Журнал "Системы Безопасности" № 3‘2023

С кажем так: если вы никогда раньше не сталкивались с данным видом зловредных программ, вам крупно повезло. Под шифро- вальщиками подразумевается семейство вре- доносных программ, которые с помощью раз- личных алгоритмов шифрования блокируют доступ пользователей к файлам на их компью- тере, после чего вместо привычных окон с фай- лами вы увидите на экране текст "письма счастья", повествующий о сумме и действиях, которые необходимо совершить якобы для того, чтобы все вернулось на круги своя. Думаю, что не стоит говорить о том, что вестись на подобные провокации не стоит, а лучше сразу продумать варианты, как обезопасить себя от подобной ситуации. Откуда? Я же ничего не делал! Данный тип вредоносного ПО может распро- страняться такими способами, как фишинговые письма, торрент-файлы, ссылки на рекламе в Интернете, скачивание активных файлов и т.д. Способы его распространения напоминает компьютерные вирусы, но далеко не все анти- вирусные средства могут распознать програм- му-шифровальщик и предотвратить ее скачи- вание и запуск. При этом важно различать ПО, которое только заблокирует вам доступ к фай- лам (локер), и ПО, которое, помимо блокиров- ки, полностью зашифрует ваши файлы (крип- толокер). В первом случае, если вам повезет, действие локера вы сможете отменить, найдя зловредный файл или надстройку, к примеру, в автозагрузке реестра. Но если же ваши файлы были зашифрованы, то полностью вос- становить их, может, и не получится, если вы не делали бэкап. Как все исправить? Лечение бесполезно? Если же вы все-таки стали жертвой данного вредоносного ПО, то рекомендуется предпри- нять следующие превентивные меры: 1. Если вы работаете в корпоративной сети компании, необходимо изолировать компью- тер от сети, прежде чем предпринимать какие- либо действия, для исключения возможности распространения шифровальщика. 2. Использовать средство для расшифровки файлов (существуют как платные, так и бес- платные версии), но они не гарантируют, что файлы полностью восстановятся до своего пер- вичного вида. 3. Использовать резервные копии/архивацию образов системы/бэкапы файлов для их вос- становления – это, пожалуй, единственное надежное средство защиты от данного типа угроз. 4. Использовать лицензионные средства анти- вирусной защиты, чтобы снизить риски успеш- ного внедрения шифровальщика в ваш ком- пьютер. Как ни прискорбно, но это единственные меры, которые можно предложить для защиты от данного типа угроз. Поэтому постарайтесь быть бдительными, чтобы не допустить возникнове- ния данной ситуации, и всегда имейте резерв- ные копии (системы и файлов), чтобы избе- жать утраты ваших данных. n Денис Богданов Независимый эксперт по информационной безопасности МНЕНИЕ ЭКСПЕРТА В Ц Е Н Т Р Е В Н И М А Н И Я 121 поэтому произошло резкое сокращение компа- ний-разработчиков. Сейчас во всем мире рабо- тает около 60 компаний, разрабатывающих антивирусное ПО. Анализ атак (инцидентов) Представим, что на вашу компанию произошла вирусная атака. Даже если вам "повезло" и ваша защита устояла, это не повод успокаиваться. Атаки обязательно будут повторяться до тех пор, пока злоумышленники не добьются своей цели. Для исключения этой возможности используется расследование инцидентов. Прежде всего надо понять, кто и зачем атакует ваши публичные IP. Допустим, система зафик- сировала, что с определенного ресурса резко увеличилось количество запросов, например, с 100 до 1 000, что однозначно характеризуется как атака. Платформа IDS (система обнаруже- ния вторжений) определяет инструменты, использованные атакующими, – сканер, инъек- ция или др. Далее собирается информация об источнике атаки. Используя международную сеть ISN, можно выяснить владельца Source IP, например облачного провайдера, или провай- дера мобильной связи, или др. Далее полезно получить информацию о стране, из которой исходит атака. Например, если вы поймете, что количество запросов по конкретной стране резко возросло, то данное направление можно будет заблокировать. При более подроб- ном расследовании можно выяснить и город, и даже конкретный адрес. Можно также выяснить, какие именно угрозы связаны с определенным IP. Расследование инцидента дает ответы на сле- дующие вопросы: l кто владеет ресурсами, с которых идет атака; l какие конкретные адреса в данной подсисте- ме вас атакуют; l какие аномалии в трафике характерны для конкретной страны или города; l типы угроз, которые несет атака для вашей компании. Исходя из полученной информации, аналитик определяет, какие системы в вашей компании могут быть атакованы, какие последствия могут быть, если атаки достигнут цели. В зависимости от полу- ченных ответов предпринимаются меры защиты. Коротко источники информации для анализа инцидентов представлены в табл. 1. Примеры информации, рассматриваемой ана- литиком, представлены в табл. 2. Таким образом, применение защитных программ и тщательное расследование инцидентов дает воз- можность обезопасить компанию от атак, направ- ленных на технические средства. Но есть еще одна опасность – социальная инженерия. Она направ- лены на самую уязвимую часть безопасности пред- приятия – на человека, на его разум. Об этом пой- дет речь в следующей статье. n www.secuteck.ru июнь – июль 2023 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Таблица 1. Источники информации для анализа инцидентов Источник Цели База ISN Определяет, с каких ресурсов идет атака. Выявляет локацию атаки TI Определяет, с какими угрозами связан Source IP, какие угрозы наиболее распространены в данный момент CDBM Какую систему атакуют (понятен вектор атаки). Критичность атакуемой системы (для статуса инцидентов). Корреляция инцидентов по атакованной системе (позволяет понять успешность атаки) История White list на случай включения экстренных мер защиты Таблица 2. Информация для анализа киберугроз Категория Информация Обычная информация Дата 10.03.2023 Категория Внешняя атака Название Сканирование ресурсов Описание Сканером ММАР просканировано Критичность Средняя Источник Файрвол Дополнительная информация Название системы VPN-шлюз Критичность системы Высокая Критичность угрозы Высокая Владелец сети Амазон источника атаки Наличие фидов For node Программы-шифровальщики. Угрозы и решения Постоянный автор нашего издания продолжает рассказывать, с какими угрозами ИБ может столкнуться в повседневной деятельности практически любой человек и любая организация и как обезопасить себя от них