Защита от программ вымогателей. Программа-вымогатель- что это такое и почему необходимо быть осторожным? Что делать, если произошло заражение

Программа-вымогатель - вредоносное программное обеспечение, которое шифрует важные файлы на вашем ПК, чтобы сделать их недоступными, и угрожает опубликовать или удалить их, если не будет выплачена определенная денежная сумма (выкуп). Но даже после выплаты выкупа нет никаких гарантий, что вы сможете восстановить свои файлы.

Что такое защита от программ-вымогателей?

защищает ваши личные фотографии, документы и другие файлы от изменения, удаления и шифрования программами-вымогателями. Эта функция сканирует и автоматически защищает папки, которые могут содержать личные данные, а также позволяет указать вручную, какие папки вы хотите защитить от ненадежных приложений. Кроме того, можно указать, каким приложениям разрешено изменять файлы в ваших папках, а какие приложения следует всегда блокировать.

Где взять защиту от программ-вымогателей?

Функция Экран от программ-вымогателей включена в последнюю версию Avast Premier и Avast Internet Security по умолчанию. Чтобы получить доступ к этой функции, откройте интерфейс пользователя Avast и выберите Защита ▸ Экран от программ-вымогателей .

Если защита от программ-вымогателей не отображается в меню Avast Защита , убедитесь, что вы используете последнюю версию Avast Premier или Avast Internet Security . Чтобы обновить программу Avast, перейдите в Настройки ▸ Обновить и щелкните Обновить в разделе Программа .

Как управлять защитой от программ-вымогателей?

Вы можете указать, как функция Экран от программ-вымогателей должна реагировать на попытки доступа к файлам в ваших защищенных папках.

Выполните следующие действия:

1. Откройте интерфейс пользователя Avast .
2. Выберите Защита ▸ Экран от программ-вымогателей .
3. Щелкните Подробнее в нижней части экрана защиты от программ-вымогателей и выберите один из перечисленных ниже режимов:

Какие файлы и папки находятся под защитой от программ-вымогателей?

Экран от программ-вымогателей автоматически защищает папки, в которых вы можете хранить личные данные. Чтобы добавить другую папку в список защищенных вручную, выполните следующие действия:

1. Откройте интерфейс пользователя Avast .
2. Выберите Защита ▸ Экран от программ-вымогателей .
3. Щелкните плитку Добавить папку , а затем выберите папку и щелкните OK .

Чтобы удалить папку, щелкните значок корзины, а затем - Прекратить защиту . Чтобы указать типы файлов, которые следует защитить в каждой из папок, щелкните пункт Изменить типы защищенных файлов . По умолчанию выбраны все типы файлов из списка. Чтобы отменить выбор, снимите флажок рядом с типом файла.

Как разрешить или запретить определенным приложениям изменять файлы в защищенных папках?

Вы можете указать, каким приложениям защита от программ-вымогателей будет давать доступ, а какие будут заблокированы. Выполните следующие действия:

1. Откройте интерфейс пользователя Avast .
2. Выберите Защита ▸ Экран от программ-вымогателей .
3. Щелкните Блокированные и разрешенные приложения .
4. Выберите пункт Блокировать приложение или Добавить разрешенное приложение , укажите приложение и щелкните пункт Открыть .

Приложение отобразится в соответствующем списке.

• Avast Premier 17.x
• Avast Internet Security 17.x

• Microsoft Windows 10 Home / Pro / Enterprise / Education - 32- или 64-разрядная версия
• Microsoft Windows 8.1 / Pro / Enterprise - 32- или 64-разрядная версия
• Microsoft Windows 8 / Pro / Enterprise - 32- или 64-разрядная версия
• Microsoft Windows 7 Home Basic / Home Premium / Professional / Enterprise / Ultimate - SP 1, 32- или 64-разрядная версия
• Microsoft Windows Vista Home Basic / Home Premium / Business / Enterprise / Ultimate - SP 2, 32- или 64-разрядная версия
• Microsoft Windows XP Home / Professional / Media Center Edition - SP 3, 32-разрядная версия

Программа-вымогатель — это тип вредоносного ПО, который предотвращает частичный или полный доступ к компьютеру или файлам пользователя и требует выкуп за доступ к ним снова.

Различные типы программ-вымогателей

Существуют различные типы программ-вымогателей в настоящий момент в зависимости от того, насколько серьезно они влияют на компьютер. Некоторые блокируют пользователям доступ к системе, как правило, блокируя экран. Другой тип вымогателей прерывает работу приложений, таких как программное обеспечение безопасности и веб-браузеры. Последний тип, наиболее распространенный, шифрует персональные файлы пользователя как документы и изображения, предотвращая доступ к ним, только выкуп выплачен в обмен на ключ дешифрования. Этот тип вымогателей также известен как Cryptolocker.

Атакующие программ-вымогателей блокируют ПК жертв, чтобы получить выкуп.

Цель этих атак состоит в том, чтобы заставить пользователя заплатить выкуп, если жертва хочет восстановить зараженный компьютер или файлы. Выкуп исходит от нескольких долларов, выплачиваемых через премиальные СМС, до нескольких сотен через новую цифровую валюту. Атакующие ищут беспричинные методы для получения выкупа. Последние атаки вирусов-вымогателей начали использовать биткойн в качестве валюты выкупа, как это случилось с , который потребовал биткойн на 300-600 долларов по разным данным в обмен на ключ дешифрования для восстановления зашифрованных файлов.

Однако важно отметить, что во многих случаях выплата выкупа не гарантирует восстановление файлов или доступ к системе.

Распространенные способы заражения программ-вымогателей

Программы-вымогатели распространяются по-разным способам. Наиболее распространенный способ — с помощью взломанных сайтов или спам-писем. Содержание этих веб-сайтов или электронных писем обычно утверждает, что пользователь выиграл приз или предлагает бесплатный доступ к платному контенту, например музыку или фильмы. Пользователь нажимает на предоставленную ссылку и загружает вредоносное ПО или открывает вложение электронной почты. Другой распространенный способ — троянский конь или полезная нагрузка любого другого вредоносного ПО.

Как защитить себя от программ-вымогателей?

Как правило, наилучшей защитой является осторожность. Вы можете следовать некоторым рекомендациям, чтобы свести к минимуму риск стать жертвой такой атаки.

Убедитесь, что сообщение отправлено от доверенного лица, которому вы доверяете, и проявите особую осторожность с вложением.Не открывайте файлы, загруженные с недоверенных сайтов.

Обновите свою систему компьютера до последней вирсии.Ведь программа-вымогатель может заразить вас, используя существующие уязвимости системы, поэтому очень важно обновить до защищенной последной системы безопасности.

Убедитесь, что на вашем компьютере установлен антивирус, и держите его в актуальном состоянии

При использовании чужого USB на вашем компьютере не забудьте выполнить антивирусную проверку.

Подводя итог, программа-вымогатель является все более распространенным вредоносным ПО, которое может полностью блокировать доступ к вашему компьютеру или файлам. Регулярная резервная копия файлов может помочь свести к минимуму последствия в случае атаки. Быть осторожным при открытии электронных писем или ссылок из ненадежных источников и наличие обновленного антивируса может помочь вам не стать жертвой этой аферы.

Если вы следите за новостями из мира информационной безопасности, то наверняка слышали о множестве недавних атак с помощью программ-вымогателей. Всплеск подобных атак на компании и частных лиц не на шутку взволновал многих. И это логично, так как программы-вымогатели - опасная и неприятная угроза. К счастью, тщательно предпринимаемые меры предосторожности позволяют существенно уменьшить риск инфицирования или его воздействие в случае, если атака оказывается успешной.

ЧТО ТАКОЕ ПРОГРАММЫ-ВЫМОГАТЕЛИ?

Программы-вымогатели - это разновидность зловредного ПО, заражающего устройства, сети и ЦОДы. В результате ими становится невозможно пользоваться до тех пор, как пользователь или организация не заплатит выкуп. После этого блокировка снимается. Программы-вымогатели известны как минимум с 1989 года, когда появился троян “PC Cyborg”, шифровавший имена файлов на жестком диске и требовавший $189 за снятие блокировки. За прошедшее с той поры время атаки программ-вымогателей стали намного более изощренными, нацеленными и прибыльными.

Общий эффект от программ-вымогателей сложно оценить, поскольку многие компании просто соглашаются заплатить - подход, который работает далеко не всегда. Тем не менее, в отчете по кампании программы-вымогателя Cryptowall v3, подготовленном в октябре 2015 года организацией Cyber Threat Alliance, указано, что стоимость той единственной атаки составила $325 миллионов! ()

Программа-вымогатель, как правило, работает одним из следующих способов. Вымогатели-шифровальщики могут заражать операционную систему таким образом, что устройство больше не сможет загружаться. Другие вымогатели будут зашифровывать диски, наборы файлов или их имена. В некоторых версиях этого зловредного ПО встроен таймер, и через некоторое время начинается удаление файлов, длящееся до тех пор, как будет заплачен выкуп. Все версии программ-вымогателей требуют уплат выкупа для снятия блокировки, шифрования и т.д.

31 марта 2016 такие организации как U.S. Cyber Emergency Response Team и Canadian Cyber Incident Response Centre выпустили совместное предупреждение о программе-вымогателе, успевшей заразить системы в нескольких лечебных учреждениях (см. https://www.us-cert.gov/ncas/alerts/TA16-091A).

Согласно предупреждению, инфицированные пользователи получали сообщение, появлявшееся на устройстве и гласившее примерно следующее:

• “Ваш компьютер инфицирован вирусом. Нажмите здесь для решения проблемы.”
• “Ваш компьютер использовался для посещения сайтов с нелегальным контентом. Для разблокирования компьютера вы должны заплатить штраф в размере $100.”
• “Все файлы на вашем устройстве зашифрованы. Вы должны уплатить выкуп в течение 72 часов, для того, чтобы получить доступ к данным”

В некоторых случаях демонстрировались изображения унизительного или порнографического характера, чтобы мотивировать пользователей как можно быстрее очистить систему. И в любом случае устройство отключалось, критически важные данные становились недоступными, продуктивность нарушалась, а бизнес-процессы останавливались.

КАК ЗАРАЖАЮТСЯ КОМПЬЮТЕРЫ?

Программы-вымогатели попадают в устройства различными способами, но самым обычным является инфицированный файл, прикрепленный к email. К примеру, несколько дней назад я получил письмо, которое утверждало, что пришло от моего банка. В нем был правильный лого, ссылки на сайт банка, мое имя. В письме говорилось, что банк обнаружил подозрительную активность с моим счетом, и что мне нужно установить приложенный файл для того, чтобы подтвердить свою личность. Все очень походило на реальную проблему со счетом, но таковой не являлось. Это была фишинговая атака.

Выдало атаку то, разумеется, что никакой банк никогда не пришлет вам файл с просьбой установить его - особенно для того, чтобы подтвердить свою личность. И, разумеется, приложенный файл был заражен программой-вымогателем, который попал бы в мою систему, если бы я на него кликнул.

Но приложения к электронным письмам не являются единственным способом инфицирования. Фоновая загрузка является еще одним вариантом. Пользователь посещает зараженный сайт, и зловредное ПО загружается и устанавливается без ведома посетителя. Программы-вымогатели также распространяются через социальные сети, браузерные сервисы мгновенных сообщений и т.д. В последнее время уязвимые веб-серверы эксплуатировались как точки входа для получения доступа в сеть организаций.

КАК УБЕРЕЧЬСЯ?

Вот 10 вещей которые нужно делать для того, чтобы защитить себя и свою организацию от программ-вымогателей.

1. Разработайте план резервного копирования и восстановления. Регулярно делайте резервные копии системы и храните их в режиме офлайн на отдельном устройстве.
2. Используйте профессиональные инструменты обеспечения безопасности электронной почты и веб-серфинга для анализа приложений к письмам, посещаемых вебсайтов, а также файлов на предмет наличия зловредного ПО. Эти инструменты могут блокировать потенциально скомпрометированные рекламы, а также сайты, которые не связаны с бизнес-активностью. Эти инструменты должны включать функциональность «песочницы», благодаря которой новые или нераспознанные файлы могут быть выполнены и проанализированы в безопасной среде.
3. Обновляйте и устанавливайте «заплатки» для своих операционных систем, устройств и ПО.
4. Убедитесь в том, что антивирус на устройстве и в сети, а также приложения для борьбы со зловредным ПО используют новейшие обновления.
5. Везде где возможно используйте «белые списки» приложений, которые предотвращают загрузку и запуск неавторизованных приложений.
6. Разделите сеть на зоны безопасности таким образом, чтобы вирус из одной зоны не мог легко попасть в другую.
7. Установите и используйте разрешения и привилегии, так чтобы у минимального количества пользователей была возможность заразить критически важные для бизнеса приложения, данные или сервисы.
8. Установите и используйте политику безопасности BYOD, благодаря которой могут проверяться и блокироваться устройства, не соответствующие вашим стандартам безопасности (нет клиентского приложения, файлы антивируса устарели, ОС не хватает критически важных «заплаток» и т.д.).
9. Установите инструменты анализа, которые позволят определить: 1) откуда пришло заражение, 2) как долго вирус был в вашей системе, 3) удалось ли полностью устранить его с устройства, 4) все ли сделано для того, чтобы он не вернулся.
10. ОЧЕНЬ ВАЖНО: не рассчитывайте, что ваши сотрудники обеспечат безопасность. Безусловно, важно повышать уровень информированности ваших сотрудников, чтобы они перестали загружать файлы, открывать приложения к электронным письмам или ходить по непроверенным ссылкам. Но люди все равно останутся самым слабым звеном, и ваш план безопасности должен это учитывать.

И вот почему: для многих из ваших сотрудников открытие приложений к почте и поиск в интернете является частью работы. Поэтому им сложно поддерживать необходимый уровень скептицизма. Во-вторых, фишинговые атаки стали очень убедительными. Нацеленная фишинговая атака использует данные, доступные онлайн и профили в социальных сетях для индивидуализации подхода. В-третьих, это в природе человека - открывать неожиданные инвойсы и предупреждающие сообщения от своего банка. Наконец, одно за другим исследования утверждают, что по мнению пользователей безопасность - это чья угодно работа, только не их.

ЧТО ДЕЛАТЬ, ЕСЛИ ПРОИЗОШЛО ЗАРАЖЕНИЕ?

Будем надеяться, что у вас есть свежая резервная копия, и вы можете стереть всю информацию с устройства, загрузив чистую резервную копию. Есть еще несколько вещей, которые желательно учитывать или проделывать в такой ситуации:

1. Сообщите о преступлении

• Недолгий поиск в интернете приведет вас на сайт, где вы сможете сообщить о киберпреступлении в вашей стране или регионе.
• В Европе вы можете найти соответствующий сайт по этой ссылке. (https://www.europol.europa.eu/content/report-cybercrime)

2. Выкуп не дает никаких гарантий

Выплата выкупа не гарантирует, что зашифрованные файлы опять станут вам доступны. Она гарантирует лишь, что преступник получит деньги жертвы, и, в некоторых случаях - банковскую информацию. Кроме того, расшифровка файлов не означает, что зловредное ПО устранено с устройства.

3. Свяжитесь с экспертами

В штате многих вендоров операционных систем, ПО и приложений безопасности есть эксперты, которые могут порекомендовать действия в случае заражения устройства программой-вымогателем. Кроме того, есть независимые эксперты, которые могут вам помочь.

4. Имейте план B

Что вы будете делать, если ваши компьютерные системы или сеть станут недоступны? Есть ли у вас аварийный план на этот случай? Сможете ли вы обеспечить непрерывность работы, пусть и в ограниченном виде, пока будут идти работы по восстановлению? Вы знаете, сколько вашей организации будет стоить час простоя работы? Отражен ли этот показатель в вашем бюджете ИТ-безопасности? Эта информация должна быть обязательно отражена в вашей политике информационной безопасности.

ВЫВОДЫ

Киберпреступность - это целая отрасль с миллиардным оборотом. Как и большинство бизнесменов, киберпреступники очень мотивированы к тому, чтобы находить пути заработка. Они используют различные уловки, вымогательство, нападения, угрозы и т.д. для того, чтобы получить доступ к вашим критически важным данным и ресурсам.

Программы-вымогатели не являются чем-то новым. Но недавние «достижения» в их эффективности и средствах доставки стали одним из важнейших трендов в непрекращающемся поиске новых и неожиданных путей эксплуатации частных лиц и организаций, ведущих деятельность онлайн.

Сегодня в большей степени, чем когда-либо, безопасность перестала быть чем-то добавочным к вашему бизнесу. Это - неотъемлемая часть вашего бизнеса. Убедитесь в том, что вы сотрудничаете с экспертами, которые понимают: безопасность - это не просто какое-то устройство или приложение. Безопасность - это система интегрированных и взаимодействующих технологий, соединенных с эффективной политикой безопасности и сопровождаемая соблюдением принципов жизненного цикла в процессах подготовки, защиты, обнаружения, реагирования и обучения.

Решения в области безопасности должны обмениваться информацией об угрозах для эффективного обнаружения и реагирования на угрозы где угодно в вашей распределенной ИТ-среде. Эти решения должны быть бесшовно интегрированы в вашу сетевую среду, так чтобы защищать ее, как бы она ни развивалась или эволюционировала. Они должны быть способны динамически адаптироваться по мере обнаружения новых угроз. И они никогда не должны мешать основному бизнесу.

Исследование, в котором определены главные киберугрозы 2017 года, провела компания Acronis, занимающаяся защитой и хранением данных в гибридных облаках.

Большинство участников опроса признались, что ничего не слышали о программах-вымогателях, но считают свои личные данные (документы, фотографии, видео, музыку) очень ценными. Их восстановление после атаки подобного вредоносного ПО может обойтись в приличную сумму - более 500 долларов.

Также выяснилось, что свыше четверти опрошенных никогда не делали резервных копий. А более 34% заявили, что уже теряли .

Программы-вымогатели работают просто. Они попадают на устройство (например, через электронную почту) и зашифровывают данные пользователя. После этого хакеры требуют выкуп.

Злоумышленники атакуют не только крупные компании или правительственные структуры, но и простых людей, ведь они тоже готовы платить.

Вот только один пример работы программы-вымогателя под названием Osiris. Этот троян легко обходит Windows Defender, атакует резервные копии данных и отказывается запускаться в виртуальной среде.

В начале года Osiris заразил компьютеры департамента полиции американского города Кокрелл Хилл. В итоге были утеряны данные криминальных дел (улики, фото, видеозаписи) за восемь последних лет. Защита не смогла предотвратить безвозвратную потерю информации.

Что нас ждёт в ближайшее время?

• Эпидемия программ-вымогателей будет разрастаться в геометрической прогрессии. В 2016 году хакеры заработали с их помощью около 1 миллиарда долларов, в 2017 году эта сумма может увеличиться в пять раз.
• Вырастет количество «штаммов» этого вредоносного ПО.
• Увеличится число распространителей программ-вымогателей. Один из принципов работы вируса - копирование модели SaaS (software as a service), для чего привлекается огромное количество мелких распространителей. Их единственная цель - заражать целевые компьютеры. Чтобы это делать, не нужно специальных технических знаний. Достаточно иметь свой компьютер и быть готовым преступить закон.
• Технологии распространения программ-вымогателей станут ещё более хитрыми. В конце 2016 года выяснилась одна из самых изобретательных на сегодняшний день схем распространения. Пользователю обещали дать бесплатный ключ расшифровки, если тот заразит вредоносным ПО двух других пользователей. Предполагается, что эта идея была взяла из известного фильма ужасов «Звонок».
• Наиболее распространённым видом атак останутся различные схемы . Но они будут ещё более персонализированными и эффективными. Взамен блокировщиков программы-вымогатели будут чаще применять шифрователи.
• Появятся новые методы давления на жертв. Технологии позволяют увеличивать размер выкупа и каждый час удалять файлы, пока пользователь не заплатит. По прогнозам, программы-вымогатели начнут угрожать распространением и публикацией конфиденциальных и компрометирующих данных, если жертва сразу не заплатит выкуп.
• Всё меньше поставщиков защитного ПО будут предлагать бесплатные дешифраторы. Разработчики программ-вымогателей научатся использовать самые надёжные схемы шифрования.
• Новые версии вредоносного ПО смогут работать в облаках и начнут атаковать, в том числе и облачные хранилища данных. Пользователям придётся искать облачных провайдеров, которые смогут защитить их данные от таких атак.

Что делать?

Правила по-прежнему просты:

1. Создавайте резервные копии ваших данных. Выбирайте ПО для резервного копирования с локальным и облачным хранилищем и активной защитой от программ-вымогателей.
2. Регулярно обновляйте операционную систему и программное обеспечение. Благодаря этому вы не пострадаете от уже известных уязвимостей.
3. Не читая, удаляйте подозрительные письма, ссылки и приложения. Вредоносное ПО проникает в систему, когда пользователь открывает заражённое приложение к письму или переходит по ссылке на вредоносный сайт.
4. Установите антивирусное ПО на компьютер, включите его автоматическое обновление.

Или другой программы-вымогателя, Вы можете воспользоваться загрузочным диском или флешкой для полного удаления угрозы. В этой статье мы подробно разберем, как это сделать.