ ПЛАТИТЬ ВЫКУП?
Эксперты советуют не платить кибервымогателям. потому что нет никакой гарантии, что восстановление файлов действительно произойдет. И также - нет гарантии, что это не повторится снова. Зачастую такое происходит потому, что в разработку расшифровщиков мало кто действительно вкладывается.
КАК ЗАЩИТИТЬ СЕБЯ ОТ КИБЕРАТАК?
Один из вариантов защиты такой:
Заведение "черного" списка наиболее уязвимых сотрудников (отделов) и блокировка по-умолчанию приема файлов и модификация ссылок в тексте писем. То есть необходимо пропускать письма в exchange через особую обработку.
Рабочие места тех, кто ведет интенсивный прием или обработку внешней корреспонденции, просто обязаны быть оборудованы антивирусной песочницей, суть которой - защита основной рабочей системы от потенциально опасного контента в специальной выделенной среде.
Второй вариант:
Например, есть бесплатный "COMODO Antivirus" с песочницей (Авто-Sandbox) на борту. Если не отключать эту песочницу, то все новые и не знакомые (COMODO) приложения будут запускаться в песочнице, тогда никакой шифровальщик не навредить вашим реальным файлам не сможет, он лишь зашифрует их копии в песочнице. Можно это протестировать. Кроме того, у этого антивируса есть и другие фишки: HIPS, Viruscope.
IT-специалистам компании необходимо подумать как ее правильно настроить “песочницу”. Например, можно настроить так, что по умолчанию все программы и скрипты (не только новые, но даже установленные) открываются только в безопасной среде. Тем самым можно безопасно открывать например зараженный word документ (ибо сам word запускается в песочнице).
Если все таки зловред пробрался к реальным файлам, то скорее всего пользователь запускал программы не в песочнице (если такое возможно на рабочем месте), что должно быть запрещено правилами.
Компьютерная безопасность -- это совокупность четырех факторов (в порядке значимости, чем выше -- тем важнее):
- ограниченные привилегии
- брандмауэр
- отсутствие уязвимостей
- антивирус
Крайне важно уделять внимание всем этим факторам, а не полагаться лишь на один, последний по счету в списке.
Третий вариант - для всех и каждого:
Отравленный разум киберподлецов весьма гибок, поэтому предвосхитить все их ухищрения невозможно. Однако, человек, знающий, как вести себя в общем случае, может не беспокоиться о том, как именно его пытаются "развести" в конкретной ситуации.
На самом деле, чтобы с вами и вашими документами не случилось беды, достаточно:
- Быть внимательным
- Перечитай первый пункт и всё!
Итак, вы получили некое письмо, прочли его и задайте себе вопрос: "Касается ли это письмо меня?". Не надо включать свое любопытство и переходить по ссылкам, открывать архивы и уж тем более пересылать такие письма коллегам.
Даже если письмо касается вас, и вы доверяете отправителю, то ни в коем случае не переходите по ссылкам из самого письма.
Лучше позвоните отправителю и уточните о письме. Если всё верно, то пусть пересылают письмо с вложением.
Вероятно, что почтовый ящик отправителя сам пострадал и от него рассылается спам с шифровальщиком.
ВАЖНО соблюдать простые правила безопасности!!!
- Регулярно делать резервные копии важных данных и хранить их отдельно
- Загружать программное обеспечение только из проверенных источников
- Следить за обновлением программного обеспечения до последней версии
- Использовать надежные защитные решения.