Экономим 300$ или методология защиты от вирусов-"вымогателей"
РЕГИСТРИРУЙТЕСЬ НА ВЕБИНАР S&T,
Однако, в силу того, что многие специалисты считают «проблему 27.06» проверкой механизмов и действия подобных вирусов перед грядущей массовой атакой, считаем, что очень важной задачей является предотвратить или критически снизить возможность заражения/потерь в будущем (особенно учитывая нацеленность вируса на уничтожение данных).
Рекомендации по профилактике подобных «сюрпризов» таковы:
- Устанавливайте все обновления безопасности на операционную систему и офисное ПО.
- По возможности не используйте учетную запись администратора для повседневной работы.
- На рабочих станциях и межсетевых экранах закройте все неиспользуемые порты – политика по умолчанию «deny any any».
- Установите, регулярно обновляйте и используйте антивирусное ПО, а лучше комплексное средство безопасности на конечных точках – Endpoint Protection (контроль репутации файлов и интернет-сайтов, слежение за активностями приложений и изменениями в файловой системе, Next Generation Firewall, IPS, анти-Malware, а также «песочница», технологии эвристического анализа и блокирования угроз).
- Используйте анти-спам систему и запретите пересылку по электронной почте потенциально опасных вложений и исполняемых файлов (.exe, .ppt, .doc, .docx), по крайней мере, без анализа их репутации.
- Используйте унифицированные системы управления угрозами (UTM) для доступа пользователей в Интернет.
- Ограничивайте возможность использования USB-устройств.
- Отключите возможность автоматического исполнения кода (scripts) в офисных документах.
- Сегментируйте локальную сеть (VLAN, IP-сети) с контролем доступа между сегментами при помощи Next Generation Firewall.
- Проводите регулярное резервное копирование важных файлов (дифференциальное или инкрементальное). По возможности, резервное копирование критически важных редко изменяемых данных необходимо осуществлять на ленточные накопители.
- На основе SIEM-системы осуществляйте корреляцию и анализ событий безопасности в сети.
Выполнение даже нескольких рекомендаций может снизить ущерб от действий вируса, но только применение комплексных мер обеспечит действенную защиту
Профилактика всегда дешевле и проще, чем лечение!
Памятка о действиях или «скорая помощь» при знакомстве с вирусом Petya
Если у вас есть опасения, что ваши системы заражены, но вирус в них пока не проявился (например, были выключены), то существует возможность минимизировать ущерб – в случае первых признаков поражения системы (внезапная, беспричинная перезагрузка и автоматически начавшаяся проверка диcка (a la chkdisk)
необходимо немедленно выключить компьютер, не дожидаясь завершения сканирования и шифрования файлов – в этом случае есть шанс восстановить хранившуюся информацию. Для этого необходимо загрузиться с использованием Windows Live CD и скопировать на внешний носитель все файлы, которые содержали значимую информацию. Далее необходимо проверить внешний носитель на наличие вредоносного ПО, так как файлы были скопированы с зараженной системы. После этого осталось только убедиться, что информация в файлах осталась доступной и не поврежденной.
Если все же вирус успел начать вредоносные действия, тем не менее, можно попытаться восстановить систему (если вирус успел уничтожить только MBR-раздел диска). Для этого необходимо загрузиться с вашего дистрибутива Windows, выбрать вариант восстановления через командную строку и выполнить команду:
- Bootrec /fixmbr
Затем перезагрузите систему.
Если данный способ не помог – проделайте процедуру загрузки с дистрибутива Windows и введите следующие команды:
- Bootrec /fixmbr
- Bootrec /fixboot
- Bootrec /scanos
Если и после этой процедуры загрузить ОС не получается, необходимо загрузить систему с Live CD, на котором присутствует ПО для восстановления GPT разделов (например – TestDisk) и произвести восстановление разделов согласно инструкции по ссылке http://www.cgsecurity.org/wiki/TestDisk_Step_By_Step
Если же вирус успел выполнить вредоносные действия – шифрование файлов под видом псевдопроверки chkdisk – и зараженная система уже предлагает вам оплатить услуги по расшифровке,
то у вас есть два варианта действий:
- Смириться с потерей информации и полностью переустановить систему, уже установив необходимые защитные механизмы.
- Извлечь жесткий диск или выполнить блочное копирование дисков зараженных систем и сохранить до лучших времен. На случай, если в будущем будет обнаружен способ расшифровки файлов.