Криптовируси – 11 полезни съвета
Криптовируси (Ransomware) – 11 полезни съвета
КАКВО ПРЕДСТАВЛЯВА ЗАПЛАХАТА
Ransomware представлява зловреден код, който може да заключи устройство или да криптира съхраняваната в него информация – и да поиска откуп от собственика за възстановяването на достъпа до данните.
Подобни зловредни кодове могат да имат и вграден таймер с краен срок за осъществяване на плащане – и ако той не бъде спазен, цената на откупа скача или информацията на устройството се унищожава напълно.
Сред най-разпространените и познати ransomware вируси за компютри са Reveton, CryptoLocker, CryptoWall и TeslaCrypt. При мобилните платформи това са Simplocker и LockerPin.
Инцидентите с този тип зловредни кодове растат неимоверно бързо и при крайните потребители, и при бизнеса. В момента най-интересни цели за кибер-престъпниците са платформите Windows и Android – но подобни вируси вече съществуват и за Mac OS X и Linux.
Ето и 11 популярни съвета, предоставени от партньорите ни в кибер сигурността – CENTIO. С тяхна помощ ще ограничите опасността от атаки:
1.Правете регулярни резервни копия на информацията
Криптовирусите могат (и най-вероятно ще) криптират информацията дори и на мрежови устройства, които са добавени като drive на засегнатите компютри, дори на USB памети и дискове. Поддържайте редовно ъпдейтвани резервни копия на данните си – по възможност на офлайн устройство, създадено специално за тази цел.
2.Ъпдейтвайте всеки софтуер – не само антивирусния
Авторите на зловредни кодове често разчитат на факта, че потребителите работят с остарели версии на различни софтуерни продукти, в които има добре известни уязвимости. Някои производители на софтуер публикуват ъпдейти редовно, но често се срещат и такива, които са извън всякакви графици – а обикновено те са най-критичните. Включете автоматичните ъпдейти, или следете уеб сайта на производителя.
3. Използвайте стандартен – а не администраторски акаунт
Използването на акаунт с права на администратор на системата винаги крие риск за сигурността. Причината – с такъв акаунт зловредният код може да стартира с права за инсталирането си и лесно да зарази системата. Направете така, че потребителите да имат ограничени права за акаунтите си при изпълняването на ежедневните си задачи, и да използват администраторски акаунт само при крайна необходимост.
4. Използвайте доказано решение за сигурност
Авторите на зловредни кодове често създават нови и нови варианти на вирусите, с което се опитват да избегнат засичането им. Затова е важно да имате няколко нива на защита. Дори и след като бъде инсталиран в системата, вирусът разчита на дистанционни инструкции, за да извърши зловредната си дейност. Ако попаднете на много, много нов вариант на
ransomware, който успее да преодолее защитния ви софтуер, той може все пак да бъде уловен при опит да се свърже с командния си сървър, за да получи инструкции как да криптира файловете. Новото поколение решения за защита на бизнеса на ESET идва с подобрена Система за защита срещу ботмрежи (Botnet Protection), която блокира опити за подобна комуникация.
5.Обърнете внимание на обучението на служителите си
Един от най-честите вектори на атака е социално инженерство – заблуждаването на служителите ви и прилъгването им да стартират заразени файлове. Най-често това става чрез изпращането на мними мейли, твърдящи, че съдържат документ за проследяване на пратка, неплатена фактура и др.
6.Показвайте разширенията на всички файлове
Ransomware обикновено идва под формата на приложен файл с разширение като “.PDF.EXE”. И разчита на факта, че Windows по подразбиране на показва разширенията на познатите типове файлове.
7.Филтрирайте executable прикачени файлове в мейли
Ако вашият Gateway Mail Scanner позволява филтрирането на файлове по разширението им, е добра идея да блокирате всички мейли, съдържащи “.EXE” файлове – и мейли, съдържащи две или повече разширения, завършващи с .EXE (например, филтър “*.*.EXE”). Препоръчваме филтрирането и на файлове със следните разширения: *.BAT, *.CMD, *.SCR and *.JS.
8.Забранете стартирането на файлове от директориите AppData/LocalAppData
Голяма част от ransomware вирусите се стартират от директориите AppData или Local AppData. Windows позволява създаването на правила, които забраняват подобно поведение. Такива правила могат да бъдат създадени и със софтуер за защита от проникване. Ако използвате софтуер, който по някаква причина се стартира от AppData вместо от стандартната директория Program Files, може той да бъде изключен от това правило, за да работи нормално.
9.Внимавайте за споделените директории
Не забравяйте, че веднъж попаднал в една система, ransomware може да се опита да криптира файловете и в споделените директории, до които компютърът има достъп. Всеки един служител трябва внимателно да преценi коя информация съхранява на споделени дискове, защото тази информация може да се окаже криптирана, дори и служителят да не е заразен пряко с криптовирус.
10. Забранете RDP
Ransomware често използва Remote Desktop Protocol (RDP) за достъп до заразените машини. Това е Windows инструмент, който позволява отдалечен достъп до компютър. Кибер-престъпниците също използват този метод за достъп, за да спират действието на различни видове софтуер за защита. Добра практика е забраняването на RDP – освен, ако не е абсолютно необходим. Инструкции как да стане това може да намерите в Microsoft Knowledge Base.
11.Използвайте System Restore
Ако използвате System Restore на заразен Windows компютър, има възможност да върнете системата в състоянието ѝ отпреди инфекцията – и дори да възстановите част от засегнатите файлове от техни shadow копия. За да стане това, обаче, трябва да действате бързо. Причината, е че по-новите варианти ransomware могат да изтриват тези shadow копия от System Restore. Този тип зловредни кодове ще започнат с изтриването веднага щом бъдат стартирани – а вие може дори да не разберете, че нещо се случва, тъй като .EXE файловете могат да бъдат стартирани без знанието на оператора, като част от работата на Windows.