Программы-вымогатели — это все плохое, что есть в человечестве, превращенное в вредоносное ПО: злоба, жадность и случайная некомпетентность. Он шифрует ваши файлы и требует оплаты за ключ, который может даже не работать. Но при правильной стратегии резервного копирования ваши файлы могут пережить заражение.
Мы рекомендуем сделать это сегодня и избежать споров о том, стоит ли платить выкуп.
Оглавление
Что нужно знать о программах-вымогателях
Программы-вымогатели — это разновидность вредоносного ПО, которое блокирует доступ к вашему компьютеру, если вы не заплатите выкуп. Обычно он шифрует ваши файлы, чтобы заблокировать вас, и выкуп обычно осуществляется в криптовалюте. Программы-вымогатели обычно нацелены на корпоративные, корпоративные и государственные учреждения, но отдельные лица могут оказаться втянутыми в драку.
Программное обеспечение становится все более сложным, и все время появляются новые варианты. В то время как большинство преступников рассматривают атаку как транзакцию, некоторые авторы программ-вымогателей, похоже, упиваются трауром на жертв. В прошлом году мы узнали о ЗЕНИС, программа-вымогатель, которая намеренно удаляет резервные копии. А совсем недавно GermanWiper, который совсем не шифрует ваши файлы — он просто удаляет их и все равно требует выкупа. Несчастным жертвам, которые платят, нечего дешифровать, потому что их файлы пропали с самого начала.
И векторов атак больше, чем когда-либо.
«В настоящее время программы-вымогатели передаются с помощью различных механизмов, что усложняет обеспечение защиты конечных пользователей», — сказал Виктор Конгонти, главный информационный директор компании Proven Data, занимающейся кибербезопасностью. «Традиционно программы-вымогатели распространялись через кампании по электронной почте, в которых доверчивые пользователи загружали вредоносные ссылки». Но он также сказал: «Программы-вымогатели все чаще распространяются нетрадиционными способами».
Преступники теперь маскируют его в приложениях и неизвестном программном обеспечении. Или они передают его с помощью целевых фишинговых атак, в ходе которых нацелены на лиц в организации, которые с большей вероятностью будут переходить по подозрительным ссылкам.
Там джунгли!
Как защитить свои резервные копии от программ-вымогателей
Если ваша система заражена программой-вымогателем, вы можете либо заплатить выкуп и надеяться, что вернете свои файлы, либо не платить и попытаться восстановить свой компьютер из резервных копий. Первый вариант проблематичен по моральным, этическим, финансовым и логистическим причинам. Итак, вы можете принять меры прямо сейчас, чтобы безболезненно восстановиться после атаки вымогателя.
Начните с трех руководящих принципов резервного копирования:
Предположим, программа-вымогатель зашифрует или удалит все, к чему вы можете получить доступ с вашего ПК. Если вы выполняете резервное копирование на внутренний или внешний жесткий диск, который постоянно подключен к вашему компьютеру, или в облако, считайте эти файлы уже мертвыми. Они имеют значение только для более старомодных и обычных бедствий, таких как отказ жесткого диска. Нет ничего плохого в таком резервном копировании традиционных угроз, но это не должно быть вашей единственной линией защиты для защиты ваших данных.
Отключите резервную копию от сети. Надежным оружием против программ-вымогателей является использование носителя с резервной копией, который вы можете удалить, что означает, что он полностью отключен от вашего компьютера и Интернета. Например, если вы выполняете резервное копирование на внешний жесткий диск, подключайте его только во время регулярного запланированного резервного копирования, а затем сразу же отключайте его снова. «Очень важно, чтобы локальный диск не оставался подключенным к сети», — сказал Конгонти. «Это предотвратит шифрование резервных копий, если исполняемый файл программы-вымогателя загружен в сеть, а запоминающее устройство находится в автономном режиме вне процесса шифрования. Если диск подключен, программа-вымогатель теперь может получить доступ к этим резервным копиям, что сделает их бесполезными, поскольку они были зашифрованы вместе с другими файлами ». Да, это неудобно, и требуется дисциплина, чтобы подключить диск вручную и запустить резервное копирование. Но это особенно безопасная стратегия.
Положитесь на управление версиями. Даже если вы отключите внешний диск, нет гарантии, что он останется защищенным. Это связано с тем, что ваша система может быть уже заражена вредоносным ПО при выполнении резервного копирования. «Управление версиями — ключевая стратегия восстановления после атаки программ-вымогателей», — сказал Дрор Ливер, основатель компании по обеспечению безопасности. Коронет. Используйте инструмент резервного копирования, который сохраняет несколько версий ваших файлов с отметками времени. Затем, когда вы восстанавливаете свой компьютер, у вас должна быть возможность вернуться достаточно далеко, чтобы ваша резервная копия была создана до заражения.
Реализуйте практическую стратегию резервного копирования
Очевидно, что обычные решения для резервного копирования просто недостаточно надежны, чтобы защитить вас от атаки программ-вымогателей. Облачное хранилище — это не то же самое, что облачное резервное копирование, и, следовательно, все, что синхронизирует или отражает ваши данные, является тостом. Если вы хотите вернуть какие-либо файлы, вы не можете полагаться, например, на бесплатные версии Dropbox, OneDrive или Google Drive.
Но если вы платите за хранилище, все может быть немного иначе. Dropbox включает функцию Dropbox Rewind на платных уровнях. Dropbox Plus (2 ТБ хранилища) предоставляет вам 30-дневную историю ваших файлов, к которой вы можете вернуться в любое время. Dropbox Professional (3 ТБ) имеет 180-дневную историю версий.
OneDrive имеет собственную защиту от программ-вымогателей. Если OneDrive обнаруживает возможную активность программ-вымогателей, он уведомляет вас и просит вас проверить, внесли ли вы последние изменения в свои файлы. В противном случае Microsoft попытается помочь вам очистить жесткий диск и восстановить поврежденные файлы.
Поскольку у Google Drive и iCloud нет такой встроенной защиты, мы не рекомендуем полагаться на них, когда вымогатели представляют собой такой серьезный риск.
Кроме того, в большинстве онлайн-решений для резервного копирования используется управление версиями, поэтому с помощью таких сервисов, как Acronis, Carbonite и iDrive (среди прочих), вы можете вернуться к моментальному снимку жесткого диска, сделанному до того, как он был заражен.
«Компания Carbonite успешно восстановила более 12 600 клиентов после атаки программ-вымогателей после того, как позвонила в нашу службу поддержки», — сказал Норман Гуаданьо, старший вице-президент по маркетингу компании Carbonite.
Некоторые онлайн-сервисы даже используют средства защиты от программ-вымогателей. Например, у Acronis есть инструмент Active Protection, который ищет вредоносное поведение.
«Когда Active Protection обнаруживает что-то подозрительное, — сказал Джеймс Слаби, директор по киберзащите в Acronis, — как процесс, который переименовывает и затем шифрует группу файлов, он немедленно прекращает процесс».
Точно так же, как у космического корабля «Аполлон» было два независимых компьютера наведения, мы рекомендуем иметь как минимум два способа резервного копирования ваших данных. Вы можете объединить простое, легкое в доступе решение на основе синхронизации с достаточно надежным, чтобы его можно было восстановить после атаки программ-вымогателей.
Например, вы можете использовать традиционное облачное решение для резервного копирования, такое как Dropbox или OneDrive, чтобы ваши файлы всегда были доступны, если вы входите в систему с другого компьютера или терпите катастрофический сбой компьютера. Если у вас есть подписка и вы можете воспользоваться встроенной защитой от программ-вымогателей, это даже лучше!
Одновременно реализуйте безопасное решение для резервного копирования с управлением версиями. Вы можете использовать локальное приложение для резервного копирования, которое записывает на внешний диск, или онлайн-службу резервного копирования, которая хранит ваши файлы в облаке. Да, при использовании этих типов резервных копий получить доступ к файлам сложнее, но они могут выдержать атаку программ-вымогателей, чего не может сделать ваша повседневная синхронизация файлов.
Как избежать заражения
Хотя это один из самых вызывающих беспокойство видов программ-вымогателей, это просто еще один тип вредоносного ПО, о котором вам следует знать и к которому следует быть готовым.
Если у вас есть безопасное многоуровневое решение для резервного копирования, следуйте этим здравым правилам, чтобы свести к минимуму воздействие программ-вымогателей:
Используйте мощный антивирус с защитой от программ-вымогателей. Конечно, ни одно антивирусное приложение не является идеальным, но любая стратегия безопасности, в которой его нет, в корне нарушена.
Не нажимайте на то, чему не доверяете. Вы знаете, что делать. Не переходите по странным ссылкам на веб-сайтах, в электронной почте или текстовых сообщениях, а также по доставленным почтовым голубям. Кроме того, не используйте пиратское программное обеспечение и не посещайте незаконные веб-сайты. И оставайтесь на своих телефонных витринах, в которых действуют санкции, например в магазинах Google Play и Apple App.
Следите за тем, чтобы на вашем компьютере были установлены последние системные обновления.
Если вас ударили
Наконец, если вам когда-нибудь посчастливилось заразиться программой-вымогателем, надежда еще не потеряна. Есть два бесплатных инструмента, которые вы можете использовать для расшифровки файлов, не заплатив ни копейки выкупа:
Нет больше выкупа: Это совместный проект McAfee и несколько европейских правоохранительных организаций, у которых сейчас около 100 корпоративных и государственных партнеров. Если ваша система заражена, вы можете перейти на сайт No More Ransom и загрузить несколько образцов зашифрованных файлов со своего компьютера. Если это семейство программ-вымогателей взломано, вы можете разблокировать свой компьютер бесплатно.
ID Ransomware: Похоже на: No More Ransom, охранная компания Emsisoft создал этот проект. Вы также можете запросить, чтобы этот идентификатор уведомлял вас, если нерасшифровываемая атака станет дешифруемой в будущем.