Досвід кібератак в Україні та світі – як захиститися від вірусів-вимагачів та вірусів- руйнівників

Фото не є прямою ілюстрацією до матеріалу

Експерти надали рекомендації щодо захисту комп’ютерів від атак кібервимагачів та вірусів- винищувачів 27 червня 2017 року в Україні була зафіксована масштабна кібератака, що одночасно вразила та блокувала діяльність десятків, а згодом і тисяч державних і комерційних структур країни. За перші три доби до Національної поліції України звернулося понад 2 тисячі юридичних і фізичних осіб із повідомленнями щодо блокування роботи комп’ютерної техніки в результаті розповсюдження вірусу. З офіційними заявами, станом на 30 червня, до поліції звернулися 309 організацій приватного сектору та 111 організацій державного сектору країни 1 . Хакерська атака здійснювалася з використанням злодіями шкідливої програми-руйнівника під назвою Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya). Особливість дії вірусу полягає в ураженні комп’ютерів і серверів під керуванням ОС Microsoft Windows та передбачає перезапис інформації на жорстких дисках.

У результаті зараження комп’ютерного обладнання вірусом з’являлося повідомлення від кіберзлодіїв з пропозицією сплатити «викуп» за розблокування уражених даних (придбання ключа дешифрування) у розмірі 300 доларів у цифровий валюті – біткоїни. Проте, експерти наголошують, що шкідливе програмне забезпечення (ПЗ) Diskcoder.C не є «шифрувальником» та не належить до категорії «ransomware» (програм-вимагачів). Таким чином, пошкоджені дані неможливо «розшифрувати» та відновити. Є лише можливість відновити інші файли, які не потрапили під дію Diskcoder.C. Ключова мета програми-руйнівника полягала у виведенні комп’ютерного обладнання з ладу та блокуванні роботи компаній. Тож Diskcoder.C є наочним прикладом того, що платити викуп злодіям у жодному разі не можна, Потрапляння до кіберзлодія «на гачок» може обернутися не лише втратою файлів, а й втратою коштів.

Наразі експертами встановлено, що ураження інформаційних систем українських компаній переважно відбувалося через оновлення програмного забезпечення «M.E.Doc» 2 , призначеного для звітності та документообігу. За отриманими кіберполіцією даними, які підтверджено правоохоронними органами іноземних держав та міжнародними компаніями, що здійснюють діяльність у галузі інформаційної безпеки, зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення 3.

Спеціалісти зазначають, що атака Diskcoder.C, розпочата 27 червня, мала попередників. Початок системних нападів на «українські комп'ютери» – це перші атаки, які були скоєні у березні-квітні 2017 року (коли відбувалося як зараження комп'ютерів вірусом-шифрувальником за допомогою листів нібито від

Державної податкової служби або від банку). Фахівці відзначають низку схожих ознак, які пов'язують весняні атаки, атаку Diskcoder.C, а також кібернапади на об'єкти критичної інфраструктури в Україні, вчинені за останні декілька років.

З кожним роком питання безпеки даних стає дедалі вагомішим як для організацій різних масштабів та галузей, так і для кожного окремого користувача. Експерти Української міжбанківської Асоціації членів платіжних систем ЄМА наголошують на важиливості донесення інформації щодо необхідності вживання превентивних заходів та наслідків сплати «викупу» хакерам-нападникам, беручи до уваги досвід останніх масових кібератак в Україні та світі, що пов’язані із застосуванням злодіями вірусів-руйнівників і вірусів-вимагачів.

Для захисту комп’ютерного обладнання від програм-винищувачів (зокрема шкідливого ПЗ Diskcoder.C) фахівці радять:

1. Усе те, що може бути причетним до фази ініціації атаки вірусом (зазвичай це: сервер/ПК, «M.E.Doc», контролер домену) необхідно відключити, зробити копії жорстких дисків, перевстановити. До цього підключатися до Інтернету та локальної мережі не можна.

2. Змінити свої паролі до адміністративних облікових записів на комп’ютерах та файерволах (під час формування паролю використовуйте щонайменш: 10 cимволів, 2 великі літери, 2 малі літери, 2 цифри, 2 символи. Не слід використовувати звичайні слова із словника).

3. Змінити паролі до електронної пошти та електронні цифрові підписи, у зв’язку з тим, що ці дані могли бути скомпрометовані.

4. Cкористайтеся рекомендаціями щодо поновлення доступу до враженої вірусом операційної системи, які наведені на сайті Департаменту кіберполіції Національної поліції України.

Наразі віруси-руйнівники та програми-вимагачі є проблемою міжнародного масштабу, яка потребує невідкладного вирішення. За результатами першого кварталу 2017 року 6 з 10 шкідливих ПЗ складали саме віруси-вимагачі 4 . За даними спеціалістів «Лабораторії Касперського», кожні 40 секунд комерційні та державні установи по всьому світу зазнають атак вірусами-вимагачами, при цьому індивідуальні атаки відбуваються кожні 10 секунд 5 . Відповідно до прогнозів дослідлідницької компаніїї Cybersecurity Ventures, очікується, що у 2017 році глобальні втрати у результаті дій кібервимагачів перевищуватимуть 5 млрд. доларів, порівняно із сумою збитків у розмірі 325 млн. доларів у 2015 році.

Серед загальних рекомендацій щодо захисту даних на комп’ютері від вірусів-руйнівників та вірусів-вимагачів:

1. Установити оновлення ОС Windows MS17-010.

2. Відключити застарілу версію мережевого протоколу (Server Message Block) – SMB1.

3. Слід уважно ставитися до всієї електронної кореспонденції: не слід завантажувати та відкривати додатки й переходити за посиланнями у листах, які надіслані з невідомих адрес або виглядають підозріло (наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо), а також у листах з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів (архівів, виконуваних файлів тощо). У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту, – слід зв’язатися з відправником та підтвердити факт відправки листа.

4. Заблокувати можливість відкриття JS файлів, отриманих електронною поштою.

5. Завжди створюйте резервні копії файлів на окремих носіях або в хмарному сховищі. Вимикайте зв'язок із хмарним сховищем, щойно завантажили туди дані.

6. Включіть у налаштуваннях Windows на комп'ютері функцію «Показувати розширення файлів»: це допоможе помітити потенційно шкідливі файли (файли з розширенням «.exe», «.vbs» і «.scr» – потенційно небезпечні!). Шахраї можуть використовувати кілька розширень, щоб замаскувати шкідливий файл під нібито відео, фото чи документ (наприклад, hot-chics.avi.exe або doc.scr).

7. Якщо на вашому комп'ютері запущено шкідливий процес, негайно вимкніть зв'язок з мережею Інтернет та локальною мережею. Це може зупинити процес зараження вірусом.

У разі, якщо шкідливе програмне забезпечення все ж заблокувало комп’ютер, спеціалісти категорично не рекомендують реагувати на повідомлення з вимогою сплати викупу для повернення доступу до файлів.

«Сплачувати викуп нападникам у жодному разі не можна. По-перше, немає жодних гарантій, що доступ до комп’ютера буде відновлено, а файли врятовані. По-друге, здійснення будь-якого платежу – це вклад до "бюджету" шахрая та фінансування його подальшої кіберзлочинної діяльності», – зазначає Олексій Красюк, заступник директора з операційних питань та інформаційної безпеки Української міжбанківської Асоціації членів платіжних систем ЄМА.

Також експерти наголошують, що сьогодні у кожного українця є можливість безкоштовно скористатися інструментом для дешифрування заражених вірусом файлів на своєму комп’ютері чи мобільному пристрої, якщо він був атакований шкідливим шифрувальним програмним забезпеченням (вірусом-вимагачем). У квітні 2017 року, у рамках глобальної ініціативи No More Ransom, метою якої є боротьба з кібервимаганням, було запущено Інтернет-сторінку українською мовою, де доступні спеціальні ключі та додатки для повернення доступу до «інфікованих» вірусом файлів. Доступ громадян до такого функціоналу став можливим завдяки долученню до глобальної ініціативи з протидії кібервимагачам Департаменту кіберполіції України та Асоціації ЄМА.

Міжнародний проект No More Ransom, який був запущений у липні 2016 року спільними зусиллями Європолу, поліції Нідерландів, «Лабораторії Касперського» та компанії Intel Security, наразі підтримали вже 89 організацій. Зараз на сайті проекту No More Ransom доступні вже 50 ефективних інструментів для дешифрування даних. Крім української, платформа www.nomoreransom.org працює ще на 14 різних мовах.

За рік роботи проекту за допомогою розроблених спеціалістами інструментів уже понад 29 000 користувачів по всьому світу змогли розшифрувати заражені вірусом дані без платежів нападникам.

У випадку, коли роботу комп’ютера було заблоковано вимагацьким ПЗ або ПЗ-руйнівником, необхідно негайно повідомити про інцидент у кіберполіцію, найпростіший спосіб – через сайт Департаменту кіберполіції Національної поліції України.

Автор
( 0 оцінок )
Актуальність
( 0 оцінок )
Виклад
( 0 оцінок )
17 переглядів в листопаді

Відгуки та коментарі

Написати відгук
Написати коментар

Будь ласка, залиште конструктивний, обґрунтований та інформативний текст, що стосується якості роботи компанії, на прикладі особистого досвіду.

Не дозволяється: використання ненормативної лексики, погроз або образи; пряме порівняння з іншими конкуруючими компаніями; розміщення посилань на сторонні ресурси Інтернету; реклама та самореклама, заяви, пов'язані з діяльністю компанії.

Введіть email:
Ваш e-mail не відображатиметься на сайті
або Авторизуйтесь , для написання відгуку
Автор
0/12
Актуальність
0/12
Виклад
0/12
Відгук:
Завантажити фото:
Вибрати