Рекомендации по защите от программ-шифровальщиков

Программы-шифровальщики

Программы-шифровальщики - вредоносное программное обеспечение, которое вносит несанкционированные изменения в пользовательские файлы или блокирует нормальную работу компьютера. Все процессы проходят в фоновом режиме, чтобы пользователь не смог обнаружить, что происходит. Закончив шифрование, программа-шифровальщик выводит на экран сообщение с требованиями выкупа для восстановления исходного состояния файлов или работы компьютера.

Основные пути распространения программ-шифровальщиков:

˗ электронная почта;

˗ протокол удалённого рабочего стола RDP (Remote Desktop Protocol);

˗ уязвимости операционной системы;

˗ скачивание вредоносных файлов с веб-сайтов.

 Общие рекомендации по плановой защите компьютера от программ-шифровальщиков

1. Не открывайте почтовые вложения от неизвестных отправителей

В большинстве случаев программы-шифровальщики распространяются через почтовые вложения. Задача злоумышленника – убедить пользователя открыть вложение из письма, поэтому темы писем часто содержат угрозы, например тема письма: «уведомление от арбитражного суда об иске», «исполнительное производство о взыскании задолженности», «возбуждение уголовного дела» и тому подобное. 

При этом вредоносными могут оказаться не только файлы формата *.exe. Зафиксированы случаи заражения компьютеров при открытии *.doc и *.pdf файлов, специально сформированных злоумышленниками. Необходимо регулярно доводить до пользователей информацию об опасности открытия вложений и писем, полученных от неизвестных адресатов.

 2. Если Вы используете собственный почтовый сервер, настройте фильтры анти-спама и вложений.

Настройка оценки принадлежности к спаму поможет не пропустить нежелательные сообщения пользователю. Также, фильтр вложений поможет блокировать письма с нежелательными вложениями, например исполняемые файлы и скрипты: .exe, .com, .bat, .vbs, .cmd, .scr, .sct, .msi, а так же файлы с двойным расширением: *.doc.*, *.xls.*, которые при беглом просмотре можно принять за обычный офисный документ.

 3. Своевременно обновляйте антивирусные базы, операционную систему, настройте антивирус.

Регулярно обновляйте антивирусные базы, а также компоненты антивирусной программы. Следите за своевременными обновлениями для операционной системы.

Настройку параметров антивируса рекомендуется производить в соответствии со следующими рекомендациями:

для Kaspersky Endpoint Security 11

для Dr.Web

 4. Регулярно создавайте резервные копии файлов и храните их вне компьютера.

Недопустимо хранить резервные копии на том же компьютере/сервере, для которого эти копии создаются. Так резервные копии будут защищены не только от программ-шифровальщиков, но и от отказов компьютерной техники.

 5. Минимизация привилегий на права доступа пользователей в операционной системе, к сетевым ресурсам.

Минимизируйте привилегии пользователям на права доступа в операционной системе, выделите только те права доступа, которые необходимы им для выполнения служебных обязанностей. Если вы используете общие сетевые папки, то рекомендуем создать отдельную сетевую папку для каждого пользователя (структурного подразделения). Права на запись должны быть только у владельца папки. Это поможет избежать шифрования документов во всех сетевых папках при заражении одного компьютера.

 6. Настройка удалённого рабочего стола RDP (Remote Desktop Protocol).

Все чаще программы-шифровальщики для заражения используют RDP. Такой способ становится все популярнее, так как позволяет не ждать, пока жертва откроет вредоносное вложение или перейдет по зараженной ссылке. Необходимо внимательнее относиться к настройке RDP, включать его только при крайней необходимости. Если необходимость все же есть, то нужно ограничивать возможность подключения конкретным перечнем ip-адресов, с которых возможно подключение, а также используйте для удаленных подключений сложные пароли.

 7. Рекомендации по настройке параметров компьютера.

В операционных системах Windows включите компонент "Защита системы", который создаёт резервные (теневые) копии файлов и папок во время архивации или создания точки восстановления системы. По умолчанию эта служба включена только для системного раздела. Включите службу для всех разделов. Для включения необходимо зайти: пуск -> панель управления -> система -> защита системы. Затем добавить нужный раздел или диск, определить максимальный объем диска для хранения. После включения службы необходимо вручную создать точку восстановления. Рекомендуется настроить периодическое создание точек восстановления с помощью планировщика задач. Обратите внимание, что описанное использование резервных (теневых) копий является дополнительной мерой и не избавляет от необходимости создавать резервные копии данных на внешних носителях.

Что делать, если компьютер заражен программой-шифровальщиком.

1. Отключите компьютер от локальной сети, чтобы программа-шифровальщик не распространялась на другие компьютеры;

2. Запустите полную антивирусную проверку для локализации программы-шифровальщика и ее удаления. Не предпринимайте никаких необратимых действий по лечению/удалению вредоносных объектов;

3. Отправьте зашифрованные файлы на анализ:

- если используете антивирусы «Лаборатории Касперского» отправьте запрос в техническую поддержку через Kaspersky CompanyAccount (https://companyaccount.kaspersky.com/). Удаленные при лечении файлы вы можете найти на вкладке Карантин → Резервное хранилище.

- если используете антивирусы Dr.web, отправьте запрос в техническую поддержку (https://support.drweb.ru/new/free_unlocker/for_decode/). Удаленные при лечении файлы вы можете найти на вкладке Инструменты → Менеджер карантина.

4. Попробуйте расшифровать файлы с помощью бесплатных утилит:

https://support.kaspersky.ru/viruses/disinfection

https://noransom.kaspersky.com/ru/

https://www.nomoreransom.org/ru/decryption-tools.html

5. Попробуйте восстановить файлы с помощью компонента Windows "Защита системы";

6. Если все вышеперечисленное не помогло, очистите систему и восстановитесь с резервных копий файлов.

7. Не позднее 24 часов, а для значимых объектов критической информационной инфраструктуры не позднее 3 часов с момента обнаружения вируса-шифровальщика, передать информацию в  ГосСОПКА (государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак), посредством почтовой, факсимильной или электронной связи на адреса, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: https://cert.gov.ru/

Что нельзя делать, если компьютер заражен программой-шифровальщиком.

1. Подключать зараженный компьютер к локальной сети;
2. Платить выкуп вымогателям;
3. Пытаться открыть зараженные файлы на другом компьютере или пересылать зараженные почтовые вложения.