Germany | Finland | Saint Petersburg | Drive

Вирус "шифровальщик" файлов

СМИ и многих ИТ/ИБ-специалисты уподобились цыплятам бегают и кричат: - “шифровальщик, вирус-шифровальщик”!!!

Остановитесь, же, и подумайте!

Методы вымогательства не новы.
Вымогательство с правильно осуществленным шифрованием вирусом данных не ново.

вирус шифровальщик

Я просто не могу понять почему данная тема так раздута. Вы просто должны принять меры информационной безопасности, которые должны были быть внедрены несколько лет назад. Следующий список мер нужен и должен быть внедрён в любой компании. Данные меры помогут не только от вымогателей шифровальщиков файлов но и от ряда другого вредоносного программного обеспечения.

Блокирование заражения шифровальщиком файлов

 

Принудительная блокируйте HTTP и HTTPS прокси серверов, а также загрузку и запуск .exe файлов.

Этот этап очень прост для осуществления в любой компании. Заблокируйте прямой доступ пользователям в интернет, только через прокси сервер.Сделайте исключения для определённый IP (Банк клиент) и откройте только необходимые порты для работы с данным программным обеспечением. Отделите пользователей в подсети. Это легко можно сделать с помощью Firewall.

Удалить или заблокировать письма с DOC, XLS или PDF вложения, которые содержат макросы. Если пользователю действительно нуждается в приложении с макросами то они могут запросить данную функцию в ИТ-департаменте. Если вы используете свободно программное обеспечение в качестве почтового сервера настройте на нём EXE фильтр.

шифровальщик файлов

 

Принудительный запрос перед запуском макросов в MS Office

 

MS Office позволяет настроить запрос перед началом выполнения макроса. Пользователь получает сообщение с соответствующим запросом. данную функция можно настроить через групповую политику либо с помощью центра развёртывания MS Office. Необходимо убедиться чтобы пользователь не мог самостоятельно отключить данную функцию так как шифровальщики файлов заражают рабочее место в основном через макросы.

Блокировка доступа к узлам Tor

 

Пользователям не нужен доступ к данным узлам. Данные узлы часто служат отправной точкой для дальнейшего инфицирования и шифрования данных. Если бизнес позволяет то используйте белые списки для доступа пользователей в Интернет, если нет то используйте чёрные списки. Уберите права администратора у всех пользователей.

Используйте блокираторы рекламы в браузерах, так как это один из источников инфицирования системы.

Обнаружение заражения вирусом-шифровальщиком

 вирус шифровальщик файлов

Используйте сетевые сниферы, системы обнаружения вторжения, они смогут предупредить Вас о подозрительных DNS запросах или доступ к TOR узлам. Если достаточно быстро реагировать на предупреждение системы, можно отключить компьютер от сети тем самым предупредив распространение вируса шифровальщика по сети. Запуск программного обеспечения, которое фиксирует нестандартное поведения программ поможет в обнаружении угрозы.

Пользуйтесь точками восстановления и резервными копиями системы. блокируйте трафик между пользователями внутренней сети, это поможет предотвратить распространения вируса шифровальщика.

описание шифровальщика

 

Что можно сделать?

 

Хранить всю рабочую информацию на сетевом ресурсе. Создать ярлык на рабочий стол вида \serverprofiles$%username%. не создавать сетевых дисков так как функционал современных шифровальщиков позволяет шифровать сетевые диски. Настроить политику запуска программ Applocker. И самое главное резервные копии

описание вируса шифровальщика

Что не нужно делать!

 

Не нужно связываться со злоумышленниками. В более чем 50% случаев после «оплаты» Вы нечего не получите, а только потеряете ресурсы.Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «деньги» получали свои файлы обратно путем дешифрования. Но,верить этим людям не стоит. Будь я вирусописателем, первое, что я сделал —  это распространил информацию «я заплатил и мне выслали дешифратор». За этими «счастливчиками» могут быть всё те же злоумышленники.

Расшифровка зашифрованной информации

 

Если случилось неизбежное и шифровальщик файлов добрался и до вашей фирмы не стоит опускать руки. В зависимости от шифровальщика и его версии существуют следующие возможности.

Фирма drweb занимается расшифровкой зашифрованной информации шифровальщиком.

 

вирус шифровальщик файлов

вирус шифровальщик

вирус шифровальщик

шифровальщик файлов

Бесплатная расшифровка https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru