Экономим 300$ или методология защиты от вирусов-"вымогателей"

Вирусы семейства Ransomware, самыми известными из которых на сегодня стали WannaCry и, особенно, Petya, направлены, прежде всего, на уничтожение данных на Windows-based рабочих станциях и серверах. Довольно подробно описан процесс заражения и выполнения вредоносных действий вируса. Информация о том, что делать после того, как вредоносные действия выполнены, не настолько актуальна, поскольку в абсолютном большинстве систем вирус уже проявился.

РЕГИСТРИРУЙТЕСЬ НА ВЕБИНАР S&T, 

18 ИЮЛЯ, 11.00, 

ПО ЗАЩИТЕ ОТ RANSOMWARE

Однако, в силу того, что многие специалисты считают «проблему 27.06» проверкой механизмов и действия подобных вирусов перед грядущей массовой атакой, считаем, что очень важной задачей является предотвратить или критически снизить возможность заражения/потерь в будущем (особенно учитывая нацеленность вируса на уничтожение данных).

Рекомендации по профилактике подобных «сюрпризов» таковы:

  1. Устанавливайте все обновления безопасности на операционную систему и офисное ПО.
  2. По возможности не используйте учетную запись администратора для повседневной работы.
  3. На рабочих станциях и межсетевых экранах закройте все неиспользуемые порты – политика по умолчанию «deny any any».
  4. Установите, регулярно обновляйте и используйте антивирусное ПО, а лучше комплексное средство безопасности на конечных точках – Endpoint Protection (контроль репутации файлов и интернет-сайтов, слежение за активностями приложений и изменениями в файловой системе, Next Generation Firewall, IPS, анти-Malware, а также «песочница», технологии эвристического анализа и блокирования угроз).
  5. Используйте анти-спам систему и запретите пересылку по электронной почте потенциально опасных вложений и исполняемых файлов (.exe, .ppt, .doc, .docx), по крайней мере, без анализа их репутации.
  6. Используйте унифицированные системы управления угрозами (UTM) для доступа пользователей в Интернет.
  7. Ограничивайте возможность использования USB-устройств.
  8. Отключите возможность автоматического исполнения кода (scripts) в офисных документах.
  9. Сегментируйте локальную сеть (VLAN, IP-сети) с контролем доступа между сегментами при помощи Next Generation Firewall.
  10. Проводите регулярное резервное копирование важных файлов (дифференциальное или инкрементальное). По возможности, резервное копирование критически важных редко изменяемых данных необходимо осуществлять на ленточные накопители.
  11. На основе SIEM-системы осуществляйте корреляцию и анализ событий безопасности в сети.

Выполнение даже нескольких рекомендаций может снизить ущерб от действий вируса, но только применение комплексных мер обеспечит действенную защиту

Профилактика всегда дешевле и проще, чем лечение!

 Памятка о действиях или «скорая помощь» при знакомстве с вирусом Petya

Если у вас есть опасения, что ваши системы заражены, но вирус в них пока не проявился (например, были выключены), то существует возможность минимизировать ущерб – в случае первых признаков поражения системы (внезапная, беспричинная перезагрузка и автоматически начавшаяся проверка диcка (a la chkdisk)

11_02

необходимо немедленно выключить компьютер, не дожидаясь завершения сканирования и шифрования файлов – в этом случае есть шанс восстановить хранившуюся информацию. Для этого необходимо загрузиться с использованием Windows Live CD и скопировать на внешний носитель все файлы, которые содержали значимую информацию. Далее необходимо проверить внешний носитель на наличие вредоносного ПО, так как файлы были скопированы с зараженной системы. После этого осталось только убедиться, что информация в файлах осталась доступной и не поврежденной.

Если все же вирус успел начать вредоносные действия, тем не менее, можно попытаться восстановить систему (если вирус успел уничтожить только MBR-раздел диска). Для этого необходимо загрузиться с вашего дистрибутива Windows, выбрать вариант восстановления через командную строку и выполнить команду:

-       Bootrec /fixmbr

Затем перезагрузите систему.

Если данный способ не помог – проделайте процедуру загрузки с дистрибутива Windows и введите следующие команды:

-       Bootrec /fixmbr

-       Bootrec /fixboot

-       Bootrec /scanos

Если и после этой процедуры загрузить ОС не получается, необходимо загрузить систему с Live CD, на котором присутствует ПО для восстановления GPT разделов (например – TestDisk) и произвести восстановление разделов согласно инструкции по ссылке http://www.cgsecurity.org/wiki/TestDisk_Step_By_Step

Если же вирус успел выполнить вредоносные действия – шифрование файлов под видом псевдопроверки chkdisk – и зараженная система уже предлагает вам оплатить услуги по расшифровке,

22_01

то у вас есть два варианта действий:

  1. Смириться с потерей информации и полностью переустановить систему, уже установив необходимые защитные механизмы.
  2. Извлечь жесткий диск или выполнить блочное копирование дисков зараженных систем и сохранить до лучших времен. На случай, если в будущем будет обнаружен способ расшифровки файлов.

Комментарии: