Вирусы-шифровальщики, 2 года спустя

Ну вот, будущее наступило.

Эпидемия вроде схлынула, пользователи привыкли, самые доверчивые потеряли свои данные не по одному разу.

Я там в прошлой статье заявлял аж три части — неактуально уже, поэтому выжимка.

Как вирусы попадают на ПК пользователей?

В 90 % случаев — через электронную почту и интернет, с использованием методов социальной инженерии. Все помнят страшные письма из якобы «налоговой» или «службы судебных приставов» об ужасной задолженности? Потом начались счета от несуществующих контрагентов, потом даже от существующих со взломанных ящиков или зараженных ПК, а недавно я наблюдал практически идеальную атаку — письмо с реквизитами существующей конторы, с ящиком на list.ru, с похожим на реальное обращением к адресату (а не «Привет, Ivanoff»). Однако, бухгалтер, к которому попало это письмо, что называется «не повелся», за что честь ему и хвала!

На самом деле мы, компания «АИТ-НК», очень много работали с нашими клиентами, чтобы добиться такого результата. Что же мы делали?

1. Работали с пользователями.

Коль скоро основная уязвимость, через которую проникает вирус — это пользователь, начинать надо отсюда. С воспитания того, что я называл «здоровой паранойей».

- Да, дамы и господа, мир изменился, и теперь, открывая сообщение в электронной почте, надо понимать, что его мог написать враг, который готов порушить вам бизнес за свои 4 тысячи рублей.

- Да, не нужно верить всему, что пишут в электронной почте. Смотрите, проверяйте:

  • Если это сообщение от неизвестного — не открывайте ссылки ни под каким видом — сначала подумайте, надо ли оно.
  • Если в сообщении есть ссылка — в принципе не открывайте, совсем!
  • И вложения тоже! Сначала подумайте!
  • Проверяйте адреса, с которых приходит почта — вряд ли Вам или Вашей организации станет писать налоговая с адреса sdfgdfgdf@ddsssdfdf.ch
  • Смотрите на имена отправителей — вряд ли вам будет писать Сигизмунд Леопольдович Попандакис и запрашивать акты сверки
  • Даже от знакомых контрагентов проверяйте — а не написали ли вам вместо обычного «Привет, Вася» «Здравствуйте, Ivanoff»
  • Если сомневаетесь, открывать или нет — звоните нашим специалистам, пересылайте письма на специальный ящик — и мы точно скажем, надо открывать письмо или нет.

Вот примерно с такими мини-лекциями на пике эпидемии мы регулярно ходили по каждому отделу в каждой организации. и повторял, повторяли и повторяли. Добавляя новое по мере появления новых векторов атак.

2. Технические меры защиты.

Как выяснилось, традиционные антивирусы — платные, бесплатные, любые — оказались в случае с шифровальщиками абсолютно бесполезны. Собственно, этого и следовало ожидать, потому как раньше с такими видами атак (одна-две массовых рассылки, и все, жизненный цикл сигнатуры закончился) не сталкивался никто.

Остались бэкапы, добрые старые бэкапы :-) Однако, к бэкапам мы подошли несколько другим путем. То, что шифровальщики рано или поздно доберутся до общих папок, или начнут распространяться по локальной сети организации через уязвимости, было понятно  сразу. Поэтому мы организовали резервное копирование следующим образом:

  • Информация с ПК пользователей (сервера-то и так бэкапятся) сохраняется на внутренний ftp-сервер организации. Именно ftp, никаких общих папок.
  •  Сервер закрыт файрволлом, открыты только порты для ftp и VNC.
  • Доступа из внешнего мира нет вообще.

Таким образом сервер бэкапа организации защищен от атак через общие сетевые ресурсы, от атак через уязвимости Windows, да и практически от всего. Для еще большей безопасности можно развернуть сервер и под Linux.

Что в итоге?

В результате ни один из наших клиентов не пострадал ни от Petya, ни от WannaCry, да и от обычных почтовых вложений уже давно никто не заражается.

Ждем новых напастей и готовимся, да :-)