Статистика
Вирусы-шифровальщики (ransomware) на сегодняшний день представляют собой одну из самых опасных и изощренных угроз в мире кибербезопасности. Эти вредоносные программы шифруют файлы на компьютерах и корпоративных системах жертв, требуя выкуп за их расшифровку.
По данным отчета компании SonicWall за 2023 год, общее количество атак с использованием вирусов-шифровальщиков выросло на 105% по сравнению с предыдущим годом. В среднем, каждая компания подвергается подобным атакам раз в 11 секунд. В третьем квартале 2024 года количество кибератак с применением вирусов-шифровальщиков в России увеличилось на 32% по сравнению с аналогичным периодом 2023 года.
В этой статье мы рассмотрим, как работают вирусы-шифровальщики, а главное – какие меры можно предпринять для защиты.
Как работают вирусы-шифровальщики?
Заражение
Вирусы-шифровальщики обычно распространяются через фишинговые письма, зараженные вложения или ссылки. Киберпреступники активно используют методы социальной инженерии, уязвимости в веб-приложениях и ошибки в конфигурации серверного ПО, которое не было своевременно обновлено. В некоторых случаях эксплуатируются скомпрометированные учётные данные или протоколы удалённого доступа, такие как RDP.
Попав на устройство, вирус начинает процесс шифрования, при этом иногда маскируясь под легитимное приложение, чтобы избежать обнаружения антивирусным ПО.
Шифрование
Программа сканирует систему на наличие определённых типов файлов (например, документы, изображения, архивы) и шифрует их с использованием сложных криптографических алгоритмов, таких как AES-256 или RSA. Зачастую вирус также удаляет или шифрует резервные копии, хранящиеся на локальных дисках, чтобы усложнить восстановление данных.
Требование выкупа
После завершения шифрования вирус оставляет сообщение с требованием выкупа за предоставление ключа для расшифровки. Обычно в криптовалюте, например, Bitcoin или Monero, чтобы скрыть следы транзакции. В некоторых случаях злоумышленники дополнительно угрожают опубликовать украденные данные, если выкуп не будет выплачен.
При этом особенно уязвимы компании малого и среднего бизнеса, а также организации в сферах строительства, туризма и розничной торговли. Злоумышленники выбирают их из-за недостаточной защищенности, ограниченных ресурсов на кибербезопасность и готовности платить выкуп для быстрого восстановления работы.
Средняя сумма выкупа за восстановление данных значительно возросла. Если в 2023 году она составляла около 130 млн рублей, то в 2024 году превысила 175 млн рублей, причем в 25% случаев злоумышленники требуют сумму выше $1 млн.
Расшифровка
Даже после оплаты выкупа нет гарантии, что файлы будут восстановлены. Некоторые злоумышленники могут исчезнуть без предоставления ключа, а в отдельных случаях ключ может оказаться недействительным. Кроме того, могут оставаться следы вредоносного ПО, что делает систему уязвимой для повторных атак. Это подчеркивает важность наличия надежных резервных копий и внедрения мер предотвращения атак.
Реальный случай из жизни
В сфере ИТ случаи атак вирусов-шифровальщиков стали привычной реальностью.
Мой первый опыт был в компании (сеть розничных магазинов), где обмены с базами 1С, были настроены по схеме РИБ. Когда прилетел шифровальщик, обнаружили его не сразу – сообщили сотрудники компании на третий день. К этому моменту, зашифровано было всё, включая резервные копии данных.
Директор компании негодовал. Проводил поиск виновных среди своих сотрудников. В компании при этом были жестко разделены доступы, с ограничением ролей сотрудников.
Ирония ситуации в том, что у самого директора компании были административные права во всех системах. При этом он любил делать заказы товаров на алиэкспресс. И читал без разбора все рассылки с почты, что и послужило первопричиной ситуации. Вирус добрался от 0 пациента, до всех мест, куда у пользователя были права.
С тех пор прошло более 5 лет. Все это время происходила постоянная гонка между теми, кто пишет вирусы, и кто разрабатывает антивирусное ПО.
Дальнейшие ситуации, с которыми приходилось сталкиваться, рождали новые меры защиты и предупреждения. Что в итоге вылилось в некий свод лучших практик, который позволит минимизировать риски.
Меры для защиты от вирусов-шифровальщиков
О чём стоит подумать в первую очередь:
- Резервное копирование данных (backup):
- “резервных копий много не бывает” и они должны храниться на разных источниках;
- копирование выполняется под отдельной учётной записью на изолированные носители/хранилища, куда нет доступа другим пользователям и сетям;
- носитель резервных копий не должен быть постоянно подключен к серверу и ПК, с которого делаются эти копии;
- периодически переносить данные на носитель, вне общей сети.
Это позволит быстрее восстановить данные в случае зашифровки какого-либо важного сегмента вашей инфраструктуры.
- Пользователи:
- обучать сотрудников распознавать фишинговые атаки и избегать подозрительных ссылок и вложений.
- Разработанная политика безопасности для рабочих мест, включающая правила использования электронной почты и интернета:
- сложные пароли (12 символов, буквы, цифры, спец. знаки, верхний и нижний регистр);
- подключение к ресурсам, через шифрованный канал, либо по сертификату;
- блокировка учетной записи пользователя, при многократно неверно введенном пароле;
- опциональная настройка 2-факторной авторизации;
- пользователи ограничены правами и не имеют прав администратора;
- для пользователя четко определены ресурсы, к которым разрешен доступ (файлы, каталоги, программы, внешние ресурсы) с обоснованием и официальным согласованием руководства;
- использование шаблонов должностей, которым добавлены группы с правами на заранее согласованные ресурсы;
- регулярное удаление устаревших и неиспользуемых учетных записей;
- для каждого сервиса, должна быть своя учетная запись, с минимально необходимым набором прав и без права локального входа;
- заранее согласуется белый список ПО, необходимого для работы;
- соблюдается политика ограниченного запуска (всё ПО, вне белого списка, запрещается для запуска).
Данные действия позволяют снизить риск взлома учетной записи (УЗ), и распространения вируса внутри структуры.
- Общие меры:
- регулярное обновление ПО (ОС, приложения, пакеты безопасности, прошивки);
- использование антивирусного ПО;
- регулярные регламентные работы по развитию инфраструктуры;
- фильтрация нежелательного трафика;
- настройка фаервола;
- системы мониторинга для критических сервисов.
- Сеть:
- использование демилитаризованной зоны (DMZ) с внешними подрядчиками;
- ограничение сегментов сети (VLAN);
- закрытие прямых доступов к сервисам (SSH, RDP, OpenVPN, и др.);
- смена стандартных портов;
- доступ в сеть по ACL листам;
- ограничение пула разрешенных IP, откуда возможен доступ в рабочую сеть;
- блокировку неудачных попыток авторизации;
- логирование всех устройств в единой среде (siem системы);
- средства быстрого анализа трафика;
- использование IDS/IPS.
Данные меры, позволят быстро обнаружить источник заражения и изолировать его заранее.
Также обезопасить или вовсе предотвратить появление вирусов в рабочей среде.
Вывод
Защита от вирусов-шифровальщиков требует комплексного подхода, включающего технические меры и обучение пользователей. Регулярное обновление систем, создание резервных копий и повышение осведомленности о киберугрозах помогут снизить риск атаки и минимизировать ее последствия.
